Herss.exe i inne smieci

oleskacroft · 11 Listopad 2009 21:11

ello wszystkim ;]

To mój pierwszy Post tutaj i proszę Was o pomoc albo po radę. Będę wdzięczna :]

Mój problem dotyczy spyware i innych śmieci. W skrócie: ścieżka C:\DOCUME~1\O\USTAWI~1\Temp\herss.exe próbowałam naprawić to Hijackiem i po jakimś czasie się to odnawia.

Wkleiłam ścieżkę do killboxa i został usunięty jakiś tydzień temu. a Dzisiaj pojawiło się to znowu :/. Antispy’em udało mi się usunąć pliki spyware o dziwnych nazwach?. Komp trochę zamula ale nie wyskakują żadne błędy i komp odpala się normalnie. Jednak zauważyłam że pliki ukryte nie chcą się pokazać a po ostatniej operacji z killboxem mogłam zobaczyć pliki ukryte. Z tego co czytałam infekcja pochodzi z pendrive’a.

Czytałam o takich programach jak OTL ale boję się sama usunąć niektóre ścieżki i w sumie nie wiem jak się za to zabrać…

z góry dziękuję za pomoc i pozdrawiam ;]

ciemnowidz · 11 Listopad 2009 21:12

Wklej logi z wymienionych niżej narzędzi:

OTL, uruchom program i pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.

GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

System Repair Engineer, instrukcja w linku.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

oleskacroft · 11 Listopad 2009 21:16

oo dziękówa ;]

zaraz będą logi

OTL http://wklejto.pl/46940

OTL http://wklejto.pl/46941

GMER http://wklejto.pl/46943

SRE http://wklejto.pl/46946

ciemnowidz · 11 Listopad 2009 21:37

W dolne białe okno OTL wklej

:Processes explorer.exe :OTL O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [NWEReboot] File not found O32 - AutoRun File - [2009-11-11 21:43:41 | 00,000,055 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-11 21:43:41 | 00,000,055 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-11 21:43:41 | 00,000,055 | RHS- | M] () - E:\autorun.inf – [NTFS] MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\DOCUME~1\OLEKA~1\USTAWI~1\Temp\herss.exe File not found :Services :Files C:\g12g.exe C:\vk0w.exe C:\l61yyp.exe C:\9b9w3.exe C:\gcq6.exe C:\uqgvf.exe C:\3n8awsyg.exe C:\hjvjte.exe C:\wcgswa.exe C:\qbr2q.exe C:\nds0q.exe C:\se12ydam.exe C:\vb0hsoay.exe C:\s3ek.exe d:\g12g.exe d:\vk0w.exe d:\l61yyp.exe d:\9b9w3.exe d:\gcq6.exe d:\uqgvf.exe d:\3n8awsyg.exe d:\hjvjte.exe d:\wcgswa.exe d:\qbr2q.exe d:\nds0q.exe d:\se12ydam.exe d:\vb0hsoay.exe d:\s3ek.exe e:\g12g.exe e:\vk0w.exe e:\l61yyp.exe e:\9b9w3.exe e:\gcq6.exe e:\uqgvf.exe e:\3n8awsyg.exe e:\hjvjte.exe e:\wcgswa.exe e:\qbr2q.exe e:\nds0q.exe e:\se12ydam.exe e:\vb0hsoay.exe e:\s3ek.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [purity] [resethosts] [start explorer] [Reboot]

Kliknij Run Fix. Pokaż log z usuwania i nowy, robiony z opcji Run Scan.

oleskacroft · 11 Listopad 2009 21:44

Wszystko tak za jednym zamachem jak napisałeś ? cały twój załączony tekst?

sorx za debilne pytanie ale nie znam sie na tym prog. ;]

deFco247 · 11 Listopad 2009 21:48

W przypadku OTL-a wystarczy tylko kopiować odpowiednie wiersze z logu, opatrzyć wszystko nagłówkami, przerobić i już mamy skrypt. ;]

oleskacroft · 11 Listopad 2009 22:04

log z naprawy : http://wklejto.pl/46957

a tu log z RunScan: http://wklejto.pl/46958

– Dodane 11.11.2009 (Śr) 23:52 –

I co o Tym sądzicie?

ciemnowidz · 12 Listopad 2009 09:29

Poprawka. W OTL wklej

:Processes explorer.exe :OTL O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\OLEKA~1\USTAWI~1\Temp\herss.exe File not found :Services :Files :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [purity] [start explorer] [Reboot]

Kliknij Run Fix. Pokaż log z usuwania i nowy, robiony z opcji Run Scan.

oleskacroft · 12 Listopad 2009 09:52

http://wklejto.pl/46973 po fixie ![-o<

i po run scan : http://www.wklejto.pl/46974

ciemnowidz · 12 Listopad 2009 11:38

Kolejna poprawka, w OTL wklej

Run Fix. Potem w OTL kliknij CleanUp.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Podepnij pamięci przenośne i zastosuj FlashDisinfector

oleskacroft · 12 Listopad 2009 22:51

A więc rejestr wyczyszczony ;]

a to log z MalwareBytes : http://wklejto.pl/47058

ciemnowidz · 13 Listopad 2009 06:09

To by było na tyle. Nic już tutaj nie wdać.

oleskacroft · 13 Listopad 2009 07:38

dziekuje :lol:

z całego serca i pozdrawiam! :D:D