snufkin
(Waldemar Smigaj)
23 Październik 2009 16:31
#1
W głównych katalogach dysków powstają podejrzane pliki z atrybutami rhs-
b00ijwpu.exe
wcgswa.exe
autorun.inf
ze zmienną zawartością, aktualnie
open=b00ijwpu.exe
shell\open\command=b00ijwpu.exe
a wcześniej
open=wcgswa.exe
shell\open\command=wcgswa.exe
Proszę o sprawdzenie loga z OTL:
http://www.wklej.org/id/183486/
deFco247
(deFco247)
23 Październik 2009 16:38
#2
Usuń ręcznie lub Unlockerem plik C:\WINDOWS\AhnRpta.exe
Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub tych narzędzi .
Lub format.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE AhnRpta.exe :OTL O4 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1006…\Run: [12CFG214-K641-24SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe () O4 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1006…\Run: [cdoosoft] C:\Documents and Settings\Aga\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-10-23 18:28:43 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-23 18:28:44 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [FAT] O32 - AutoRun File - [2009-10-23 18:28:43 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-23 18:28:44 | 00,000,063 | RHS- | M] () - F:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-10-23 18:28:44 | 00,000,063 | RHS- | M] () - G:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-10-23 18:28:44 | 00,000,063 | RHS- | M] () - H:\autorun.inf – [FAT] :Files C:\RECYCLER C:\b00ijwpu.exe C:\wcgswa.exe D:\b00ijwpu.exe D:\wcgswa.exe E:\b00ijwpu.exe E:\wcgswa.exe F:\b00ijwpu.exe F:\wcgswa.exe G:\b00ijwpu.exe G:\wcgswa.exe H:\b00ijwpu.exe H:\wcgswa.exe :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
snufkin
(Waldemar Smigaj)
23 Październik 2009 17:28
#3
Próba usunięcia pliku C:\WINDOWS\AhnRpta.exe ręcznie nie powiodła się (odmowa dostępu), a unlocker pobrany ze strony http://www.dobreprogramy.pl/Unlocker,Pr … 12240.html nie otwiera się. Plik C:\WINDOWS\AhnRpta.exe nadal jest na dysku.
Log OTL z usuwania:
http://www.wklej.org/id/183535/
Log OTL ze skanowania:
http://www.wklej.org/id/183541/
deFco247
(deFco247)
23 Październik 2009 17:35
#4
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
jessica
(jessica)
23 Październik 2009 17:43
#5
Ale nie sądzę, by Avenger załatwił sprawę, bo oprócz “AhnRpta” są jeszcze inne obiekty i klucze do usunięcia, np.:.
Ja proponuję:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL PRC - [2008-04-14 19:21:32 | 00,070,144 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\AhnRpta.exe O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-7800774943-1107679811-941712115-7068\winmap32.exe) - C:\RECYCLER\S-1-5-21-7800774943-1107679811-941712115-7068\winmap32.exe File not found O28 - HKLM ShellExecuteHooks: {B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} - C:\WINDOWS\System32\softqq0.dll () O28 - HKLM ShellExecuteHooks: {BD344AF4-67AB-4E19-A630-7435587D320B} - C:\WINDOWS\System32\ahndoor1.dll :Files C:\RECYCLER C:\WINDOWS\System32\softqq0.dll C:\WINDOWS\System32\ahndoor1.dll :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
snufkin
(Waldemar Smigaj)
23 Październik 2009 18:47
#6
W programie Avenger Execute uruchamiałem dwa razy co widać w logu:
musiałem uzupełnić pierwszy wiersz podpowiedzi o wyrazy:
to delete
i wtedy poszło.
Jednak gdy po restarcie podglądam katalog C:\Windows Total Commander’em to niestety nadal widzę w nim plik C:\WINDOWS\AhnRpta.exe, który wygląda na kopię pliku notepad.exe (ta sama długość, ta sama data i czas, wczoraj porównywałem oba te pliki z wiersza poleceń
fc notepad.exe AhnRpta.exe Nie było między nimi różnic???)
Przy próbie skasowania Total Commanderem jest:
Błąd: C:\WINDOWS\AhnRpta.exe nie może być usunięty!
Proszę usunąć zabezpieczenie przed zapisem!
Log z execute Avenger po restarcie:
http://www.wklej.org/id/183613/
Dzięki za to co już i co robić dalej?
jessica
(jessica)
23 Październik 2009 18:55
#7
Spróbuj wykonać moje zalecenie, z mojego poprzedniego postu.
EDIT:
PRC - [2008-04-14 19:21:32 | 00,070,144 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\notepad.exe PRC - [2008-04-14 19:21:32 | 00,070,144 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\AhnRpta.exe PRC - [2008-04-14 19:21:30 | 01,695,232 | ---- | M] (Microsoft Corporation) – C:\Program Files\Messenger\msmsgs.exe PRC - [2008-04-14 19:21:16 | 01,035,264 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\Explorer.EXE
Tak, w logu wyrażnie widać, że “AhnRpta” nie tylko udaje plik Microsoftu, ale też jest w jakiś sposób powiązany z "C:\WINDOWS\notepad.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\Explorer.EXE"
wskazuje na to godzina modyfikacji tych wszystkich plików.
jessi
snufkin
(Waldemar Smigaj)
23 Październik 2009 19:08
#8
Byłem w trakcie wykonywania podpowiedzi deFco247
Oto log z OTL po naciśnięciu RunFix
http://www.wklej.org/id/183638/
Oto log z OTL po naciśnieciu RunScan
http://www.wklej.org/id/183641/
Dziękuję za pomoc, ale plik C:\WINDOWS\AhnRpta.exe nadal jest.
jessica
(jessica)
23 Październik 2009 19:16
#9
W logu go nie ma.
Ale:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
snufkin
(Waldemar Smigaj)
23 Październik 2009 19:35
#10
Log OTL z usuwania:
http://www.wklej.org/id/183657/
Log OTL ze skanowania:
http://www.wklej.org/id/183658/
Bingo! W Total Commanderze nie widać pliku C:\WINDOWS\AhnRpta.exe!
Ale jakbyś mogła to rzuć okiem jeszcze na te logi.
jessica
(jessica)
23 Październik 2009 19:41
#11
Tak, jest czysto.
Jeśli chcesz usunąć OTL, to wystarczy w nim kliknąć na przycisk “CleanUp”.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
snufkin
(Waldemar Smigaj)
23 Październik 2009 19:45
#12
Wielkie dzięki, deFco247 i Jessi, za pomoc! Macie bardzo przydatną wiedzę!
Sam nie uporałbym się z tym paskudztwem…