system
(system)
2 Wrzesień 2009 14:15
#1
Witam,
Starszy Sąsiad poprosił mnie o pomoc, gdyż jego komp zaczął fiksować. Praktycznie niedziałający internet, strasznie długo się wszystko ładuje itd. Oczywiscie nikt go nie poinformował, że powinien mieć jakiekolwiek zabezpieczenia…podejrzewam, że komp jest totalnie zasyfiony. Prosiłbym więc o sprawdzenie loga z HIJACKTHIS
http://wklej.to/fQzW
Z góry dzięki za pomoc!
Pozdrawiam
Umpfh
(Umpfh)
2 Wrzesień 2009 15:02
#2
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\User\USTAWI~1\Temp\herss.exe
O4 - HKLM\..\Run: [PMHandler] C:\WINDOWS\system32\PMHandler.exe
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
powyższe zaznacz w hijackthis i daj Fix.
Daj loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338
system
(system)
2 Wrzesień 2009 15:24
#3
Z pierwszej porady usunąłem tylko jedno z nich, reszty nie było (być może usunął je antytrojan)
oto log z otl
Wielkie dzięki
Umpfh
(Umpfh)
2 Wrzesień 2009 15:25
#4
Nie obrazek tylko tu daj loga z OTL: http://wklej.org/
Umpfh
(Umpfh)
2 Wrzesień 2009 15:34
#6
Poniższe wklej w okienko OTL i daj Run Fix:
:Processes
explorer.exe
:OTL
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\User\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2008-09-15 16:04:48 | 00,000,000 | ---D | M] - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2009-09-02 17:18:18 | 00,000,059 | RHS- | M] () - E:\autorun.inf -- [FAT]
O33 - MountPoints2\{02afd22c-97c3-11de-a6f3-e57b9ed16988}\Shell\AutoRun\command - "" = E:\i0yva6.exe -- [2009-09-02 16:11:12 | 00,113,455 | RHS- | M] ()
O33 - MountPoints2\{02afd22c-97c3-11de-a6f3-e57b9ed16988}\Shell\open\Command - "" = E:\i0yva6.exe -- [2009-09-02 16:11:12 | 00,113,455 | RHS- | M] ()
O33 - MountPoints2\{11b092e4-803f-11dd-a5cc-000fb0ca273b}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe
O33 - MountPoints2\{277106f2-677e-11dc-a434-000fb0ca273b}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{39882d2c-f5bb-11dc-a542-0016ce8d9c33}\Shell\AutoRun\command - "" = E:\hyetn1i.exe -- File not found
O33 - MountPoints2\{39882d2c-f5bb-11dc-a542-0016ce8d9c33}\Shell\open\Command - "" = E:\hyetn1i.exe -- File not found
O33 - MountPoints2\{c3703c22-81fa-11db-8d5f-0016ce8d9c33}\Shell\AutoRun\command - "" = E:\d9c.bat -- File not found
O33 - MountPoints2\{c3703c22-81fa-11db-8d5f-0016ce8d9c33}\Shell\open\Command - "" = E:\d9c.bat -- File not found
O33 - MountPoints2\{c3703c23-81fa-11db-8d5f-0016ce8d9c33}\Shell\AutoRun\command - "" = d9c.bat
O33 - MountPoints2\{c3703c23-81fa-11db-8d5f-0016ce8d9c33}\Shell\open\Command - "" = d9c.bat
O33 - MountPoints2\{d1c5d2fb-f30a-11db-a3e5-000fb0ca273b}\Shell\AutoRun\command - "" = F:\USBNB.exe -- File not found
:Files
C:\i0yva6.exe
C:\g8k.exe
C:\ktly.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]
Następnie musisz usunąć klucz: MountPoints2 .
Wejdź w: Start>>>Uruchom>>> wpisz: regedit
poszukaj klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2
Usuwasz MountPoints2
Przeskanuj komputer tym: http://www.programosy.pl/program,malwar … lware.html usuń wszystko co znajdzie i daj loga po kasowaniu (loga z Malware)
system
(system)
2 Wrzesień 2009 16:44
#7
sorki, ale byłem chwilowo niedostępny. Rozumiem, że mam usunąć cały folder MountPoints2 ?
Dodam tylko ze po wklejeniu tego kodu i restarcie, nic się nie zmieniło, cały czas jedna wielka zamuła.
Dzięki jeszcze raz za zainteresowanie.
ciemnowidz
(Henio Mazurek)
2 Wrzesień 2009 16:58
#8
Wklej nowy log z OTL + log z GMER
system
(system)
2 Wrzesień 2009 18:26
#10
ok, zrobiłem tak jak napisał Umpfh, komp lepiej pracuje, internetu cały czas praktycznie nie ma. Logi:
Malwarebytes’ Anti-Malware 1.40 - robiony be aktualizacji z racji braku netu.
http://wklej.to/uB1P
Gmer
http://wklej.to/AqH0
OTL
http://wklej.to/dbFg
Dzięki wielkie!
Umpfh
(Umpfh)
2 Wrzesień 2009 20:28
#11
Usunąłeś wszystko co wykrył Malwarebytes?
Wyłącz i włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Oczyść później komputer: http://www.forumpc.pl/index.php?showtopic=104989
system
(system)
2 Wrzesień 2009 20:33
#12
usunąłem wszystko, przynajmniej tak mi się wydaje, część rzeczy miało się usunąć przy starcie systemu.
Niestety dziś już nic nie zdziałam, bo sąsiad ma chore dziecko i musiałem go szybciej opuścić…jutro zabieram się do dalszego działania.
Jakieś pomysły?
pozdrowienia,
qbon
Umpfh
(Umpfh)
2 Wrzesień 2009 20:40
#13
Wykonaj te powyższe porady i daj nowego loga z OTL.
system
(system)
2 Wrzesień 2009 20:43
#14
Oki, jutro będę działać dalej, wielkie dzięki za porady na dziś:)
JESTEŚCIE Wielcy!
Pozdrawiam!
– Dodane 03.09.2009 (Cz) 12:07 –
Witam po przerwie,
Zrobiłem wszystkie powyższe czynnosci. Log z OTL :
http://wklej.to/xhNB
Poprawa była chwilowa, niestety nadal jest to samo
Jak to teraz wyglada?
Pozdrawiam!
ciemnowidz
(Henio Mazurek)
3 Wrzesień 2009 11:40
#15
Teraz wklej nowy log z OTL bo prawdę mówiąc narobiło się bałaganu.
Pobierz również SystemLook i wklej do niego
e: - to pamięć przenośna - nie odłączaj od komputera dopóki nie skończymy.
Kliknij Look i pokaż log.
system
(system)
3 Wrzesień 2009 11:59
#16
Witaj,
Tamtego pendrive zostawiłem, ale muszę korzystać z innego, gdyż na zainfekowanym kompie w ogole nie chodzi net, a jakoś musze przenosić logi
oto logi z
systemlook:
http://wklej.to/0jGR
oraz OTL
http://wklej.to/cEfa
ciemnowidz
(Henio Mazurek)
3 Wrzesień 2009 12:10
#17
I właśnie tym pendrivem się infekujesz od nowa.
Wklej w OTL
:Processes explorer.exe :OTL O32 - AutoRun File - [2009-09-03 13:54:46 | 00,000,057 | RHS- | M] () - E:\autorun.inf – [FAT] O32 - AutoRun File - [2009-09-03 13:54:48 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [FAT] O33 - MountPoints2{02afd22c-97c3-11de-a6f3-e57b9ed16988}\Shell\AutoRun\command - “” = E:\ewqij.bat – [2009-09-03 13:28:42 | 00,112,747 | RHS- | M] () O33 - MountPoints2{02afd22c-97c3-11de-a6f3-e57b9ed16988}\Shell\open\Command - “” = E:\ewqij.bat – [2009-09-03 13:28:42 | 00,112,747 | RHS- | M] () O33 - MountPoints2{4853b5d8-9880-11de-a704-0016ce8d9c33}\Shell\AutoRun\command - “” = F:\ewqij.bat – [2009-09-03 13:28:42 | 00,112,747 | RHS- | M] () O33 - MountPoints2{4853b5d8-9880-11de-a704-0016ce8d9c33}\Shell\open\Command - “” = F:\ewqij.bat – [2009-09-03 13:28:42 | 00,112,747 | RHS- | M] () :Files C:\ewqij.bat C:\i0yva6.exe C:\g8k.exe C:\wbj.exe.vir C:\ukfbi3aw.exe.vir C:\rx.exe C:\mb9x.exe.vir C:\uo10sn.cmd C:\m.com C:\cahpcg.cmd C:\d9c.bat C:\upx.bat e:\ewqij.bat e:\i0yva6.exe e:\g8k.exe e:\wbj.exe.vir e:\ukfbi3aw.exe.vir e:\rx.exe e:\mb9x.exe.vir e:\uo10sn.cmd e:\m.com e:\cahpcg.cmd e:\d9c.bat e:\upx.bat f:\ewqij.bat f:\i0yva6.exe f:\g8k.exe f:\wbj.exe.vir f:\ukfbi3aw.exe.vir f:\rx.exe f:\mb9x.exe.vir f:\uo10sn.cmd f:\m.com f:\cahpcg.cmd f:\d9c.bat f:\upx.bat :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Klikasz Run Fix. Potem dajesz nowy log z OTL.
Umpfh
(Umpfh)
3 Wrzesień 2009 12:17
#18
Podłącz pendrive , ale nie otwieraj go, ściągnij i uruchom ten program: http://download.bleepingcomputer.com//s … fector.exe wyczyści z pena wirusy
system
(system)
3 Wrzesień 2009 12:21
#19
zrobiłem to, tyle, ze od 3 minut nie ma nic na ekranie, zniknęły ikony na pulpicie i wyglada na to, ze sie nic nie dzieje. Czy tak ma być?
Umpfh
(Umpfh)
3 Wrzesień 2009 12:28
#20
tak, dopóki nie wyskoczy okienko, w którym klikasz na OK