702da6c9.exe - wirus, trojan, system?


(Mariuszm0) #1

Witam użytkowników forum.

Miałem stado trojanów na kompie i usunąłem je przy pomocy programu WinPatrol. Nie wiem jednak czy do końca. Przeglądając różne fora kasowałem szkodliwe pliki ale wyżej wymienionego jakoś nie znalazłem. Znajduje się on na liście startujących z systemem ale go wyłączyłem jak pozostałe co do których miałem wątpliwości.

Już po fakcie dowiedziałem się o Hijacktis, którego log także załączam:

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5


(Bbieniol) #2

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox):

Skan EWIDO po update :slight_smile:

Po zabiegach nowy log z Hijacka + log z Silent Runners

PS> Proponuje zainstalować SP2 :slight_smile:


(Mariuszm0) #3

1.Usunąłem wskazane wpisy Hijackiem. Pliku popupblocker9.exe nie znalazłem (popupblocker.dll mieści się w E:\SpywareDoctor - służyło to zapewne do blokowania wyskakujących okienek). Plików 20242402.dll i artm_new.dll nie usunął KillBox ani TotalCmd (informacja: znieś zabezpieczenie).

  1. Ewidio znalazł kilka rzeczy. Usunąłem.

  2. Dalej nie wiem co to jest 702da6c9.exe. Ale raczej na pewno nic dobrego bo ma datę i godzinę utworzenia identyczną jak usunięte wcześniej pliki z trojanami.

Oto logi:

Hijacktis

Silentrunners


(Kuz5) #4

I sie nie dowiesz, zapewne to losowa nazwa syfu

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw)

Pliki i foldery na czerwono usuń ręcznie z dysku a wpisy w HijackThis (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym

Log z silenta jest obciety


(Mariuszm0) #5

KilBox nie potrafi tego usunąć. To samo Total Comander, który wyświetla że plik jest chroniony zabezpieczeniem (usuniecie atrybutu systemowy i ukryty też nic nie daje). Przy próbie edycji zawartości plików informuje, że korzysta z niego inny proces.

Złączono Posta : 18.06.2006 (Nie) 9:47

I jeszcze pełen log z Silenta:


(Bbieniol) #6

Nadal jest to samo :frowning:

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

Wyłączasz przywracanie systemu:

Włączasz tryb awaryjny:

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll

Klikasz X i restart kompa :slight_smile: Tak samo robisz z tym plikiem:

C:\Documents and Settings\All Users\Dokumenty\Settings\20242402.dll

W trybie awaryjnym odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:

Ściągnij EWIDO, zrób Update i przeskanuj nim dysk :slight_smile:

Po zabiegach nowy log :slight_smile:


(squeet) #7

Jeśli dalej nic, poczytaj tu:

:arrow: http://www.searchengines.pl/phpbb203/in ... e+plik%F3w


(Mariuszm0) #8

Dziękuję wszystkim za pomoc. Pliki usunięte. Poprzednim razem chciałem kasować przy "Standart File Kill" co nic nie dawało.

Wpis w rejestrze dodany. Ewidio niczego nie wykrył.


(squeet) #9

Wklej jeszcze kontrolnie zestaw logów


(Kuz5) #10

Co ty za końcówki pododawałeś ??


(Mariuszm0) #11

Logi

HijackThis

Silent


(Bbieniol) #12

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\win32hlp.exe

Klikasz X i restart kompa

W trybie awaryjnym odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:


(Mariuszm0) #13

All done. Thx :slight_smile: