Than
(Sikorskyx)
18 Wrzesień 2011 22:11
#1
Witam, przez jakiś czas muszę korzystać z nie swojego komputera, chciałem więc go przeczyścić. Niestety, nie da się ściągnąć programów antywirusowych ani zaktualizować istniejących. Proszę więc o sprawdzenie loga z OTL. Z tego co przeczytałem, powinienem go zuploadować na stronę, zamieściłem go więc pod linkiem:
http://www.wklejto.pl/105133
PS. Komputer bardzo dawno (o ile w ogóle) był jakkolwiek czyszczony, skanowany etc. Log jest z ustawieniami standardowymi (“użyj filtrowania”, “pliki młodsze niż 30 dni” etc.) może więc ze względu na to powinienem skanować bez tych ograniczeń?
Dzięki i pozdrawiam!
jessica
(jessica)
19 Wrzesień 2011 06:41
#2
Infekcja pendrivowa oraz CONFICKER!.
Użyj USBFix, >USBFix
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL MOD - [2011-09-18 22:30:42 | 000,123,904 | RHS- | M] () – C:\WINDOWS\system32\arking0.dll MOD - [2011-09-18 22:30:42 | 000,078,848 | RHS- | M] () – C:\Documents and Settings\Sikor\Ustawienia lokalne\temp\cvasds0.dll MOD - [2004-08-04 00:44:20 | 000,066,210 | ---- | M] () – C:\WINDOWS\system32\e8main1.dll MOD - [2004-08-04 00:44:20 | 000,062,482 | ---- | M] () – C:\WINDOWS\system32\ahndoor2.dll SRV - [2004-08-04 00:44:02 | 000,161,547 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\broqhb.dll – (owghud) FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU…\Run: [api32] C:\Documents and Settings\Sikor\Ustawienia lokalne\temp\apiqq.exe () O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Sikor\Ustawienia lokalne\temp\herss.exe () O4 - HKCU…\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 1 = ashServ.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 2 = ashWebSv.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 3 = aswUpdSv.exe O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_03) O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () O28 - HKLM ShellExecuteHooks: {BD344AF4-67AB-4E19-A630-7435587D320B} - C:\WINDOWS\system32\ahndoor2.dll () O33 - MountPoints2{c9cf4ab2-b170-11dc-9631-00d0b7e109f2}\Shell\AutoRun\command - “” = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe [2011-02-18 18:06:22 | 000,123,904 | RHS- | C] () – C:\WINDOWS\System32\arking1.dll [2011-02-06 17:17:50 | 000,178,176 | RHS- | C] () – C:\WINDOWS\System32\arking.exe [2011-02-06 17:17:50 | 000,123,904 | RHS- | C] () – C:\WINDOWS\System32\arking0.dll [2009-09-20 21:17:20 | 000,116,812 | RHS- | C] () – C:\WINDOWS\System32\olhrwef.exe [2009-09-20 21:17:20 | 000,075,928 | RHS- | C] () – C:\WINDOWS\System32\nmdfgds0.dll [2004-08-04 00:44:20 | 000,078,848 | ---- | C] () – C:\WINDOWS\System32\afmain2.dll [2004-08-04 00:44:20 | 000,066,210 | ---- | C] () – C:\WINDOWS\System32\e8main1.dll [2004-08-04 00:44:20 | 000,066,210 | ---- | C] () – C:\WINDOWS\System32\e8main0.dll [2004-08-04 00:44:20 | 000,066,143 | ---- | C] () – C:\WINDOWS\System32\e8main2.dll [2004-08-04 00:44:20 | 000,062,482 | ---- | C] () – C:\WINDOWS\System32\ahndoor2.dll [2004-08-04 00:44:20 | 000,062,482 | ---- | C] () – C:\WINDOWS\System32\ahndoor1.dll [2004-08-04 00:44:20 | 000,062,369 | ---- | C] () – C:\WINDOWS\System32\ahndoor0.dll [2004-08-04 00:44:02 | 000,161,547 | RHS- | C] () – C:\WINDOWS\System32\broqhb.dll NetSvcs: owghud - C:\WINDOWS\system32\broqhb.dll :Files RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Zainstaluj bezpieczniejszą wersję Javy >Java 7 (JRE)
jessi
Than
(Sikorskyx)
19 Wrzesień 2011 10:44
#3
Log z USBFix:
http://www.wklejto.pl/105167
Niestety, OTL wiesza się przy podanym przez Ciebie skrypcie (po krótkim czasie pojawia się “(brak odpowiedzi)” na pasku i program nie kontynuuje, trzeba restartować komputer), podaję więc loga ze skanowania OTL:
http://www.wklejto.pl/105168
Zainstalowałem też JAVĘ.
Dziękuję za pomoc, Jessica!
jessica
(jessica)
19 Wrzesień 2011 13:07
#4
Infekcja pendrivowa usunięta, natomiast CONFICKER jest dalej.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2004-08-04 00:44:02 | 000,156,691 | RHS- | C] () – C:\WINDOWS\System32\broqhb.dll :Services owghud :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.google.pl/ ” [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.google.pl/ ” :Commands [emptyflash] [emptytemp] [Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowe logi z OTL, ale na dodatkowym ustawieniu:
W pole Własne opcje skanowania/Scrypt wklej:
i dopiero wtedy kliknij Skanuj .
jessi
Than
(Sikorskyx)
19 Wrzesień 2011 16:07
#5
Log z OTLa po restarcie:
http://www.wklejto.pl/105195
I log po skanowaniu z podanymi przez Ciebie ustawieniami:
http://www.wklejto.pl/105196
W międzyczasie udało mi się zainstalować avirę i zrobić skanowanie systemu.
jessica
(jessica)
19 Wrzesień 2011 18:18
#6
Jeszcze do usunięcia resztki po CONFICKER’ze:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowy log z OTL, na ustawieniach jak ostatnio.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Than
(Sikorskyx)
20 Wrzesień 2011 08:16
#7
Log OTLa z ustawieniami jak poprzednio:
http://www.wklejto.pl/105239
Niestety jeśli chodzi o wykonywanie Twojego skryptu to po restarcie nie podaje żadnego loga, tzn. nie pojawia się plik w notatniku.
EDIT:
Po jakimś czasie od włączenia komputera pojawia mi się taki błąd:
Czy to może być związane z tym wirusem, ew. z OTLem albo avirą?
jessica
(jessica)
20 Wrzesień 2011 10:37
#8
W sprawie pojawiającego się błędu nic nie pomogę, bo nie znam się na błędach.
Pojawiła się następna usługa CONFICKER’a do usunięcia, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Script wpisz to:
:OTL
SRV - File not found [Auto | Stopped] – -- (jengz)
:Commands
[Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Than
(Sikorskyx)
20 Wrzesień 2011 11:41
#9
Niestety, ponownie nie pojawia się raport z usuwania, podaję więc raport ze skanowania:
http://www.wklejto.pl/105244
jessica
(jessica)
20 Wrzesień 2011 12:07
#10
Co tam się u Ciebie dzieje?
Znów jest ten CONFICKER.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2004-08-04 00:44:02 | 000,169,822 | RHS- | C] () – C:\WINDOWS\System32\broqhb.dll [2011-09-20 13:32:45 | 000,169,822 | ---- | C] () – C:\WINDOWS\System32\x :Commands [Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows:
MS08-067 łatka Pobierz (http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=ms08-067&DisplayLang=pl )
Przejrzyj listę i kliknij na link, który odpowiada wersji systemu Windows, który jest uruchomiony na zainfekowanym komputerze. Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie. Uruchom łatkę dwuklikiem.
Zrób nowe logi z OTL, ale na dodatkowym ustawieniu:
W pole Własne opcje skanowania/Scrypt wklej:
i dopiero wtedy kliknij Skanuj .
jessi
Than
(Sikorskyx)
24 Wrzesień 2011 18:04
#11
Nie wiem dlaczego on tam dalej siedzi, nie ściągam żadnych niepewnych plików etc.
Przesyłam log skanowania na tym dodatkowym ustawieniu:
http://www.wklejto.pl/105498
Avirę odinstalowałem, ten błąd był chyba związany z nieudanymi próbami aktualizowania bazy wirusów a bez niej program za bardzo mi się nie przyda.
jessica
(jessica)
24 Wrzesień 2011 18:53
#12
Conficker jest Robakiem, to znaczy wchodzi do Systemu bez żadnego udziału Użytkownika, po prostu on krąży cały czas w sieci, i jeśli natrafi na komputer nie posiadający odpowiedniej łatki, to samoczynnie się przedostanie.
Trochę inna sprawa jest w przypadku Confickera dostającego się do Systemu z nośników przenośnych (pendrive) - w tym przypadku Użykownik ma swój udział: uruchamiając zarażony pendrive umożliwia Robakowi przedostanie się na dysk twardy.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowy log z OTL, ale na dodatkowym ustawieniu:
W pole Własne opcje skanowania/Scrypt wklej:
i dopiero wtedy kliknij Skanuj .
jessi
Than
(Sikorskyx)
24 Wrzesień 2011 22:15
#13
Tym razem log wygenerował się po restarcie:
http://www.wklejto.pl/105515
I log z ponownego skanowania:
http://www.wklejto.pl/105516
jessica
(jessica)
25 Wrzesień 2011 06:00
#14
Pojawiły się następne usługi Confickera, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Oczywiście, i tym razem rób log na dodatkowym ustawieniu, jak ostatnio.
jessi
Than
(Sikorskyx)
25 Wrzesień 2011 08:54
#15
Znowu nie pojawił się log po restarcie. Log po skanowaniu:
http://www.wklejto.pl/105524
Mam nadzieję, że już będzie ok :). Wracam na swój komputer i przez dłuższy czas nie będę miał dostępu do tego.
Jeszcze raz bardzo dziękuję za pomoc Jessica!
jessica
(jessica)
25 Wrzesień 2011 10:05
#16
W nowym logu nie widzę już nic szkodliwego.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
jessi