Brave Sentry - restartowanie komputera

C_S_O · 21 Marzec 2008 09:35

Witam,

Znany problem, prosze o pomoc.

http://wklej.org/id/9e1df86110

baldys16 · 21 Marzec 2008 10:10

sfixuj:

C:\WINNT\shell.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\shell.exe

O2 - BHO: C:\WINNT\system32\H4dj24g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINNT\system32\H4dj24g.dll

O2 - BHO: C:\WINNT\system32\Kf9467g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINNT\system32\Kf9467g.dll

O2 - BHO: Gamburg provider - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - hkcom32.dll (file missing)

O4 - HKLM…\Run: [windll] windll.exe

O4 - HKCU…\Run: [Hhjg5jfd93dftdf] C:\WINNT\TEMP\winlogan.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll

O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\SYSTEM32\WLCtrl32.dll

zrób scana tym:

http://dobreprogramy.pl/index.php?dz=2& … Build+2522

C_S_O · 21 Marzec 2008 11:03

Log po Fixie i po scanie z usuwaniem wszstkiego co wykryl ten program z linku. Kom juz sie nie restartuje ale caly czas jest okienko “Windows has detected spyware infection”.

http://www.wklej.org/id/fd5b0b6ddf

baldys16 · 21 Marzec 2008 11:25

sfixuj:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\shell.exe

O2 - BHO: Gamburg provider - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - hkcom32.dll (file missing)

O4 - HKLM…\Run: [windll] windll.exe

O4 - HKLM…\Run: [Printer] C:\WINNT\system32\printer.exe

O4 - HKCU…\Run: [spoolsv] C:\WINNT\system32\spoolvs.exe

O4 - HKCU…\Run: [Hhjg5jfd93dftdf] C:\WINNT\TEMP\winlogan.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\SYSTEM32\WLCtrl32.dll

zrób scana tym:

http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314

C_S_O · 21 Marzec 2008 12:20

Log Hj

http://www.wklej.org/id/946d78a548

Log TR

http://www.wklej.org/id/bec6b2e0ac

Delj bez zmian, okienko spyware infrction.

// Połączono posty.

Ok przeskanowalem jeszcze kilak razy TR i juz nie pokauje smieci. Chyba na razie jest ok, dzieki za pomoc jak bedzie sie cos dzialo to jeszcze napisze.

dawidek11 · 21 Marzec 2008 12:57

Te wpisy zafixuj w HijackThis czyli zaznacz je ptaszkiem i kliknij Fix Checked

Ściągnij LSP-Fix http://www.cexx.org/lspfix.zip >>>uruchom>>>zaznacz “I know what im doing”, przenieś webhdll.dll do okienka “REMOVE” i kliknij Finish.

Potem Od instaluj webHancer w dodaj lub usun programy , potem jeśli folder webHancer bedzie jeszcze w program files to go skasuj ręcznie .

Potem Sciągnij --> ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)

Po tym podaj log z combofix’a który będzie się znajdował na dysku C .

C_S_O · 21 Marzec 2008 14:43

LOG CBfix

http://www.wklej.org/id/383c217b04

JNJN · 21 Marzec 2008 15:17

Proszę zmienić temat postu na konkretny, opcja edytuj i popraw.JNJN

dawidek11 · 21 Marzec 2008 15:42

Jak byś zauważył ty napisałęś tylko kilka wpisów a ja wszystkie … #-o

Wklej do Notatnika:

File:: C:\WINNT\system32\ftpdll.dll C:\Documents and Settings\NetworkService\ftpdll.dll C:\temp\BatSetup.exe C:\temp\syswcc32.exe C:\temp\IMAdvertiser.exe C:\WINNT\system32\rc.dat C:\WINNT\system32\tb.dr C:\WINNT\system32\ps1.dat C:\WINNT\system32\xlibgfl254.dll.vir C:\WINNT\svx.exe C:\WINNT\svw.exe C:\WINNT\system32\aaaamonz.exe C:\WINNT\wdmon.exe C:\WINNT\system32\3ivxp.exe C:\WINNT\vlc.exe C:\temp\4112741933.exe C:\WINNT\system32\3426543018.dat C:\WINNT\system32\diperto4664-4ef8.sys.vir C:\Program Files\tmp2097828.exe C:\Program Files\tmp2095453.exe C:\WINNT\system32\qtprot.sys C:\WINNT\system32\hdport.sys C:\temp\x05X24hh.exe C:\temp\Sxe4dJrp.exe C:\temp\G2NMuLr4.exe C:\temp\CzowSu8b.exe C:\WINNT\system32\bskl427.exe C:\WINNT\system32\drivers\kbd.sys C:\WINNT\system32\tcpip_patcher.sys C:\Program Files\tmp2043546.exe C:\Program Files\tmp2043000.exe C:\Program Files\tmp2083218.exe C:\Program Files\tmp2049234.exe C:\Program Files\tmp2041625.exe C:\Program Files\tmp2041875.exe C:\WINNT\system32\maxpaynow1.exe C:\WINNT\system32\WLCtrl32.dll C:\WINNT\system32\bskl387.exe.vir C:\WINNT\system32\drivers\jsnsyrrj.dat C:\temp\wMKrZLij.exe C:\temp\hYDL3TZb.exe C:\temp\9D4ky2Xk.exe C:\temp\7WpCJS7Y.exe C:\temp\babkinepaxnut.exe C:\temp\iframestat.exe C:\Program Files\tmp2034609.exe C:\Program Files\tmp2027250.exe C:\Program Files\tmp2025109.exe C:\Program Files\tmp2038281.exe C:\Program Files\tmp2016218.exe C:\temp\sh.exe C:\Program Files\tmp2018093.exe C:\temp\autorun.exe.vir C:\temp\skuXj487.exe C:\temp\ehAlPgmg.exe C:\temp\ancLw2CT.exe C:\WINNT\system32\winlast.exe C:\WINNT\system32\ptpusd.dll C:\WINNT\system32\ptpusb.dll C:\WINNT\system32\BIT21.tmp C:\WINNT\system32\hkcom32.dll C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe Folder:: C:\temp\VBE C:\temp_tc C:\temp\RarSFX0

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)

Tym razem zrób to co napisałem ,

Zamkij “robaczywe porty” WWDC-Windows Worm Door Cleaner

http://www.firewallleaktester.com/tools/wwdc.exe

wszystkie znaczki w tym programie po poprawnej konfiguracji powinny być zielone.

Po tym pobierz SDFix

Pobierz program SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Instrukcja obsługi…

Po wszystkim podaj logi z ComboFix’a i SDFix’a .

C_S_O · 21 Marzec 2008 17:27

LOG z SDfix

http://www.wklej.org/id/b187305edb

Log z CF

http://www.wklej.org/id/2c1669a9f7

dawidek11 · 21 Marzec 2008 17:38

Log z SDFix jest nie pełny , widzę że infekcja się rozprzestrzenia . Pozamykałeś porty w programie WWDC ?

// Połączono posty.

Wklej do Notatnika :

File:: C:\WINNT\system32\WLCtrl32.dl_ C:\WINNT\system32\diperto25fd-31c9.sys.vir C:\WINNT\system32\mgmrwmrv.exe.vir C:\nethlpr.exe C:\WINNT\system32\diperto.ini C:\WINNT\system32\drivers\ntio922.sys C:\WINNT\system32\bskl463.exe C:\WINNT\system32\drivers\ndisaluo.sys C:\WINNT\system32\drivers\Pvb04.sys C:\WINNT\system32\drivers\Qwc83.sys.vir C:\WINNT\ieupdr.exe C:\ie_updater.exe C:\Documents and Settings\Administrator\ie_updates3r.exe C:\WINNT\system32\winlast.tmp C:\WINNT\system32\drivers\spools.exe.vir C:\WINNT\system32\bskl414.exe C:\WINNT\system32\bskl449.exe C:\rdwavag.exe C:\WINNT\system32\windll.exe C:\WINNT\system32\bskl374.exe C:\WINNT\system32\drivers\Oetm53.sys.vir C:\WINNT\system32\drivers\grande48.sys C:\WINNT\system32\wind32.exe C:\WINNT\system32\maxpaynowti1.exe C:\WINNT\system32\maxpaynowti.exe C:\WINNT\system32\Kf9467g.dll C:\WINNT\system32\H4dj24g.dll C:\WINNT\apphelp32.dll C:\WINNT\asferror32.dll C:\WINNT\asycfilt32.dll C:\WINNT\athprxy32.dll C:\WINNT\ati2dvaa32.dll C:\WINNT\ati2dvag32.dll C:\WINNT\audiosrv32.dll C:\WINNT\autodisc32.dll C:\WINNT\avifile32.dll C:\WINNT\avisynthex32.dll C:\WINNT\aviwrap32.dll C:\WINNT\browserad.dll C:\WINNT\changeurl_30.dll C:\WINNT\FLEOK\180ax.exe C:\WINNT\Installer\id53.exe C:\WINNT\msa64chk.dll C:\WINNT\msapasrc.dll C:\WINNT\ntnut.exe C:\WINNT\shdocpe.dll C:\WINNT\shdocpl.dll C:\WINNT\system32\MSNSA32.dll C:\WINNT\system32\ntnut32.exe C:\WINNT\system32\shdocpe.dll C:\WINNT\system32\SIPSPI32.dll C:\WINNT\winsb.dll Folder:: C:\Program Files\zango C:\Program Files\Sysmnt C:\Program Files\180solutions C:\Program Files\180searchassistant C:\Program Files\180search assistant C:\Program Files\stc Driver:: qtprot hdport Google Online Search Service - 2nd kbd Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)

[attachment=0]CFScript3.gif[/attachment]

Po tym podaj wygenerowany log z ComboFix’a , (myślę że trzeba będzie usuwać Avenger’em ale to sie dowiem po nowym logu z ComboFix’a).

addmir · 21 Marzec 2008 18:53

C_S_O

Użyj jeszcze SmitFraudFix z opcji 2, w trybie awaryjnym. Pokaż z niego raport

baldys16

Za dużo sobie pozwalasz :evil: To, że nie potrafisz usunąć infekcji do końca, nie jest powodem do obrażania dawidek11 , który się tego podjął

Kaka2 · 21 Marzec 2008 20:40

OTy > kosz.

baldys16 , radzę panować nad tym co się wypisuje…