Chyba trojan na AQQ. Wysyłanie bezwiednie emotikonek

2kj · 21 Grudzień 2009 18:00

Witam

Ostatnio dowiedziałem się, że wysyłam emotkę jakiegoś M&Msa nie wiedząc o tym, wiem też że powoduje to błąd AQQ, nie wiem czy to jakiś trojan, czy inne cudo prosiłbym o sprawdzenie loga:

http://wklejto.pl/50992

krzysiekx · 21 Grudzień 2009 18:09

Możesz to sfixować w hjt, ale z aqq to raczej nic wspólnego nie ma.Próbowałeś reinstalacji?

Gutek · 21 Grudzień 2009 18:22

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\CYS~1.BLA\USTAWI~1\Temp\herss.exe

Pokaż log z: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan. - otl-gmer-rsit-dds-inne-instrukcje-t370405.html

muszi1 · 21 Grudzień 2009 18:48

To nie żaden trojan ani nic takiego. W GG są teraz reklamy w postaci M&Ms’ów zamiast niektórych emotek. AQQ sobie z tym nie radzi i sypie błędami.

krzysiekx · 21 Grudzień 2009 18:53

Jednak zdecydowanie jest coś nie tak.Przed chwilą podczas przeglądania niekomercyjnego, darmowego, amatorskiego forum zamiast emotek zauważyłem w/w m&m’sy

Gutek · 21 Grudzień 2009 19:08

jest wirus i proszę o log z OTL

2kj · 21 Grudzień 2009 21:03

OTL

http://wklejto.pl/51047

Na forum AQQ dowiedziałem się że faktycznie AQQ nie radzi sobie z nowymi emotkami GG.

Narobiło mi to lekkiego stracha ale widzę, że i tak warto było zamieścić log.

Dziękuję wszystkim

Gutek · 21 Grudzień 2009 21:24

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:Processes Explorer.EXE :OTL MOD - [2009-12-21 15:19:38 | 00,218,716 | RHS- | M] () – C:\Documents and Settings\Cys.BLASZAKIII\Ustawienia lokalne\Temp\cvasds0.dll IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=101764&l=dis FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=” [2009-08-25 17:43:12 | 00,000,000 | —D | M] (No name found) – C:\Documents and Settings\Cys.BLASZAKIII\Dane aplikacji\Mozilla\Firefox\Profiles\sffdk3nd.default\extensions{E9A1DEE0-C623-4439-8932-001E7D17607D} [2009-08-25 18:47:10 | 00,000,682 | ---- | M] () – C:\Documents and Settings\Cys.BLASZAKIII\Dane aplikacji\Mozilla\Firefox\Profiles\sffdk3nd.default\searchplugins\ask.xml O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O28 - HKLM ShellExecuteHooks: {68101905-D80F-4788-96F6-98618116178A} - C:\WINDOWS\system32\flashadgmn32.dll () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () O33 - MountPoints2{3779018d-2cd2-11de-bb33-000e50d95a49}\Shell\AutoRun\command - “” = F:\ej10fkdo.bat – File not found O33 - MountPoints2{3779018d-2cd2-11de-bb33-000e50d95a49}\Shell\open\Command - “” = F:\ej10fkdo.bat – File not found O33 - MountPoints2{5dee78b2-b2af-11de-bd19-000e50d95a49}\Shell\AutoRun\command - “” = G:\se12ydam.exe – File not found O33 - MountPoints2{5dee78b2-b2af-11de-bd19-000e50d95a49}\Shell\open\Command - “” = G:\se12ydam.exe – File not found O33 - MountPoints2{729fede4-bfe9-11de-bd42-000e50d95a49}\Shell\AutoRun\command - “” = G:\wcgswa.exe – File not found O33 - MountPoints2{729fede4-bfe9-11de-bd42-000e50d95a49}\Shell\open\Command - “” = G:\wcgswa.exe – File not found O33 - MountPoints2{84312a0d-fb52-11dd-ba5e-000e50d95a49}\Shell\AutoRun\command - “” = F:\2fiji.com – File not found O33 - MountPoints2{84312a0d-fb52-11dd-ba5e-000e50d95a49}\Shell\explore\Command - “” = F:\2fiji.com – File not found O33 - MountPoints2{84312a0d-fb52-11dd-ba5e-000e50d95a49}\Shell\open\Command - “” = F:\2fiji.com – File not found O33 - MountPoints2{9f4da60a-371e-11de-bb56-000e50d95a49}\Shell\AutoRun\command - “” = F:\2fiji.com – File not found O33 - MountPoints2{9f4da60a-371e-11de-bb56-000e50d95a49}\Shell\explore\Command - “” = F:\2fiji.com – File not found O33 - MountPoints2{9f4da60a-371e-11de-bb56-000e50d95a49}\Shell\open\Command - “” = F:\2fiji.com – File not found O33 - MountPoints2{adcf2b3c-5905-11de-bbed-000e50d95a49}\Shell\AutoRun\command - “” = F:\w.com – File not found O33 - MountPoints2{adcf2b3c-5905-11de-bbed-000e50d95a49}\Shell\open\Command - “” = F:\w.com – File not found O33 - MountPoints2{b3898f86-93cf-11de-bcb9-000e50d95a49}\Shell\AutoRun\command - “” = G:\a2g21.exe – File not found O33 - MountPoints2{b3898f86-93cf-11de-bcb9-000e50d95a49}\Shell\open\Command - “” = G:\a2g21.exe – File not found O33 - MountPoints2{efface94-c700-11de-bd54-000e50d95a49}\Shell\AutoRun\command - “” = G:\2fiji.com – File not found O33 - MountPoints2{efface94-c700-11de-bd54-000e50d95a49}\Shell\explore\Command - “” = G:\2fiji.com – File not found O33 - MountPoints2{efface94-c700-11de-bd54-000e50d95a49}\Shell\open\Command - “” = G:\2fiji.com – File not found O33 - MountPoints2{efface95-c700-11de-bd54-000e50d95a49}\Shell\AutoRun\command - “” = H:\2fiji.com – File not found O33 - MountPoints2{efface95-c700-11de-bd54-000e50d95a49}\Shell\explore\Command - “” = H:\2fiji.com – File not found O33 - MountPoints2{efface95-c700-11de-bd54-000e50d95a49}\Shell\open\Command - “” = H:\2fiji.com – File not found [2009-12-08 14:06:23 | 00,118,048 | RHS- | M] () – C:\xmor.exe [2009-12-07 15:58:06 | 00,117,228 | RHS- | M] () – C:\ohd.exe [2009-12-06 17:51:37 | 00,115,347 | RHS- | M] () – C:\2id9.exe [2009-12-05 08:39:19 | 00,113,233 | RHS- | M] () – C:\k8jc.exe [2009-12-03 15:53:37 | 00,113,792 | RHS- | M] () – C:\mbvd.exe [2009-12-02 14:40:47 | 00,115,905 | RHS- | M] () – C:\mbdm.exe [2009-11-30 12:48:58 | 00,115,856 | RHS- | M] () – C:\q3kku.exe [2009-11-26 19:48:05 | 00,114,928 | RHS- | M] () – C:\cs6phv6d.exe [2009-11-26 15:52:30 | 00,114,819 | RHS- | M] () – C:\wfx062.exe [2009-11-25 14:47:51 | 00,116,090 | RHS- | M] () – C:\ngp8l.exe [2009-11-24 09:27:28 | 00,113,508 | RHS- | M] () – C:\wu1n.exe [2009-11-23 14:29:50 | 00,115,372 | RHS- | M] () – C:\i9bwjpqc.exe [2009-12-07 15:58:33 | 00,117,228 | RHS- | C] () – C:\ohd.exe [2009-12-06 17:52:05 | 00,115,347 | RHS- | C] () – C:\2id9.exe [2009-12-05 08:39:46 | 00,113,233 | RHS- | C] () – C:\k8jc.exe [2009-12-03 12:53:59 | 00,113,792 | RHS- | C] () – C:\mbvd.exe [2009-11-30 22:56:58 | 00,115,905 | RHS- | C] () – C:\mbdm.exe [2009-11-28 14:02:44 | 00,115,856 | RHS- | C] () – C:\q3kku.exe [2009-11-26 19:48:32 | 00,114,928 | RHS- | C] () – C:\cs6phv6d.exe [2009-11-26 15:52:58 | 00,114,819 | RHS- | C] () – C:\wfx062.exe [2009-11-25 14:48:17 | 00,116,090 | RHS- | C] () – C:\ngp8l.exe [2009-11-24 09:27:56 | 00,113,508 | RHS- | C] () – C:\wu1n.exe [2009-11-23 14:30:17 | 00,115,372 | RHS- | C] () – C:\i9bwjpqc.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Użyj - http://www.bezpieczenstwosystemow.pl/in … pic=1647.0

- Flash Disinfector

- Panda USB Vaccine

2kj · 22 Grudzień 2009 12:35

Log z czyszczenia

Ponowny log po czyszczeniu

Gutek · 22 Grudzień 2009 17:40

Wykonaj pełny skan Dr. Web CureIt

2kj · 25 Grudzień 2009 15:22

Przeskanowane (było tego trochę)

deFco247 · 25 Grudzień 2009 15:25

Pokaż raport z usuwania.

2kj · 25 Grudzień 2009 18:42

po skanowaniu zresetowało komputer i nie wytworzyło raportu (chyba że jestem ślepy i nie mogę odszukać tego)

deFco247 · 25 Grudzień 2009 18:46

Na wszelki wypadek jeśli korzystasz z Przywracania Systemu, to wyłącz i włącz je na wszystkich dyskach, gdyż ta infekcja lubi się kopiować do folderów przywracania systemu.

Instrukcja XP.

No i zaktualizuj system do stanu Service Pack 3.

2kj · 26 Grudzień 2009 14:55

O SP3 słyszę tak mieszane zdania że nieco się obawiam to instalować

deFco247 · 26 Grudzień 2009 14:57

Nie wiem czego się obawiać z Service Pack 3. Przede wszystkim tym załatasz wiele luk systemowych (w tym np. tą, której używa CONFICKER ).

2kj · 27 Grudzień 2009 21:58

zainstalowane

rozumiem że temat do zamknięcia