Dużo nieznanych programów przy starcie, strony się nie zawsz

lolaf · 29 Październik 2009 07:52

Witam

Proszę o sprawdzenie log, w msconfig w uruchamianiu mam pełno nieznanych uruchomień o nietypowych nazwach typu YUR81EB.exe, YUR7A9B.exe co z resztą widać na log. Najprawdopodobniej przez to nie ładują się strony mi oraz użytkownikom serwera. NOD32 wykrył 10 infekcji.

Link do log: http://www.wklejto.pl/index.php?id=45619

szymon189 · 29 Październik 2009 08:29

Fix:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/

O3 - Toolbar: (no name) - {59B4236E-2A39-4942-8278-980630D6D26F} - (no file)

O4 - HKLM\..\Run: [\YURB32D.exe] C:\Windows\system32\YURB32D.exe

O4 - HKLM\..\Run: [\YURBB29.exe] C:\Windows\system32\YURBB29.exe

O4 - HKLM\..\Run: [\YUR9FC8.exe] C:\Windows\system32\YUR9FC8.exe

O4 - HKLM\..\Run: [\YUR9FC7.exe] C:\Windows\system32\YUR9FC7.exe

O4 - HKLM\..\Run: [\YURA2D3.exe] C:\Windows\system32\YURA2D3.exe

O4 - HKLM\..\Run: [\YURA2A4.exe] C:\Windows\system32\YURA2A4.exe

O4 - HKLM\..\Run: [\YUR72CE.exe] C:\Windows\system32\YUR72CE.exe

O4 - HKLM\..\Run: [\YUR730C.exe] C:\Windows\system32\YUR730C.exe

O4 - HKLM\..\Run: [\YUR758C.exe] C:\Windows\system32\YUR758C.exe

O4 - HKLM\..\Run: [\YUR7B66.exe] C:\Windows\system32\YUR7B66.exe

O4 - HKLM\..\Run: [\YUR7EC0.exe] C:\Windows\system32\YUR7EC0.exe

O4 - HKLM\..\Run: [\YUR7ECF.exe] C:\Windows\system32\YUR7ECF.exe

O4 - HKLM\..\Run: [\YURA6F8.exe] C:\Windows\system32\YURA6F8.exe

O4 - HKLM\..\Run: [\YUR6FF1.exe] C:\Windows\system32\YUR6FF1.exe

O4 - HKLM\..\Run: [\YUR737A.exe] C:\Windows\system32\YUR737A.exe

O4 - HKLM\..\Run: [\YUR7A9B.exe] C:\Windows\system32\YUR7A9B.exe

O4 - HKLM\..\Run: [\YUR7D0B.exe] C:\Windows\system32\YUR7D0B.exe

O4 - HKLM\..\Run: [\YUR81EB.exe] C:\Windows\system32\YUR81EB.exe

O4 - HKLM\..\Run: [\YUR1016.exe] C:\Windows\system32\YUR1016.exe

O4 - HKLM\..\Run: [\YURAC26.exe] C:\Windows\system32\YURAC26.exe

O4 - HKLM\..\Run: [\YUR87D4.exe] C:\Windows\system32\YUR87D4.exe

O4 - HKCU\..\Run: [\YURB32D.exe] C:\Windows\system32\YURB32D.exe

O4 - HKCU\..\Run: [\YURB530.exe] C:\Windows\system32\YURB530.exe

O4 - HKCU\..\Run: [\YURB974.exe] C:\Windows\system32\YURB974.exe

O4 - HKCU\..\Run: [\YURBB29.exe] C:\Windows\system32\YURBB29.exe

O4 - HKCU\..\Run: [\YUR9FC8.exe] C:\Windows\system32\YUR9FC8.exe

O4 - HKCU\..\Run: [\YUR9FC7.exe] C:\Windows\system32\YUR9FC7.exe

O4 - HKCU\..\Run: [\YURA2D3.exe] C:\Windows\system32\YURA2D3.exe

O4 - HKCU\..\Run: [\YURA2A4.exe] C:\Windows\system32\YURA2A4.exe

O4 - HKCU\..\Run: [\YUR72CE.exe] C:\Windows\system32\YUR72CE.exe

O4 - HKCU\..\Run: [\YUR730C.exe] C:\Windows\system32\YUR730C.exe

O4 - HKCU\..\Run: [\YUR758C.exe] C:\Windows\system32\YUR758C.exe

O4 - HKCU\..\Run: [\YUR7B66.exe] C:\Windows\system32\YUR7B66.exe

O4 - HKCU\..\Run: [\YUR7E14.exe] C:\Windows\system32\YUR7E14.exe

O4 - HKCU\..\Run: [\YUR7E62.exe] C:\Windows\system32\YUR7E62.exe

O4 - HKCU\..\Run: [\YUR9D67.exe] C:\Windows\system32\YUR9D67.exe

O4 - HKCU\..\Run: [\YURCE94.exe] C:\Windows\system32\YURCE94.exe

O4 - HKCU\..\Run: [\YUR7EC0.exe] C:\Windows\system32\YUR7EC0.exe

O4 - HKCU\..\Run: [\YUR8027.exe] C:\Windows\system32\YUR8027.exe

O4 - HKCU\..\Run: [\YUR7ECF.exe] C:\Windows\system32\YUR7ECF.exe

O4 - HKCU\..\Run: [\YURA6F8.exe] C:\Windows\system32\YURA6F8.exe

O4 - HKCU\..\Run: [\YUR6FF1.exe] C:\Windows\system32\YUR6FF1.exe

O4 - HKCU\..\Run: [\YUR737A.exe] C:\Windows\system32\YUR737A.exe

O4 - HKCU\..\Run: [\YUR7A9B.exe] C:\Windows\system32\YUR7A9B.exe

O4 - HKCU\..\Run: [\YUR7D0B.exe] C:\Windows\system32\YUR7D0B.exe

O4 - HKCU\..\Run: [\YUR7963.exe] C:\Windows\system32\YUR7963.exe

O4 - HKCU\..\Run: [\YUR81EB.exe] C:\Windows\system32\YUR81EB.exe

O4 - HKCU\..\Run: [\YUR9B64.exe] C:\Windows\system32\YUR9B64.exe

O4 - HKCU\..\Run: [\YUR1016.exe] C:\Windows\system32\YUR1016.exe

O4 - HKCU\..\Run: [\YUR8361.exe] C:\Windows\system32\YUR8361.exe

O4 - HKCU\..\Run: [\YUR8313.exe] C:\Windows\system32\YUR8313.exe

O4 - HKCU\..\Run: [\YURAC26.exe] C:\Windows\system32\YURAC26.exe

O4 - HKCU\..\Run: [\YUR87D4.exe] C:\Windows\system32\YUR87D4.exe

O4 - HKCU\..\Run: [\YUR7E24.exe] C:\Windows\system32\YUR7E24.exe

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

Gdy to zrobisz to zainstaluj antwywirusa AVG Anti-Virus Free Edition. Zaktualizuj bazę wirusów i przeskanuj cały swój komputer. Potem skorzystaj z programu Malwarebytes Anti-Malware do wykrywania złośliwego oprogramowania. Również zaktualizuj i przeskanuj cały swój komputer. Potem użyj CCleaner do przeskanowania swojego systemu oraz rejestru.

Potem wrzuć jeszcze raz log z HijackThis i OTL.

lolaf · 29 Październik 2009 09:48

Czy konieczna jest instalacja AVG?? Gdyż mam wykupioną licencję na NODA, a to jest komputer w pracy.

Czy istnieje ryzyko że system padnie po usunięciu tych wpisów??

jessica · 29 Październik 2009 09:59

Ja też uważam, że instalowanie innego Antivirusa, w sytuacji, gdy ma się już jednego dobrego Antivirusa, to bzdura.

Co innego, gdyby instalować Antivirusa w wersji “mini” (np. http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html), który ma służyć tylko jednorazowo, a potem go usunąć, a co innego instalowanie pełnego Antivirusa. Ja tego nie popieram!

Natomiast użycie MBAM , i danie tu logu z OTL - to popieram!

jessi

szymon189 · 29 Październik 2009 10:10

Mój błąd, ponieważ nie zauważyłem że posiadasz NOD32. Myślałem, że nie posiadasz antywirusa. Czekamy na dalsze logi.

Hitm3n · 29 Październik 2009 13:49

@lolaf co do tego, czy padnie Ci system, to nie powinien, bo nie są to pliki czysto systemowe.

Zastosuj się do rady jessica i szymon189 , z wyjątkiem AVG

lolaf · 30 Październik 2009 09:53

Niestety wszystko wskazuje na to że problem nadal istnieje

log z OTL http://www.wklejto.pl/45755

log z Hijackthis http://www.wklejto.pl/45756

jessica · 30 Październik 2009 10:13

Nie widać tu żadnej aktywnej infekcji.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O33 - MountPoints2{254517c6-223c-11dd-a92a-001d7daaa708}\Shell\AutoRun\command - “” = WScript.exe .`.vbs O33 - MountPoints2{254517c6-223c-11dd-a92a-001d7daaa708}\Shell\open\Command - “” = WScript.exe .`.vbs O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [\YUR1016.exe] C:\Windows\SysWow64\YUR1016.exe File not found O4 - HKLM…\Run: [\YUR6FF1.exe] C:\Windows\SysWow64\YUR6FF1.exe File not found O4 - HKLM…\Run: [\YUR72CE.exe] C:\Windows\SysWow64\YUR72CE.exe File not found O4 - HKLM…\Run: [\YUR730C.exe] C:\Windows\SysWow64\YUR730C.exe File not found O4 - HKLM…\Run: [\YUR737A.exe] C:\Windows\SysWow64\YUR737A.exe File not found O4 - HKLM…\Run: [\YUR758C.exe] C:\Windows\SysWow64\YUR758C.exe File not found O4 - HKLM…\Run: [\YUR7A9B.exe] C:\Windows\SysWow64\YUR7A9B.exe File not found O4 - HKLM…\Run: [\YUR7B66.exe] C:\Windows\SysWow64\YUR7B66.exe File not found O4 - HKLM…\Run: [\YUR7D0B.exe] C:\Windows\SysWow64\YUR7D0B.exe File not found O4 - HKLM…\Run: [\YUR7EC0.exe] C:\Windows\SysWow64\YUR7EC0.exe File not found O4 - HKLM…\Run: [\YUR7ECF.exe] C:\Windows\SysWow64\YUR7ECF.exe File not found O4 - HKLM…\Run: [\YUR81EB.exe] C:\Windows\SysWow64\YUR81EB.exe File not found O4 - HKLM…\Run: [\YUR87D4.exe] C:\Windows\SysWow64\YUR87D4.exe File not found O4 - HKLM…\Run: [\YUR9FC7.exe] C:\Windows\SysWow64\YUR9FC7.exe File not found O4 - HKLM…\Run: [\YUR9FC8.exe] C:\Windows\SysWow64\YUR9FC8.exe File not found O4 - HKLM…\Run: [\YURA2A4.exe] C:\Windows\SysWow64\YURA2A4.exe File not found O4 - HKLM…\Run: [\YURA2D3.exe] C:\Windows\SysWow64\YURA2D3.exe File not found O4 - HKLM…\Run: [\YURA6F8.exe] C:\Windows\SysWow64\YURA6F8.exe File not found O4 - HKLM…\Run: [\YURAC26.exe] C:\Windows\SysWow64\YURAC26.exe File not found O4 - HKLM…\Run: [\YURB32D.exe] C:\Windows\SysWow64\YURB32D.exe File not found O4 - HKLM…\Run: [\YURBB29.exe] C:\Windows\SysWow64\YURBB29.exe File not found O3 - HKLM…\Toolbar: (no name) - {59B4236E-2A39-4942-8278-980630D6D26F} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Ponieważ OTL nie potrafi wykryć Rootkita w sektorze MBR dysku, to możesz dodać jeszcze:

albo log z >>SRENG

(Po uruchomieniu kliknij “SmartScan”, zaznacz “Verify…”, kliknij “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).

albo log z > mbr.exe >http://www.searchengines.pl/index.php?show…mp;#entry470953 (scan trwa tylko 2 sekundy)

Jeśli tego Rootkita nie będzie, to będzie oznaczało, że Twoje problemy wynikają z przyczyn "pozawirusowych (np. jakiś nowy program, itp).

jessi

lolaf · 30 Październik 2009 11:00

Raport z czyszczenia OTL http://www.wklejto.pl/45764

Ponowny Scan OTL http://www.wklejto.pl/45766

Log sreng http://www.wklejto.pl/45767

Wygląda na to że jest OK

jessica · 30 Październik 2009 11:36

Rootkita nie ma, innych infekcji też nie widać.

Sprzątanie:

Uruchom SRENG, kliknij "System Repair, przejdź do karty “Browser Add-ons”, wyszukuj i zaznaczaj:

i klikaj na “Delete Selected”.

W OTL kliknij na “CleanUp” - to go usunie.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

(XP:)

jessi