lolaf
(Lolafto)
29 Październik 2009 07:52
#1
Witam
Proszę o sprawdzenie log, w msconfig w uruchamianiu mam pełno nieznanych uruchomień o nietypowych nazwach typu YUR81EB.exe, YUR7A9B.exe co z resztą widać na log. Najprawdopodobniej przez to nie ładują się strony mi oraz użytkownikom serwera. NOD32 wykrył 10 infekcji.
Link do log: http://www.wklejto.pl/index.php?id=45619
szymon189
(szymon189)
29 Październik 2009 08:29
#2
Fix:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/
O3 - Toolbar: (no name) - {59B4236E-2A39-4942-8278-980630D6D26F} - (no file)
O4 - HKLM\..\Run: [\YURB32D.exe] C:\Windows\system32\YURB32D.exe
O4 - HKLM\..\Run: [\YURBB29.exe] C:\Windows\system32\YURBB29.exe
O4 - HKLM\..\Run: [\YUR9FC8.exe] C:\Windows\system32\YUR9FC8.exe
O4 - HKLM\..\Run: [\YUR9FC7.exe] C:\Windows\system32\YUR9FC7.exe
O4 - HKLM\..\Run: [\YURA2D3.exe] C:\Windows\system32\YURA2D3.exe
O4 - HKLM\..\Run: [\YURA2A4.exe] C:\Windows\system32\YURA2A4.exe
O4 - HKLM\..\Run: [\YUR72CE.exe] C:\Windows\system32\YUR72CE.exe
O4 - HKLM\..\Run: [\YUR730C.exe] C:\Windows\system32\YUR730C.exe
O4 - HKLM\..\Run: [\YUR758C.exe] C:\Windows\system32\YUR758C.exe
O4 - HKLM\..\Run: [\YUR7B66.exe] C:\Windows\system32\YUR7B66.exe
O4 - HKLM\..\Run: [\YUR7EC0.exe] C:\Windows\system32\YUR7EC0.exe
O4 - HKLM\..\Run: [\YUR7ECF.exe] C:\Windows\system32\YUR7ECF.exe
O4 - HKLM\..\Run: [\YURA6F8.exe] C:\Windows\system32\YURA6F8.exe
O4 - HKLM\..\Run: [\YUR6FF1.exe] C:\Windows\system32\YUR6FF1.exe
O4 - HKLM\..\Run: [\YUR737A.exe] C:\Windows\system32\YUR737A.exe
O4 - HKLM\..\Run: [\YUR7A9B.exe] C:\Windows\system32\YUR7A9B.exe
O4 - HKLM\..\Run: [\YUR7D0B.exe] C:\Windows\system32\YUR7D0B.exe
O4 - HKLM\..\Run: [\YUR81EB.exe] C:\Windows\system32\YUR81EB.exe
O4 - HKLM\..\Run: [\YUR1016.exe] C:\Windows\system32\YUR1016.exe
O4 - HKLM\..\Run: [\YURAC26.exe] C:\Windows\system32\YURAC26.exe
O4 - HKLM\..\Run: [\YUR87D4.exe] C:\Windows\system32\YUR87D4.exe
O4 - HKCU\..\Run: [\YURB32D.exe] C:\Windows\system32\YURB32D.exe
O4 - HKCU\..\Run: [\YURB530.exe] C:\Windows\system32\YURB530.exe
O4 - HKCU\..\Run: [\YURB974.exe] C:\Windows\system32\YURB974.exe
O4 - HKCU\..\Run: [\YURBB29.exe] C:\Windows\system32\YURBB29.exe
O4 - HKCU\..\Run: [\YUR9FC8.exe] C:\Windows\system32\YUR9FC8.exe
O4 - HKCU\..\Run: [\YUR9FC7.exe] C:\Windows\system32\YUR9FC7.exe
O4 - HKCU\..\Run: [\YURA2D3.exe] C:\Windows\system32\YURA2D3.exe
O4 - HKCU\..\Run: [\YURA2A4.exe] C:\Windows\system32\YURA2A4.exe
O4 - HKCU\..\Run: [\YUR72CE.exe] C:\Windows\system32\YUR72CE.exe
O4 - HKCU\..\Run: [\YUR730C.exe] C:\Windows\system32\YUR730C.exe
O4 - HKCU\..\Run: [\YUR758C.exe] C:\Windows\system32\YUR758C.exe
O4 - HKCU\..\Run: [\YUR7B66.exe] C:\Windows\system32\YUR7B66.exe
O4 - HKCU\..\Run: [\YUR7E14.exe] C:\Windows\system32\YUR7E14.exe
O4 - HKCU\..\Run: [\YUR7E62.exe] C:\Windows\system32\YUR7E62.exe
O4 - HKCU\..\Run: [\YUR9D67.exe] C:\Windows\system32\YUR9D67.exe
O4 - HKCU\..\Run: [\YURCE94.exe] C:\Windows\system32\YURCE94.exe
O4 - HKCU\..\Run: [\YUR7EC0.exe] C:\Windows\system32\YUR7EC0.exe
O4 - HKCU\..\Run: [\YUR8027.exe] C:\Windows\system32\YUR8027.exe
O4 - HKCU\..\Run: [\YUR7ECF.exe] C:\Windows\system32\YUR7ECF.exe
O4 - HKCU\..\Run: [\YURA6F8.exe] C:\Windows\system32\YURA6F8.exe
O4 - HKCU\..\Run: [\YUR6FF1.exe] C:\Windows\system32\YUR6FF1.exe
O4 - HKCU\..\Run: [\YUR737A.exe] C:\Windows\system32\YUR737A.exe
O4 - HKCU\..\Run: [\YUR7A9B.exe] C:\Windows\system32\YUR7A9B.exe
O4 - HKCU\..\Run: [\YUR7D0B.exe] C:\Windows\system32\YUR7D0B.exe
O4 - HKCU\..\Run: [\YUR7963.exe] C:\Windows\system32\YUR7963.exe
O4 - HKCU\..\Run: [\YUR81EB.exe] C:\Windows\system32\YUR81EB.exe
O4 - HKCU\..\Run: [\YUR9B64.exe] C:\Windows\system32\YUR9B64.exe
O4 - HKCU\..\Run: [\YUR1016.exe] C:\Windows\system32\YUR1016.exe
O4 - HKCU\..\Run: [\YUR8361.exe] C:\Windows\system32\YUR8361.exe
O4 - HKCU\..\Run: [\YUR8313.exe] C:\Windows\system32\YUR8313.exe
O4 - HKCU\..\Run: [\YURAC26.exe] C:\Windows\system32\YURAC26.exe
O4 - HKCU\..\Run: [\YUR87D4.exe] C:\Windows\system32\YUR87D4.exe
O4 - HKCU\..\Run: [\YUR7E24.exe] C:\Windows\system32\YUR7E24.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
Gdy to zrobisz to zainstaluj antwywirusa AVG Anti-Virus Free Edition . Zaktualizuj bazę wirusów i przeskanuj cały swój komputer. Potem skorzystaj z programu Malwarebytes Anti-Malware do wykrywania złośliwego oprogramowania. Również zaktualizuj i przeskanuj cały swój komputer. Potem użyj CCleaner do przeskanowania swojego systemu oraz rejestru.
Potem wrzuć jeszcze raz log z HijackThis i OTL .
lolaf
(Lolafto)
29 Październik 2009 09:48
#3
Czy konieczna jest instalacja AVG?? Gdyż mam wykupioną licencję na NODA, a to jest komputer w pracy.
Czy istnieje ryzyko że system padnie po usunięciu tych wpisów??
jessica
(jessica)
29 Październik 2009 09:59
#4
Ja też uważam, że instalowanie innego Antivirusa, w sytuacji, gdy ma się już jednego dobrego Antivirusa, to bzdura.
Co innego, gdyby instalować Antivirusa w wersji “mini” (np. http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html ), który ma służyć tylko jednorazowo, a potem go usunąć, a co innego instalowanie pełnego Antivirusa. Ja tego nie popieram!
Natomiast użycie MBAM , i danie tu logu z OTL - to popieram!
jessi
szymon189
(szymon189)
29 Październik 2009 10:10
#5
Mój błąd, ponieważ nie zauważyłem że posiadasz NOD32. Myślałem, że nie posiadasz antywirusa. Czekamy na dalsze logi.
Hitm3n
(Hitm3n)
29 Październik 2009 13:49
#6
@lolaf co do tego, czy padnie Ci system, to nie powinien, bo nie są to pliki czysto systemowe.
Zastosuj się do rady jessica i szymon189 , z wyjątkiem AVG
lolaf
(Lolafto)
30 Październik 2009 09:53
#7
Niestety wszystko wskazuje na to że problem nadal istnieje
log z OTL http://www.wklejto.pl/45755
log z Hijackthis http://www.wklejto.pl/45756
jessica
(jessica)
30 Październik 2009 10:13
#8
Nie widać tu żadnej aktywnej infekcji.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Ponieważ OTL nie potrafi wykryć Rootkita w sektorze MBR dysku, to możesz dodać jeszcze:
albo log z >>SRENG
(Po uruchomieniu kliknij “SmartScan”, zaznacz “Verify…”, kliknij “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
albo log z > mbr.exe >http://www.searchengines.pl/index.php?show…mp;#entry470953 (scan trwa tylko 2 sekundy)
Jeśli tego Rootkita nie będzie, to będzie oznaczało, że Twoje problemy wynikają z przyczyn "pozawirusowych (np. jakiś nowy program, itp).
jessi
lolaf
(Lolafto)
30 Październik 2009 11:00
#9
jessica
(jessica)
30 Październik 2009 11:36
#10
Rootkita nie ma, innych infekcji też nie widać.
Sprzątanie:
Uruchom SRENG, kliknij "System Repair, przejdź do karty “Browser Add-ons”, wyszukuj i zaznaczaj:
i klikaj na “Delete Selected”.
W OTL kliknij na “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
(XP:)
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi