Witam, mam problem z pewnym komputerem. Czy moglibyście sprawdzić co w poniższych logach piszczy?
Dziękuję.
Witam, mam problem z pewnym komputerem. Czy moglibyście sprawdzić co w poniższych logach piszczy?
Dziękuję.
Piszczy infekcja z pendrive’a.
Wklej do Notatnika :
File::
c:\windows\system32\nmdfgds0.dll
C:\imo.exe
d:\imo.exe
e:\imo.exe
C:\w98.com
d:\w98.com
e:\w98.com
c:\windows\system32\optyhww1.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
c:\windows\AhnRpta.exe
c:\windows\system32\urretnd.exe
c:\windows\system32\optyhww0.dll
c:\windows\system32\cvnmhg0.dll
c:\windows\system32\afmain0.dll
c:\windows\system32\afmain1.dll
c:\windows\system32\afmain2.dll
Folder::
C:\FOUND.026
C:\FOUND.028
C:\FOUND.027
C:\FOUND.025
C:\FOUND.024
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
Znasz te programy?
jessi
Hm, nie znasz tych programów, ale ja jakoś boję się ich tak od razu usuwać.
Może najpierw zobaczę, co jest w dwóch z nich:
Wklej do Notatnika :
DirLook::
c:\documents and settings\All Users\Dane aplikacji\1C36B
c:\documents and settings\All Users\Dane aplikacji\F177
File::
K:\2.exe
d:\2.exe
e:\2.exe
Driver::
pr2apasb
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{42e31c80-ebae-11dd-b4d6-001d7d9f0cce}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
jessi
Dzisiaj już nie mam dostępu do tego komputera. Jutro z samego rana postaram się wrzucić log.
Edycja:
Wygenerowany log: klik.
PS. System pracuje już stabilniej, ale w dalszym ciągu coś go boli. Przykład: chcę otworzyć jakąkolwiek partycję to otwiera mi się okno wyszukiwania plików :?
Te nieznane programy to jakieś obiekty graficzne “Shockwave Flash Object”.
To chyba któregoś z Twoich innych programów graficznych.
Wg mnie - to nic szkodliwego, choć pewności nie mam.
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsctf.exe"=-
[HKEY_CLASSES_ROOT\Folder\shell]
[HKEY_CLASSES_ROOT\Folder\shell\explore]
"BrowserFlags"=dword:00000022
"ExplorerFlags"=dword:00000021
[HKEY_CLASSES_ROOT\Folder\shell\explore\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\
00,25,00,49,00,2c,00,25,00,4c,00,00,00
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]
@="[ExploreFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]
@="Folders"
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]
@="[]"
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]
@="AppProperties"
[HKEY_CLASSES_ROOT\Folder\shell\open]
"BrowserFlags"=dword:00000010
"ExplorerFlags"=dword:00000012
[HKEY_CLASSES_ROOT\Folder\shell\open\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\
00,25,00,4c,00,00,00
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]
@="[ViewFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]
@="Folders"
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]
@="[]"
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]
@="AppProperties"
[-HKEY_CLASSES_ROOT\Directory\shell\explore]
[-HKEY_CLASSES_ROOT\Directory\shell\open]
[-HKEY_CLASSES_ROOT\Drive\shell\open]
[HKEY_CLASSES_ROOT\Drive\shell]
@="none"
[HKEY_CLASSES_ROOT\Directory\shell]
@="none"
[HKEY_CLASSES_ROOT\Folder\shell]
@=-
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Nic tu więcej nie ma ciekawego.
jessi
Dziękuję za pomoc.