Witam. Proszę o sprawdzenie loga HjT. W sumie z kompem nic się nie dzieje ale właśnie ten plik jest podejrzany dla mnie, bo nie pasuje do żadnego z programów które instalowałem. Zresztą sami oceńcie.
http://wklej.org/id/153662/?zawin=0
Z góry dzięki.
W logu nie widać tego pliku “3yalgc.exe”. Nazwa wskazuje na infekcję “pendrivową”, tym bardziej, że w logu jest to:
Daj log z OTL
jessi
A co to jest dokładnie ten herss.exe? Bo z innych postów wyczytałem, że to jakiś trojan…
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1659004503-1500820517-682003330-1003..\Run: [cdoosoft] C:\Documents and Settings\Markus\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKLM..\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found
O32 - AutoRun File - [2009-09-22 17:25:04 | 00,000,059 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2009-09-22 17:25:04 | 00,000,059 | RHS- | M] () - D:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2009-09-22 17:25:04 | 00,000,059 | RHS- | M] () - E:\autorun.inf -- [NTFS]
O33 - MountPoints2\{ca87ee5c-a695-11de-aac3-001109d939c4}\Shell\AutoRun\command - "" = I:\cqb6wo.exe -- File not found
O33 - MountPoints2\{ca87ee5c-a695-11de-aac3-001109d939c4}\Shell\open\Command - "" = I:\cqb6wo.exe -- File not found
:Files
C:\cqb6wo.exe
D:\cqb6wo.exe
E:\cqb6wo.exe
C:\3yalgc.exe
D:\3yalgc.exe
E:\3yalgc.exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
[start explorer]
[Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
Nie da rady tego usunąć przez OTL. Po kliknięciu Run FIX komp mi się zawiesza i nic nie można zrobić. Może HijackThis da rade. Proszę o rade i przy okazji chciałem się zapytać skąd nauczyliście się czytać logi, może podeślecie mi jakieś fajne stronki z których się uczyliście. Bo sam w tym to tylko widzę jakieś ścieżki aktywnych programów lub wtyczek i takie tam. A warto się o jakąś lekturę wesprzeć…
Na pewno Hijack nie da rady, bo on nawet nie widzi tych obiektów.
Spróbujemy inaczej:
Ściągnij ComboFix - na razie go nie uruchamiaj.
Wklej do Notatnika :
File::
C:\Documents and Settings\Markus\Ustawienia lokalne\Temp\herss.exe
C:\cqb6wo.exe
D:\cqb6wo.exe
E:\cqb6wo.exe
C:\3yalgc.exe
D:\3yalgc.exe
E:\3yalgc.exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
Registry::
[HKEY_USERS\S-1-5-21-1659004503-1500820517-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
