ErrorSafe i Carlson Dialer


(Pandzia 1990) #1

Po świeżym postawieniu systemu pojawił się na liście zainstalowanych programów Carlson Dialera w starcie Carlton. Gdy to usunę, to po resecie komputera i tak się pojawia. Avast tego nie wykrywa. Nie wiem co to robi.

Drugą sprawą jest ErrorSafe który wziął się nie wiem skąd i nie wiem jak się tego pozbyć.

Ponadto komputer strasznie muli i zawiesza.

Proszę o pomoc.


(adam9870) #2

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Po wykonaniu pokaż zawartość pliku c:\rapport.txt oraz log z ComboFix.


(Pandzia 1990) #3


(jessica) #4

Okazało się, że masz infekcję "VUNDO", a także robaki. I to od ... 2001 r.!

A to oznacza, że nie wszystko zostało pokazane przez ComboFixa, bo ComboFix pokazuje tylko do 90 dni wstecz, a wcześniejsze tylko okazyjnie.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\znuc.exe

C:\WINDOWS\system32\mmdmm.exe

c:\windows\system32\vtursrp.dll

C:\WINDOWS\System32\winIogon.exe

C:\WINDOWS\system32\hompex.dll


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] 

"mmsass"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hompex]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=-

"appinit_dlls"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Logon Application"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mmsass"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=dword:00000000

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log z ComboFixa.

jessi


(Pandzia 1990) #5

Od 2001? Troche dziwne, bo komputer mam od lutego 2002 a dostęp do neta od 2004. I był wiele razy formatowany, chociaż nie wiem czy to ma jakiś wpływ na to.

Logi:


(jessica) #6

Dzisiaj, o 11:43, rozpoczęła się u Ciebie następna, trudna infekcja.

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Potem:

Wklej do Notatnika :

File::

C:\9r2h2z5l7v8.exe

C:\WINDOWS\system32\urdvxc.exe

C:\WINDOWS\Web\wcxnjhhj.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\nbbrcrbb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe 

C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe 

C:\WINDOWS\Help\tsbjbtvn.exe 

C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe 

C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe 

C:\WINDOWS\Help\jjlenkbt.exe 

C:\WINDOWS\Help\jbnshhqj.exe 

C:\WINDOWS\Help\hwexrtne.exe 

C:\WINDOWS\Help\bzehxvnz.exe 

C:\WINDOWS\system32\hompex.dll


Driver::

MSWindows


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31257c63-f81d-4d8d-badc-5ca2969e70c2}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]

"1"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log z ComboFixa.

jessi


(Pandzia 1990) #7


(jessica) #8

Wygląda, że jest OK. :slight_smile:

Możesz jeszcze, tak na wszelki wypadek, użyć -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi


(Pandzia 1990) #9

Carlson Dialer nie zniknął z listy zainstalowanych programów, avast ciągle wyje i znajduje koniki i robaki :frowning:

spróbuje jeszcze z SDFix i zaraz dam ten plik


(jessica) #10

No tak, wychodzi na to, że jestem GAPA. :slight_smile: :frowning: :frowning:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\frh.exe


Folder::

C:\Program Files\Common Files\Carlson

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Log z ComboFixa i raport z SDFixa.

jessi


(Pandzia 1990) #11


(jessica) #12

Wklej do Notatnika :

File::

C:\WINDOWS\system32\MSNGR32.com

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Nie zrozumiałam natomiast raportu SDFixa - chyba wymienione tam prawidłowe pliki są zarażine, ale nie wiem, czy SDFix już je podmienił, bo z raportu niezbyt jasno to wynika, zwłaszcza, że ja nie znam angielskiego.

Log z ComboFixa daj, może jeszcze ktoś inny coś w nim wypatrzy...

jessi


(Pandzia 1990) #13

jessica bardzo dziękuje :slight_smile: :slight_smile: :slight_smile:

Przestało mulić, avast nie wyje i nie ma już tych wszystkich dziwnych plików.

log:


(Gutek) #14

Już powinno być Ok

Na koniec daj log z SDFix