Heur.win32, jak usunąć


(gajdowy) #1

Heur.win32 został wykryty, format nic nie pomógł więc zwracam się z prośbą do was, usunąłem mks_virem on-line to co napewno nadawało się do usunięcia, ale nie wiem czy to wszystko, avast sobie z tym nie poradził. wklejam log z hijacka , sprawdzcie jak możecie

z góry dzięki

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:28:23, on 2009-06-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: RGVFJLWGH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Dom\USTAWI~1\Temp\RGVFJLWGH.exe


--

End of file - 2416 bytes

(Henio Mazurek) #2

Tutaj jest infekcja z pendrive’a. Format nie pomógł bo startery wirusa były na każdym dysku i pendrvie.

Pobierz FlashDisinfector i uruchom go mając podłączone pamięci przenośne

http://www.searchengines.pl/index.php?s … ntry369724

Potem wklej log z OTL

http://oldtimer.geekstogo.com/OTL.exe


(gajdowy) #3

domyśliłem się ze to z pendriva, bo wczoraj dziewczyna przyniosła od koleżanki i wtedy się zaczęło;)

jako iż nie posiadam tego pendriva nie podpiąłem go ale FlashDisinfectore dysk przebadałem, oto log z OTL:

http://www.wklejto.pl/35907

edit:

i http://www.wklejto.pl/35908 bo zapomniałem dodać:)


(dethloe123) #4

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj!

Podczas pobierania i skanowania ComboFix’em wyłącz antywirusa i zapory!

Wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklej.org/ a w poście daj linka.


(Henio Mazurek) #5

Z logu wynika, że pierwszy był OTL, więc będziesz musiał jeszcze raz wkleić świeżo robiony log z OTL. Na razie wklej w okienko programu

Run Fix. Restart. Do pokazania log z usuwania i nowy log z OTL.


(gajdowy) #6

w miedzy czasie zrobilem to co dethloe123 napisał, z combofixem oto log/:

http://www.wklejto.pl/35911


(Henio Mazurek) #7

Jeden czort. Wygląda na to, że wszystko się usunęło.

Start => Uruchom => wpisz Combofix /u

Wyłącz na chwilę przywracanie systemu.

Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& … lware+1.37

Przeczyść rejestr CCleaner’em

http://dobreprogramy.pl/index.php?dz=2& … +v2.19.901

W OTL kliknij Clean up.


(gajdowy) #8

zanim to zrobie czy jeśli w międzyczasie jak był ten wirus jak podłączyłem inny dysk twardy to mogł zostać też zarażony?? bo jeśli tak, to muszę go podpiąć i od początku logi porobić dla sprawdzenia bo wcześniej o nim zapomniałem:/


(Henio Mazurek) #9

Mógł zostać zarażony.

Podłącz dysk i uruchom ComboFix dwuklikiem, sam to powinien usunąć. Wklej log z tego.


(gajdowy) #10

podłączyłem włączyłem i oto log: (jako iż dysk jest lekko zrąbany wykrył tylko 1 działającą partycje:P zresztą tak jak przy podłączaniu wczesniejszym)

ComboFix 09-06-11.06 - Dom 2009-06-12 18:21.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.364 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Dom\Pulpit\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090611-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


I:\Autorun.inf


.

((((((((((((((((((((((((( Pliki utworzone od 2009-05-12 do 2009-06-12 )))))))))))))))))))))))))))))))

.


2009-06-12 16:03 . 2009-06-12 16:03	--------	d-----w-	C:\_OTL


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-12 15:53 . 2009-06-12 13:25	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-06-12 15:52 . 2009-06-12 15:52	12328	----a-w-	c:\documents and settings\Dom\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-06-12 15:23 . 2009-06-12 15:23	--------	d-----w-	c:\program files\Trend Micro

2009-06-12 14:51 . 2009-06-12 14:39	--------	d-----w-	c:\program files\SkanerOnline

2009-06-12 14:17 . 2009-06-12 14:17	0	----a-w-	c:\windows\nsreg.dat

2009-06-12 13:40 . 2009-06-12 13:40	--------	d-----w-	c:\program files\Alwil Software

2009-06-12 13:39 . 2004-08-04 12:00	49492	----a-w-	c:\windows\system32\perfc015.dat

2009-06-12 13:39 . 2004-08-04 12:00	355486	----a-w-	c:\windows\system32\perfh015.dat

2009-06-12 13:26 . 2009-06-12 13:26	--------	d-----w-	c:\program files\microsoft frontpage

2009-06-12 13:24 . 2009-06-12 13:24	--------	d-----w-	c:\program files\Usługi online

2009-06-12 13:22 . 2009-06-12 13:22	21856	----a-w-	c:\windows\system32\emptyregdb.dat

.


((((((((((((((((((((((((((((( SnapShot@2009-06-12_15.58.27 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-06-12 16:15 . 2009-06-12 16:15	16384 c:\windows\Temp\Perflib_Perfdata_484.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=


R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-06-12 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-06-12 20560]

S3 RGVFJLWGH;RGVFJLWGH;c:\docume~1\Dom\USTAWI~1\Temp\RGVFJLWGH.exe --> c:\docume~1\Dom\USTAWI~1\Temp\RGVFJLWGH.exe [?]

.

.

------- Skan uzupełniający -------

.

DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab

FF - ProfilePath - 

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-12 18:25

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

Czas ukończenia: 2009-06-12 18:25

ComboFix-quarantined-files.txt 2009-06-12 16:25

ComboFix2.txt 2009-06-12 15:59


Przed: 12 864 110 592 bajtów wolnych

Po: 12 856 942 592 bajtów wolnych


72

(Henio Mazurek) #11

Powinno być czysto. Wykonaj to co napisałem wcześniej. FlashDisinfectorem przejedź jeszcze raz, bo coś nie zadziałał.


(gajdowy) #12

włączyłęm FlashDisinfectora , oto log z OTL http://www.wklejto.pl/35921 (wyłączona zapora i antywirus)

a teraz zabieram się za to co pisałeś wcześniej


(Henio Mazurek) #13

Wejdź jeszcze w Opcje folderów => Widok, włącz pokazywanie plików ukrytych i wyłącz ukrywanie systemowych. Potem sprawdź czy na każdej z partycji jest folder AUTORUN.INF , to folder FlashDisinfectora. Jeśli go nie będzie to użyj tych programów, one też zabezpieczą podobnie dyski

http://www.searchengines.pl/Zabezpiecze … 23572.html

Jak wykonasz to co poprzednio napisałem to powinno być wszystko.


(gajdowy) #14

nci nie wykryło, wielkie dzięki, u dziewczyny to samo bezie wiec jak bede u niej robil to wkleje logi do sprawdzenia:), folderu AUTORUN.INF nie utworzyło nigdzie

skanuje avastem i cos takiego mi wykrywa Win32:Rootkit-gen [Rtk] w pliku C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPQ3K9MR\qgkpoytu[1].bmp niby jakis rootkit

poradzisz cos na to?


(Henio Mazurek) #15

Przeczyść tempy przez ATF (zaznacz wszystkie kratki)

http://cybertrash.pl/images/tata/ATF/ATF.html