Heur.win32

tanatosp · 22 Lipiec 2009 07:04

MKS znalazł mi zagrożenie które siedzi w plikach dll NOD32, sam NOD nic nie znajduje. Oto log z hj:

http://wklejto.pl/38989

Prosze o pomoc.

ciemnowidz · 22 Lipiec 2009 07:59

Po pierwsze MKS lubi straszyć fałszywymi alarmami.

Po drugie

przeczytaj i sam powiedz ile to mówi. Jakby już to podajesz w jakim pliku + ścieżka dostępu do niego.

Po trzecie wklej logi z OTL i gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

Logi wklej na www.wklej.org a tutaj tylko link do wklejki.

anon53382939 · 22 Lipiec 2009 09:42

Infekcja z pendriver’a

Pobierz The Avenger i uruchom.

Zaznaczasz tekst podany do usunięcia na forum.

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

deFco247 · 22 Lipiec 2009 09:50

Nieźle mieszają ludzie.

Pobierz OTL, w Custom Scans/Fixes wklej:

Run Fix. Restart.

Po tym log z usuwania, nowy OTL.txt. oraz log z programu GMER.

anon53382939 · 22 Lipiec 2009 10:06

Do deFco247

Masz błąd w skrypcie do OTL

A powinno być:

tanatosp · 22 Lipiec 2009 11:46

MKS znalazł mi zagrożenie które siedzi w plikach dll NOD32, dokładnie:

D:…gram Files\ESET\ESET NOD32 Antivirus\eguiEmon.dll

D:…ogram Files\ESET\ESET NOD32 Antivirus\eguiEpfw.dll

D:\Program Files\ESET\ESET NOD32 Antivirus\updater.dll

raport z avengera: http://www.wklejto.pl/39013

ciemnowidz · 22 Lipiec 2009 11:56

To są moduły Nod’a. Pomyłka.

Daj log z OTL i gmer.

tanatosp · 23 Lipiec 2009 13:00

Coś musi siedzieć, bo sam NOD co chwile znajduje coś w system volume information, i niby usuwa (teraz niby czysto wg noda), za to mks tylko w nodzie…

log z OTL

log z GMER

ciemnowidz · 23 Lipiec 2009 14:05

Daj log z OTL robiony z Run Scan.

Wyłącz i włącz przywracanie systemu i nic tam nie będzie wykrywane.

tanatosp · 24 Lipiec 2009 07:26

OTL

ciemnowidz · 24 Lipiec 2009 07:43

Wklej w OTL

:OTL PRC - d:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2004-08-04 14:00:00 | 00,070,144 | ---- | M] (Microsoft Corporation) – D:\WINDOWS\AhnRpta.exe O4 - HKU\S-1-5-21-1659004503-813497703-725345543-1003…\Run: [cdoosoft] D:\DOCUME~1\tanatosp\USTAWI~1\Temp\olhrwef.exe File not found O4 - HKLM…\Run: [DELL Webcam Manager] File not found O32 - AutoRun File - [2009-07-23 14:14:21 | 00,000,049 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-23 14:14:21 | 00,000,049 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-23 14:14:21 | 00,000,049 | RHS- | M] () - G:\autorun.inf – [NTFS] O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - D:\WINDOWS\System32\e8main0.dll () :Files D:\WINDOWS\System32\e8main0.dll D:\WINDOWS\System32\nmdfgds1.dll D:\WINDOWS\System32\nmdfgds0.dll D:\WINDOWS\AhnRpta.exe D:\p.exe D:\q1alx.exe D:\86l2qw.bat D:\ml.com c:\p.exe c:\q1alx.exe c:\86l2qw.bat c:\ml.com g:\p.exe g:\q1alx.exe g:\86l2qw.bat g:\ml.com :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]

Klikasz Run Fix. Po restarcie prezentujesz log robiony opcją Run Scan z OTL.