Infekcja, brak dostępu do dysków, herss.exe

wardek · 22 Styczeń 2010 16:06

Witam,

Mój komputer jest na sto procent zainfekowany. Z tego co udało mi się ustalić, jest to wirus herss.exe , ponieważ mam zainstalowany Light Start Up i w otwieranych procesach było coś takiego (w fodlerze Temp). Po wyłączeniu nadal to samo. Próbowałem usunąć ręcznie ale się nie da, ponieważ plik jest ukryty a po zmianie widoku na “Pokaż ukryte pliki i foldery” w ciągu sekundy samo przestawia się na “Nie pokazuj” i wszystko, co ukryte znika. Blokuje on dostęp do dysków, trzeba otwierać przez “Otwórz za pomocą” i ręcznie szukać explorator windows w C:\WINDOWS i nie można zaznaczyć, żeby zawsze go używał. Komp w ogóle coś przycina, net często chodzi dość wolno, ale to akurat może być wynikiem czegoś innego. Co więcej, wydaje mi się, że zmienia on komunikaty z Kaspersky’ego. Co prawda nie mam już ważnej licencji, ale co chwilę wyskakuje mi komunikat o licencji wyglądający dość dziwnie. Inaczej niż dotychczas, (cały jest praktycznie pusty). Podejrzewam, że to powinien być komunikat o zagrożeniu, który wirus sobie sprytnie zmienia. W temp znalazłem tez dziwny plik tekstowy z fraza Kaspersky w nazwie, ale nie wiem czy to to jest za to odpowiedzialne. Tak czy siak, antywirem go nie usunę, z tego co wyczytałem to potrzebna jest analiza logów. Pytanie jeszcze jakich… OTL ? Hijackthis? Będzie to moja pierwsza zabawa z logami, więc przy okazji proszę o wyrozumiałość

Aha, kolega mi mówił, żeby przy tworzeniu logów wyłączyć neta i antywira… jest sens?

Proszę o informacje jakie logi wrzucić, a zaraz po przeczytaniu to uczynię

EDIT:

bym zapomniał najważniejszego. OTL (z wczoraj):

http://wklejto.pl/55088

DJT88 · 22 Styczeń 2010 16:28

http://www.instalki.pl/programy/downloa … mboFix.php

na poczatek sciagnij ten program i uruchom, niech sie tam robi co ma robic i pozniej trzeba komputer zrestartowac i powinno byc okej

deFco247 · 22 Styczeń 2010 16:31

Nie uruchamiać Combofixa, bo nie ma takiej potrzeby.

Jeśli korzystasz z Przywracania Systemu, to wyłącz i włącz je na wszystkich dyskach. Instrukcja XP, Vista lub Windows 7.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL O32 - AutoRun File - [2010-01-10 12:23:21 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-10 12:23:21 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-10 12:23:21 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-10 12:23:21 | 00,000,063 | RHS- | M] () - G:\autorun.inf – [NTFS] O33 - MountPoints2{3aa3ad05-1d1d-11d7-8454-806d6172696f}\Shell\AutoRun\command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad05-1d1d-11d7-8454-806d6172696f}\Shell\open\Command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad06-1d1d-11d7-8454-806d6172696f}\Shell\AutoRun\command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad06-1d1d-11d7-8454-806d6172696f}\Shell\open\Command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad08-1d1d-11d7-8454-806d6172696f}\Shell\AutoRun\command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad08-1d1d-11d7-8454-806d6172696f}\Shell\open\Command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad09-1d1d-11d7-8454-806d6172696f}\Shell\AutoRun\command - “” = 8xcrbho6.exe O33 - MountPoints2{3aa3ad09-1d1d-11d7-8454-806d6172696f}\Shell\open\Command - “” = 8xcrbho6.exe O33 - MountPoints2{417cd9aa-f574-11de-959c-0015562cd13c}\Shell\AutoRun\command - “” = H:\anoataly.exe – File not found O33 - MountPoints2{417cd9aa-f574-11de-959c-0015562cd13c}\Shell\open\Command - “” = H:\anoataly.exe – File not found :Files C:\31lyx.exe C:\f2kmj.exe C:\e9naq.exe C:\h0.exe C:\anoataly.exe C:\mbvd.exe D:\31lyx.exe D:\f2kmj.exe D:\e9naq.exe D:\h0.exe D:\anoataly.exe D:\mbvd.exe E:\31lyx.exe E:\f2kmj.exe E:\e9naq.exe E:\h0.exe E:\anoataly.exe E:\mbvd.exe G:\31lyx.exe G:\f2kmj.exe G:\e9naq.exe G:\h0.exe G:\anoataly.exe G:\mbvd.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

DJT88 · 22 Styczeń 2010 16:41

Jak nie ma potrzeby uzywania Combofixa jak mozna go spokojnie uzyc i poradzi sobie z trojanami i innymi złośnikami.

Po co robisz chlopakowi pod górke

deFco247 · 22 Styczeń 2010 16:43

No to przeczytaj: http://www.searchengines.pl/index.php?s … t&p=544578

DJT88 · 22 Styczeń 2010 16:49

jakos naprawilem juz w ten sposób z 60 komputerów i dalej wszystko dziala jak należy.

Antyreklama i tyle

Jeden lubi Sony drugi Philipsa

Ja tylko mówie na czym ja działam i co mnie jeszcze nigdy nie zawiodło i jest proste w użyciu dla przecietnego uzytkowinika.

To jest forum i niech spróbuje sobie wszystkie sposoby i wybierze najlepszy

wardek · 22 Styczeń 2010 16:58

Log z usuwania:

http://wklejto.pl/55091

Nowy log

http://wklejto.pl/55092

ybu · 22 Styczeń 2010 17:34

DJT88 - skąd Ty się urwałeś?

Twoja porada jest powalająca:

Zapoznaj się dokładnie z informacjami zawartymi na TEJ stronie
Jeśli naprawisz tyle komputerów stosując bezinwazyjne metody co deFco247 (podziel liczbę jego postów nawet przez 10 to otrzymasz imponujący wynik,przy którym Twój, a w zasadzie programu który proponujesz wygląda bardzo blado).

wardek · 22 Styczeń 2010 18:02

Opis Combofix’a wystraszył trochę mnie, jako początkującego, więc wolę bezpiecznie się “pobawić” OTL’em. Dostęp do dysków już odblokowany :). Z braku odpowiedzi wnioskuję, że już wszystko załatwione, tak? Komunikaty z Kaspersky’ego dalej są dziwne ale zaraz go przeinstaluje i zobaczymy. Mówiąc dziwne mam na myśli komunikaty o skończeniu się licencji, które wyglądają tak, że są całe białe (zero tekstu), widoczny tylko przycisk Zamknij, tylko okno jest nazwane dokładnie tak: “Kaspersky Internet Security: powiadomienie o licenc…” Dalej nie widać, bo rozciągnąć się nie da. Do tego gdy komunikat wyskakuje to zawsze wychodzi jako ‘pierwszy’, czyli przerywa mi pisanie na gg itp., muszę nacisnąć enter i znika.

deFco247 · 22 Styczeń 2010 18:08

W logu czysto.

W OTL kliknij CleanUp.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub Panda USB Vaccine.

Lub format.

wardek · 23 Styczeń 2010 17:22

Czyli Kaspersky’ego mam wywalić, tak? I tak już się licencja skończyła…

deFco247 · 23 Styczeń 2010 17:34

Dr.Web CureIt to tylko skaner antywirusowy, nie musisz usuwać Kasperskiego.