kj88
(Ancpr)
3 Styczeń 2011 16:54
#1
Jakis czas temu moj komputer zlapal infekcje, ktora poza ogolnym zmuleniem, otwieraniem się dziwnych “dosowskich” okienek przy starcie systemu, objawiala sie tym, że przy próbie otwarcia pliku exe windows za kazdym razem pytał, jakiego programu użyć do jego otwarcia. Skanowanie MBAM to naprawiło (te pliki exe) (log: http://wklej.to/Bmz3u ), ale podejrzewam, że nie usunęło infekcji calkowicie, dlatego proszę o przeanalizowanie logów.
HJThis: http://wklej.to/KW1Fs
OTL: http://wklej.to/h3ing + Extras: http://wklej.to/PJq2e .
Skanuje obecnie GMERem i dodam log jak skonczy.
Leon1
(Leon$)
3 Styczeń 2011 17:20
#2
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15510&l=dis IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” [2010-11-07 18:04:49 | 000,002,395 | ---- | M] () – C:\Documents and Settings\Komputer\Dane aplikacji\Mozilla\Firefox\Profiles\1exm4li9.default\searchplugins\askcom.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O33 - MountPoints2{298d701b-d3ac-11df-81ba-0004619aa0db}\Shell\AutoRun\command - “” = G:\lpl.exe – File not found O33 - MountPoints2{298d701b-d3ac-11df-81ba-0004619aa0db}\Shell\open\Command - “” = G:\lpl.exe – File not found O33 - MountPoints2{ca9e6d7c-d078-11df-81a5-0004619aa0db}\Shell\AutoRun\command - “” = b9v.exe O33 - MountPoints2{ca9e6d7c-d078-11df-81a5-0004619aa0db}\Shell\open\Command - “” = b9v.exe :Files C:\Program Files\Ask.com :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2011 11.0.1.400\Polish\setup.exe”=- “D:\Piotra\Metin2\metin2.bin”=- “D:\Piotra\Metin2\metin2client.bin”=- “D:\Piotra\Metin2\metin2fishbot.bin”=- “D:\Piotra\Metin2bez haków\metin2.bin”=- “D:\Piotra\składniki metina\hack\Metin2bez haków\metin2.bin”=- “D:\Piotra\Metin2 dmg\metin2client.bin”=- “D:\Piotra\Metin2 fish bot\metin2fishbot.bin”=- “D:\Piotra\Metin2 fish bot\metin2client.bin”=- “D:\Piotra\Metin2 fish bot\metin2.bin”=- “C:\Program Files\Ubisoft\Gearbox Software\Brothers in Arms - Hell’s Highway\Binaries\biahh.exe”=- “C:\Program Files\Landwirtschafts Simulator 2011 Demo\FarmingSimulator2011.exe”=- “C:\Program Files\Landwirtschafts Simulator 2011 Demo\game.exe”=- “C:\Program Files\Landwirtschafts Simulator 2011\FarmingSimulator2011.exe”=- “C:\Program Files\Landwirtschafts Simulator 2011\game.exe”=- “C:\Program Files\Tiveria\metin2mh.bin”=- “C:\Program Files\Tiveria\Metin2Mod.bin”=- “D:\Piotra\Metin2ytian\YT2.exe”=- “D:\Piotra\Metin2 fish bot\metin2mh.bin”=- “D:\Piotra\Metin2ytianbezdmg\YT2.exe”=- “D:\Piotra\Metin2ytiankamer\Metin2Mod.bin”=- “D:\Piotra\Metin2ytiankamer\metin2mh.bin”=- “C:\Program Files\Tiveria\pvp.exe”=- “D:\Piotra\Metin2ytiankamer\pvp.exe”=- “C:\Documents and Settings\Komputer\Pulpit\client DEM6N6L6GIA\client DEM6N6L6GIA\metin2.exe.exe”=- “D:\Piotra\client DEM6N6L6GIA\client DEM6N6L6GIA\metin2.exe.exe”=- “D:\Piotra\metin5\Metin5_Ch4.exe”=- “D:\Piotra\metin5\Metin5_CH1.exe”=- “D:\Piotra\metin5\Metin5_CH3.exe”=- “C:\Program Files\Tiveria\pvp2.exe”=- “C:\Program Files\Valve\hl.exe”=- “D:\Piotra\cs\hl.exe”=- “D:\Piotra\cs\hlds.exe”=- “D:\Program Files\Counter-Strike\hl.exe”=- “C:\Program Files\Tiveria\LolersMT2.exe”=- “D:\Piotra\metin5\LolersMT2.exe”=- “D:\Piotra\metin5\EimosMT2.exe”=- “C:\Program Files\Tiveria\EimosMT2.exe”=- “C:\Program Files\Tiveria\0_feniksmt2.exe”=- “D:\Piotra\Metin2priv\0_feniksmt2.exe”=- “D:\Piotra\Metin2ytiankamer\EimosMT2.exe”=- “C:\Program Files\Tiveria\DonMt2.exe”=- “C:\Program Files\Tiveria\NMT2 Spolszczenie.exe”=- “D:\Piotra\Metin2ytiankamer\0_feniksmt2.exe”=- “D:\Piotra\Metin2priv\EimosMT2.exe”=- “D:\Piotra\Metin2priv2\EimosMT2.exe”=- “D:\Piotra\Metin2priv2\BanitaMT2.exe”=- “D:\Piotra\BanitaMt2\BanitaMt2.exe”=- “D:\Piotra\BanitaMt2\EimosMT2.exe”=- “D:\Piotra\BanitaMt2%EMT2\EimosMT2.exe”=- “D:\Piotra\BanitaMt2%EMT2\CMT2.exe”=- “D:\Piotra\BanitaMt2%EMT2\BanitaMt2.exe”=- “D:\Piotra\BanitaMt2\BanitaMt2\BanitaMt2\BanitaMt2%EMT2\BanitaMt2.exe”=- “D:\Piotra\BanitaMt2%EMT2\AliansMT2.exe”=- “D:\Piotra\BanitaMt2%EMT2\TPMT2 (tym uruchom).exe”=- “D:\Piotra\BanitaMt2\BanitaMt2\BanitaMt2\BanitaMt2%EMT2\0_goepandpvp.exe”=- “D:\Piotra\BanitaMt2\BanitaMt2\BanitaMt2\BanitaMt2%EMT2\MasterekMt2.exe”=- “D:\Piotra\BanitaMt2\BanitaMt2\BanitaMt2\BanitaMt2%EMT2\0_nowy_patch.exe”=- "D:\Piotra\BanitaMt2\BanitaMt2\BanitaMt2\BanitaMt2%EMT2\GandziorMT2.exe=- “D:\Piotra\Metin22\metin2.bin”=- “D:\Piotra\Metin22\metin2client.bin”=- “D:\Piotra\Metin2priw\metin2mod.bin”=- “D:\Piotra\Metin2priw\PvpMt2 by ZWIERZ.exe”=- “D:\Piotra\Metin2priw2\metin2mod.bin”=- “D:\Piotra\Metin2priw2\PvpMt2 by ZWIERZ.exe”=- “D:\Piotra\Metin2priw2\0_goepandpvp.exe”=- “C:\Program Files\Tiveria\game.bin”=- :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
kj88
(Ancpr)
4 Styczeń 2011 16:52
#3
Obiecany log z GMERa: http://wklej.to/GBt8J
Log z wykonywania skryptu w OTL: http://wklej.to/2CrXY
Nowy log z OTL: http://wklej.to/XWlbf (tym razem Extras sie nie pojawiło)
– Dodane 04.01.2011 (Wt) 17:55 –
te dziwne “dosowe” okienka przy uruchamianiu dalej wyskakują
deFco247
(deFco247)
4 Styczeń 2011 19:03
#4
Ja bym radził na początek przeskanować się Dr.Web CureIt! , gdyż to mi wygląda na zaczątki infekcji pokroju Sality/Sector lub Virut. A te infekcje właśnie uszkadzają EXEki.
Leon1
(Leon$)
4 Styczeń 2011 19:29
#5
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://www.bezpieczenstwosystemow.pl/in … opic=116.0
W OTL kilknij CleanUp (Sprzątanie)
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
[2011-01-07 21:40:57 | 000,118,979 | ---- | C] () -- C:\WINDOWS\svchost.exe
mi to wygląda na JEFFO wirus atakujący pliki EXE