snajp
(Snajper35)
17 Październik 2009 17:10
#1
Przepraszam jeśli zły tytuł ale chodzi mi czy istnieje jakis sposób oprócz podawania loga aby usunąć trojana herse z pendrive ?
ciemnowidz
(Henio Mazurek)
17 Październik 2009 17:12
#2
Format pendrive’a.
Nic innego się nie wykombinuje. Lub ręczne usuwanie z linii komend bo masz schrzanione opcje widoku i normalnie tego trojana nie zobaczysz. To normalne dla tego typu infekcji.
snajp
(Snajper35)
17 Październik 2009 17:16
#3
sorry chodziło ze komputer jest zarażony tym trojanem , bo dostał sie z pendrive
ciemnowidz
(Henio Mazurek)
17 Październik 2009 17:20
#4
Niby ComboFix powinien to usunąć ale bez zaglądania w logi ciężko wyrokować.
Jakbyś się rozmyślił to masz linki do programów z jakich należy wkleić logi - OTL , GMER i System Repair Engineer
Logi wklej na wklej.org a tutaj tylko link do wklejki.
Eru
(Eru)
17 Październik 2009 17:20
#5
snajp
(Snajper35)
17 Październik 2009 17:33
#6
no SUPERantiSpyware wysiadł, zobaczę tym drugim
http://www.wklej.org/id/177908/ oto link do loga z OTL
podczas wcześniejszego skanowania programem SUPERantiSpyware wyskakiwał problem z C:\ dokuments and settings\xp/ustawienia lokalne\temp\hersse.exe
tutaj w logu nie widze tego
ciemnowidz
(Henio Mazurek)
20 Październik 2009 06:03
#7
W OTL w dolne białe okno wklej taki tekst
:Processes explorer.exe :OTL PRC - [2009-03-29 16:11:16 | 00,032,838 | ---- | M] (MyWebSearch.com ) – C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl IE - HKCU…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com ) FF - prefs.js…browser.search.selectedEngine: “MyWebSearch” FF - prefs.js…keyword.URL: “http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZKfox000&fl=0&ptb=5H3ukDtMxCg2mRuvn5frFg&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=kwd&searchfor= ” O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com ) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O3 - HKCU…\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Plugin] C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL (MyWebSearch.com ) O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\winhst32.exe3072.exe File not found O8 - Extra context menu item: &Search - File not found O32 - AutoRun File - [2009-10-14 23:05:40 | 00,000,055 | RHS- | M] () - C:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-10-14 23:05:40 | 00,000,055 | RHS- | M] () - E:\autorun.inf – [FAT32] :Services MyWebSearchService :Files C:\Program Files\MyWebSearch C:\Program Files\mozilla firefox\plugins\NPMyWebS.dll C:\FOUND.* C:\ycvvj.exe C:\mje12tni.exe e:\ycvvj.exe e:\mje12tni.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.
snajp
(Snajper35)
20 Październik 2009 16:55
#8
http://google.bearshare.com/pl :dlaczego ustawienie strony startowej na tą podana ma mi pomóc usunąć trojana?
ciemnowidz
(Henio Mazurek)
20 Październik 2009 17:04
#9
A kto komu ustawia stronę startową, ja ją kasuję. O tym miałem napisać potem, ale skoro na tym się zatrzymałeś to nadmienię że BearShare to program który nie cieszy się dobrą reputacją KLIK (artykuł dość stary ale nic się nie zmieniło oprócz tego, że teraz ściąga więcej syfu). Jest do odinstalowania.
snajp
(Snajper35)
20 Październik 2009 17:39
#10
Jak widać ciemnowidz skopiowałeś to z innego forum nie patrząc w ogóle co dajesz, co sprawia ze jesteś osoba nie wiarygodna
ciemnowidz
(Henio Mazurek)
20 Październik 2009 18:23
#11
Przygrzało Ci pod czapą czy co?
Co jak co ale wiem co daję na usunięcie i ten skrypt jest pisany na podstawie Twojego loga (log OTL linijka 125).
Nie podoba się to łaski bez, to nie ja mam problem.
Po drugie możesz to domniemane forum wskazać. Sam jestem ciekaw.
remek04
(Tomek Rumniak)
18 Luty 2010 18:21
#12
http://wklej.org/id/281530/- link do log OTL ja mam problem z trojanem agentem