snufkin
(Waldemar Smigaj)
21 Październik 2009 20:48
#1
Przeskanowanie komputera programem Avast wykryło ponad 230 zarażonych plików, które w większości zostały usunięte. Zawierały wirusy: Kamsu, Amvo, Gamona, Trojan-gen, Malvare-gen i w pliku winmap32.exe Rimecud-B. Po 3-krotnym skanowaniu, Avast wykrywa wirus tylko w winmap32.exe, którego nie daje się usunąć. Jednak w głównych katalogach na wszystkich dyskach są niepokojące pliki o nazwach: autorun.inf, nds0q.exe i se12ydam.exe, których również nie daje się usunąć.
log z OTL:
http://wklej.org/id/181862
szymon189
(szymon189)
21 Październik 2009 20:54
#2
Plik usuniesz za pomocą programu Unlocker , albo pobierz Avenger http://swandog46.geekstogo.com/avenger.exe .
deFco247
(deFco247)
21 Październik 2009 20:58
#3
Po pierwsze usuń ten oszukańczy program z trojanami.
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL [2007-12-16 23:25:30 | 00,024,576 | ---- | M] (My Search) – C:\Program Files\mozilla firefox\plugins\NPMySrch.dll O2 - BHO: (My Search BHO) - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL (My Search) O3 - HKLM…\Toolbar: (My Search Bar) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL (My Search) O3 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1006…\Toolbar\WebBrowser: (My Search Bar) - {014DA6C9-189F-421A-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL (My Search) O3 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1007…\Toolbar\WebBrowser: (My Search Bar) - {014DA6C9-189F-421A-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL (My Search) O4 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1006…\Run: [12CFG214-K641-24SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe () O4 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1006…\Run: [cdoosoft] C:\Documents and Settings\Aga\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1007…\Run: [12CFG214-K641-24SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe () O4 - HKU\S-1-5-21-1606980848-1604221776-1801674531-1007…\Run: [cdoosoft] C:\Documents and Settings\Lucynka\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-10-21 22:11:51 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-21 22:11:52 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [FAT] O32 - AutoRun File - [2009-10-21 22:11:51 | 00,000,057 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-21 22:11:52 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-10-21 22:11:52 | 00,000,057 | RHS- | M] () - G:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-10-21 22:11:52 | 00,000,057 | RHS- | M] () - H:\autorun.inf – [FAT] O33 - MountPoints2{5c0f50cb-4c85-11de-b01b-4d6564696130}\Shell\AutoRun\command - “” = RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDrive.exe O33 - MountPoints2{5c0f50cb-4c85-11de-b01b-4d6564696130}\Shell\open\command - “” = RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDrive.exe O33 - MountPoints2{70499664-b4d8-11de-b401-4d6564696130}\Shell\AutoRun\command - “” = J:\nq0cq.cmd – File not found O33 - MountPoints2{70499664-b4d8-11de-b401-4d6564696130}\Shell\explore\Command - “” = J:\nq0cq.cmd – File not found O33 - MountPoints2{70499664-b4d8-11de-b401-4d6564696130}\Shell\open\Command - “” = J:\nq0cq.cmd – File not found [2009-10-17 15:52:37 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Wru [2009-10-09 16:30:35 | 00,116,812 | RHS- | C] () – C:\WINDOWS\System32\olhrwef.exe [2009-10-09 16:30:35 | 00,075,928 | RHS- | C] () – C:\WINDOWS\System32\nmdfgds0.dll [2009-10-09 16:29:48 | 00,085,504 | RHS- | C] () – C:\WINDOWS\System32\ckvo0.dll :Files C:\qbr2q.exe C:\nds0q.exe C:\se12ydam.exe D:\qbr2q.exe D:\nds0q.exe D:\se12ydam.exe E:\qbr2q.exe E:\nds0q.exe E:\se12ydam.exe F:\qbr2q.exe F:\nds0q.exe F:\se12ydam.exe G:\qbr2q.exe G:\nds0q.exe G:\se12ydam.exe H:\qbr2q.exe H:\nds0q.exe H:\se12ydam.exe :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
snufkin
(Waldemar Smigaj)
21 Październik 2009 21:28
#4
Raport po wykonaniu polecenia przez Avenger:
http://www.wklej.org/id/181934/
– Dodane 21.10.2009 (Śr) 23:46 –
Log OTL z usuwania:
http://www.wklej.org/id/181949/
Log OTL ze skanowania:
http://www.wklej.org/id/181956/
Z grubsza wygląda niestety, że wszystkie te pliki pozostały na dyskach…
deFco247
(deFco247)
22 Październik 2009 13:54
#5
No bo źle skopiowałeś skrypt i nic się nie usunęło.
snufkin
(Waldemar Smigaj)
22 Październik 2009 16:31
#6
Podpowiedz jaśniej co masz na myśli, bo wydaje mi się, że zaznaczyłem cały otrzymany od Ciebie skrypt od wiersza po Quote do końca i od siebie dodałem znak nowego wiersza na końcu(może niepotrzebnie)
Z grubsza porównałem oba logi z OTL robione opcją Run Scan i są mniej więcej takie same gdyby nie różnice od wiersza 199 HKU\S-1-5-21-…1007.
Pytanie: czy tą poprzednią operację mogę powtórzyć ze skryptem otrzymanym od Ciebie wczoraj, czy też nie.
– Dodane 22.10.2009 (Cz) 23:46 –
Wykonałem ponownie RunFix korzystając z wcześniejszych wskazówek deFco247
Log OTL z usuwania
http://www.wklej.org/id/182867/
Podczas wykonywania polecenia [emptytemp] windows zgłosił bład:
wystąpiły problemy z aplikacją am.exe i zostanie ona zamknięta.
Niestety nadal na dyskach w katalogach głównych pozostały dwa podejrzane pliki:
wcgswa.exe
autorun.inf
z zawartością
open=wcgswa.exe
shell\open\command=wcgswa.exe
Log OTL ze skanowania
http://www.wklej.org/id/182883/
Proszę o dalszą pomoc