Na dysku C pojawiają się pliki eralf.exe, interalf.exe i inne takie dziwactwa (kasuję je ale to nic nie daje)
Wielka prośba o sprawdzenie loga powyżej.
Na dysku C pojawiają się pliki eralf.exe, interalf.exe i inne takie dziwactwa (kasuję je ale to nic nie daje)
Wielka prośba o sprawdzenie loga powyżej.
Wyłącz przywracanie systemu i usuń te wpisy w trybie awaryjnym.
O4 - HKLM\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe"
O23 - Service: Network Translation System Service (NTSS) - Unknown owner - C:\WINDOWS\system32\ntss.exe
Potem ściągnij program Killbox i wklej ścieżkę
C:\WINDOWS\system32\ntss.exe
i usuń
Potem powróc z logami w HijackThis i ComboFix
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.
To ostatnio “modna” infekcja" - jeszcze niedokładnie rozpoznana, więc trudna do usunięcia.
Sciągnij -->ComboFix (na dole tej strony z linku).
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ntss.exe
C:\WINDOWS\system\NOTEPAD.exe
C:\eralf.exe
C:\ interalf.exe
Driver::
NOTEPAD
NTSS
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –> Klik
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
EDIT:
O, przepraszam, pisałam w tym samym czasie, co Wy.
Niech któryś z Was dołączy do usuwania obie usługi: “NOTEPAD” i “NTSS”, bo obaj przegapiliście to, a ja usunę swój post, bo nie będzie już potrzebny. Ani SDFix, ani ComboFix nie mają jeszcze tej infekcji w swoich modułach usuwających, więc na pewno tych szkodliwych usług nie usuną.
jessi
Usunąłem w hijacku wskazane wpisy. uruchomiłem combofixa i wrzucam logi:
z combofixa:
z hijacka:
cały czas działam w trybie awaryjnym. czy tak mam postępować czy wejść do trybu normalnego ??
Wklej do Notatnika :
File::
C:\eskpjpg.exe
C:\WINDOWS\system32\ftpupd.exe
C:\WINDOWS\system32\re1.exe
Registry::
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Network Translation System Service"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –> Klik
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
I daj log z ComboFixa.
Możesz cały czas być w Trybie Normalnym.
Ale ponieważ jesteś już w Trybie Awaryjnym, to użyj tego SDFix, o którym pisał @Lost World.
jessi
Jak zrobisz to co kazała @jessica
Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:
kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).
C:\Program Files\Uninstall.exe
Czy nie dostałeś ostatnio czasami jakiegoś ‘‘emajla’’ o takim tytule albo coś podobnego np? Update your Anti-virus Software
2007-08-27 01:56 199 --a------ C:\Program Files\quick.dat
2007-08-27 01:56 157 --a------ C:\Program Files\Stats.dat
2007-08-27 01:56 0 --a------ C:\Program Files\skiplist.dat
2007-08-27 01:56 0 --a------ C:\Program Files\favorite.dat
2007-08-27 01:56 0 --a------ C:\Program Files\Bookmarks.dat
Będzie mi miło jak mi ktoś powie od jakiej aplikacji są te pliki…?
zrobiłem operacje z sdfixem
podaję raport:
a także z combofixem
podaję loga:
Czy to wszystko??
Jak dla mnie - to wszystko bo nie widzę nic podejrzanego.
SDFix usunął robaka, więc naprawdę @Lost World miał dobry pomysł z tym SDFixem.
Możesz jeszcze odpowiedzieć na pytanie zadane post wyżej przez @Lost World.
jessi
Baaardzo dziękuję za pomoc i niech Bóg Wam błogosławi, dobrzy ludzie.
Co do pytania: napewno go nie czytałem, ale spamu i wszystkich wiadomości na skrzynce nie przeglądam, więc mógł się gdzieś taki zawieruszyć. Jednakże obstawiałbym przy tym, że jednak nie.
Na wszelki wypadek wklejam log z avengera który pojawił się po ostatnim restarcie:
pozdro
Użycie Avengera nie było już konieczne, bo przecież wcześniej już usunąłeś “C:\eskpjpg.exe” oraz “C:\WINDOWS\system32\re1.exe” przy pomocy Scriptu ComboFixa.
Natomiast “IsUn0407.exe” był prawidłowym plikiem (nie widzę żadnego powodu do jego usuwania, bo jego usuwa się tylko wtedy, gdy jest zarażony przez “JEEFO”, “Parite”, “Sality”, “VT1000”, itp. infekcje, które zarażają wszystkie pliki *.exe - u Ciebie takiej infekcji nie było).
jessi
Frefol
Lost World
Dość często udzielacie się w tym dziale, ale sądzę, że nie całkiem jesteście gotowi, by kompleksowo rozwiązywać problemy, o czym niejednokrotnie świadczy interwencja jessica , która wskazuje dalsze punkty do naprawy problemów - przykładem ten temat.
W temacie Ważny komunikat dotyczący tytułowania tematów
Radzę o tym pamiętać - lub omijać ten dział szerokim łukiem.
No i było jakiś czas fajnie, ale znów pojawiają się problemy. Co prawda strony internetowe “chodzą” dużo szybciej, niż przy poprzednim problemie, jednak już trzy raz dziś mi się maszyna zrestartowała.
Poza tym Avast znajduje kilka razy dziennie jakieś konie trojańskie (ostatni przykład w katalogu systemowym: “ne1.exe”)
Wklejam loga z Hijacka:
http://up.wklej.org/download.php?id=155fa09596c7e18e50b58eb7e0c6ccb4
Będę wdzięczny za pomoc…
edit:
i jeszcze log z combofixa:
http://up.wklej.org/download.php?id=f4a4da9aa7eadfd23c7bdb7cf57b3112
Użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.
Pokaż Report.txt znajdujący się w folderze SDFix.
“ne1.exe” oznacza, że masz infekcję, która ostatnio jest bardzo “modna”.
Ta infekcja jeszcze nie jest dokładnie rozpoznana, więc usuwanie jest utrudnione.
Daj log z ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
EDIT:
Widzę log z ComboFikxa - zaraz go obejrzę…
EDIT II:
Tylko to wydaje się podejrzane - Sprawdź go na --> http://virusscan.jotti.org/
Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552
albo na http://www.virustotal.com/en/indexf.html.
(korzysta się podobnie jak z JOTTI).
jessi
Raport z SDFixa
http://up.wklej.org/download.php?id=f5c3dd7514bf620a1b85450d2ae374b1
a Jotti znalazł jakieś Malware:
AntiVir Found TR/Proxy.Delf.BS.334
AVG Antivirus Found SHeur.OPH
BitDefender Found DeepScan:Generic.Sdbot.084747E1
Pozostałe czyste.
Co dalej powinienem zrobić? Bo chyba ręczne usuwanie niewiele da…
edit:
wróciłem z awaryjnego do normalnego i mój antyvirus (avast) znów wskazał na ten plik ne1.exe podając trojana: Win32:Sdbot-4988 [Trj]
Nie wygląda to najlepiej, bo SDFix odmówił usunięcia tego, co wykrył.
Do tej pory usuwał to, a teraz nie chciał/nie mógł.
Wklej do Notatnika :
File::
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\WINDOWS\system32\winenv.exe
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj logi z Hijacka i ComboFixa.
jessi
Oto log z ComboFixa:
oto log z hijacka:
Dodać muszę że często w przypadkowych momentach przy podejmowaniu operacji związanych z pozyskaniem tych logów miałem jakieś zwiechy (np. podczas uzyskiwania loga z hijacka, bądź też podczas wgrywania windowsa) jakoś na szczeście udało mi się te logi tu wkleić.
Co dalej?
Ale uparte bydlę.
Wklej do Notatnika :
File::
C:\WINDOWS\system32\dllcache\ivchost.exe
Driver::
mshexdefx
Registry::
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"winenv"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HEXelon MAX"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WITaj!"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Klucze dodałam, bo z logu ComboFixa wynika,że są już bezplikowe.
I nowy log z ComboFixa.
jessi
No więc wrzucam log combofixa:
http://up.wklej.org/download.php?id=f26dab9bf6a137c3b6782e562794c2f2
i do tego hijacka
http://up.wklej.org/download.php?id=4888241374e8c62ddd9b4c3cfd091f96
Combofix na końcu procesu miał jakieś problemy z zapisaniem czegoś tam, bo “string” był za długi czy coś (nie wiem, czy to ma jakieś znaczenie, ale może).
Poza tym mam takie pytanie: jak usunąć windows messengera, tak by nie uruchamiał się wraz z każdym startem kompa?
Edit:
Avast w dalszym ciągu wyłapuje jakieś konie trojańskie w katalogu systemowym (system32) o specyficznej nazwie “.exe”
Byłbym wdzięczny za pomoc.
Wklej do Notatnika :
File::
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\Web\wcxnjhhj.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\nbbrcrbb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe
C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe
C:\WINDOWS\Help\tsbjbtvn.exe
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
C:\WINDOWS\Help\Tours\htmlTour\ztssweeh.exe
C:\WINDOWS\Help\Tours\htmlTour\zbcwlstj.exe
C:\WINDOWS\Help\Tours\htmlTour\xslbknlk.exe
C:\WINDOWS\Help\Tours\htmlTour\wwvjntek.exe
C:\WINDOWS\Help\Tours\htmlTour\trsecbvb.exe
C:\WINDOWS\Help\Tours\htmlTour\tjxhsker.exe
C:\WINDOWS\Help\Tours\htmlTour\skersqzb.exe
C:\WINDOWS\Help\Tours\htmlTour\rzjnrbeb.exe
C:\WINDOWS\Help\Tours\htmlTour\rqkjqjqb.exe
C:\WINDOWS\Help\Tours\htmlTour\rbnesqvr.exe
C:\WINDOWS\Help\Tours\htmlTour\qejnhetj.exe
C:\WINDOWS\Help\Tours\htmlTour\nleqhveh.exe
C:\WINDOWS\Help\Tours\htmlTour\njnrhctz.exe
C:\WINDOWS\Help\Tours\htmlTour\lwnssrtv.exe
C:\WINDOWS\Help\Tours\htmlTour\lrhwxcwk.exe
C:\WINDOWS\Help\Tours\htmlTour\lhhjrkjk.exe
C:\WINDOWS\Help\Tours\htmlTour\lbsbbjlx.exe
C:\WINDOWS\Help\Tours\htmlTour\kzkzkjkb.exe
C:\WINDOWS\Help\Tours\htmlTour\kzerbzks.exe
C:\WINDOWS\Help\Tours\htmlTour\kxkzvszq.exe
C:\WINDOWS\Help\Tours\htmlTour\knwbcncs.exe
C:\WINDOWS\Help\Tours\htmlTour\klbvejnk.exe
C:\WINDOWS\Help\Tours\htmlTour\hjhecvkh.exe
C:\WINDOWS\Help\Tours\htmlTour\ewrlklcs.exe
C:\WINDOWS\Help\Tours\htmlTour\ekwlsjzj.exe
C:\WINDOWS\Help\Tours\htmlTour\cxjclkkc.exe
C:\WINDOWS\Help\Tours\htmlTour\blkkzrtt.exe
C:\WINDOWS\Help\jjlenkbt.exe
C:\WINDOWS\Help\jbnshhqj.exe
C:\WINDOWS\Help\hwexrtne.exe
C:\WINDOWS\Help\bzehxvnz.exe
Driver::
MSWindows
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj logi z Hijacka i ComboFixa (na wklej.org).
jessi