Komp zainfekowany -> wml.exe TrojanDownloader widows registe

marcin007187 · 18 Kwiecień 2008 13:26

od jakiegoś czasu co jakieś 15 minut wyświetlają mi sie na pulpicie okna że mój komputer został zainfekowany wml.exe, że wykryto TrojanDownloader’a i krytyczny błąd w windowsie. mam windowsa 2000 i porady jakie są na tym forum nie bardzo pasują. :? czy ktoś mógłby mi powiedzieć jak pozbyć sie tej zarazy. wielkie dzięki z góry

laszjwrz · 18 Kwiecień 2008 13:27

Podaj logi z HijackThis i ComboFix (Instrukcja: viewtopic.php?f=16&t=36654). Dokładniej mówiąc wklej zawartość notatnika na http://wklej.org i podaj linki.

marcin007187 · 18 Kwiecień 2008 16:06

HijackThis ----------------------> http://wklej.org/id/f3eda079c3

z ComboFix’em są małe problemy… takie coś ------------> http://wklej.org/id/b3342b26a4

------------> http://wklej.org/id/a6cc58d3e1

co teraz? ??

huber2t · 18 Kwiecień 2008 17:05

fix w hijackthis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://enascor.com/search/ R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file) O3 - Toolbar: vnbptxlf - {9620B51A-BAB2-4FF5-8BB7-45C2C5510777} - (no file) O4 - HKLM…\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S O4 - HKCU…\Run: [jspnrfps] C:\WINNT\system32\hulqxmzs.exe O4 - HKLM…\Policies\Explorer\Run: [ed0z1uw0dD] C:\Documents and Settings\All Users\Dane aplikacji\jyzglozk\zehkhcts.exe O4 - Startup: YouTube Uploader.lnk = C:\Documents and Settings\marcin\Ustawienia lokalne\Dane aplikacji\YouTube\Uploader\youtubeuploader.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … p=ZNfox000 O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://E:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing) O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINNT\system32\dllcache\mravsc32.exe (file missing) O23 - Service: MSN RAV - Unknown owner - C:\WINNT\system\msnrav.exe (file missing)

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL

C:\WINNT\system32\hulqxmzs.exe

C:\WINNT\system32\dllcache\mravsc32.exe

C:\Documents and Settings\All Users\Dane aplikacji\jyzglozk\zehkhcts.exe

C:\WINNT\system\msnrav.exe


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\jyzglozk

C:\PROGRA~1\MYWEBS~1

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Pokaż dobry log z Combofix tutaj masz instrukcje

marcin007187 · 19 Kwiecień 2008 15:32

http://www.wklej.org/id/09486b2e57

dzięki, okna zniknęły. czy musze coś jeszcze zrobić? ??

ps. po skasowaniu wml.exe i reszty tego badziewia ciągle przy włączaniu komputera wyskakują mi komunikaty avasta o zainfekowaniu komputera przez rootkit’a i mnóstwo robaków i trojanów, po czym komputer sie restartuje, po drugim właczeniu jest alarm tylko o rootkicie i virusie w pamięci operacyjnej (w tym momencie avast prosi o restart). po trzecim właczeniu komputer strasznie muli ale nie ma żadnych komunikatów. przy kolejnym uruchomieniu komputera ten cykl sie znowu powtarza. :? :!: #-o prosiłbym o pomoc też w tej sprawie. z góry dzięki

huber2t · 19 Kwiecień 2008 15:36

Przeskanuj komputer tym (uruchamom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

marcin007187 · 19 Kwiecień 2008 19:18

http://www.wklej.org/id/c5871379c5

oto raport… co mam teraz zrobić? ![-o<

huber2t · 19 Kwiecień 2008 19:35

usuń te pliki

C:\Documents and Settings\Default User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OR0FUDWX\zjtkhlyzm[1].txtZainfekowanych: Trojan-Downloader.Win32.Agent.newpominięty C:\Documents and Settings\Default User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OR0FUDWX\zjtkhlyzm[2].txtZainfekowanych: Trojan-Downloader.Win32.Agent.newpominięty C:\Documents and Settings\Default User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OR0FUDWX\zwjabb[1].htmZainfekowanych: Trojan.Win32.Pakes.crhpominięty C:\Documents and Settings\Default User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SNI1YFYV\zwjabb[1].htmZainfekowanych: Trojan.Win32.Pakes.crhpominięty C:\Documents and Settings\Default User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VOEL8GCF\ddos1[1].htmZainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcgpominięty C:\Documents and Settings\Default User\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VOEL8GCF\ddos[1].htmZainfekowanych: Backdoor.Win32.Agent.gvspominięty C:\Documents and Settings\marcin\Cookies\index.datObject is lockedpominięty C:\Documents and Settings\marcin\Dane aplikacji\Business Logic\UWC\Backup\J39555.7502783102.WCU/C:/Documents and Settings/marcin/Ustawienia lokalne/Temp/671bd0b0.exeZainfekowanych: not-a-virus:Downloader.Win32.UltimateFix.npominięty C:\Documents and Settings\marcin\Dane aplikacji\Business Logic\UWC\Backup\J39555.7502783102.WCU/C:/Documents and Settings/marcin/Ustawienia lokalne/Temp/a4157402.exeZainfekowanych: not-a-virus:Downloader.Win32.UltimateFix.npominięty C:\Documents and Settings\marcin\Dane aplikacji\Business Logic\UWC\Backup\J39555.7502783102.WCUZIP: zainfekowany - 2pominięty C:\WINNT\system32\awtTNGVo.dllZainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcgpominięty C:\WINNT\system32\cflp6.exeZainfekowanych: Backdoor.Win32.Agent.gvspominięty C:\WINNT\system32\geBuRHwT.dllZainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcgpominięty C:\WINNT\system32\ldprt6.exeZainfekowanych: Backdoor.Win32.Agent.gvspominięty