Komputer rozsyła spam, spowolnienie działania

tech_inf · 9 Luty 2010 11:15

Znajomy zgłosił się do mnie o pomoc z jego notebookiem.

Komputer działa powoli, łapie chwilowe zawiechy itp. Oprócz tego antywirus kilkukrotnie poinformował że z komputera wysyłany jest spam.

Oto logi z OTL, może tam znajdziecie przyczynę problemu.

http://wklejto.pl/57024

jessica · 9 Luty 2010 12:10

Niektóre Twoje programy zostały zarażone przez VUNDO; po zakończeniu usuwania chyba trzeba będzie je przeinstalować (np. “quicktime”, “pasek tvn24”)

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O4 - HKLM…\Run: [Microsoft Defender] C:\WINDOWS\system\winsma32.exe File not found O4 - HKLM…\Run: [QuickTime Task] e:\program files\quicktime\qttask .exe () O4 - HKLM…\Run: [Windows Driver Software] E:\WINDOWS\system32\driversx.exe ( ) O4 - HKCU…\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe () O4 - HKCU…\Run: [EVEREST AutoStart] G:\Everest Ultimate 3.50.837 PL\Everest Ultimate 3.50.837 PL\everest.exe File not found O4 - HKCU…\Run: [Twoje TVN24] e:\program files\pasek tvn24\tvn-ustawienia .exe () F3 - HKLM WinNT: Load - (C:\WINDOWS\system\winsma32.exe) - C:\WINDOWS\system\winsma32.exe File not found O20 - AppInit_DLLs: (app_dll.dll) - E:\WINDOWS\System32\app_dll.dll () O20 - HKLM Winlogon: UserInit - (E:\DOCUME~1\KArol\USTAWI~1\Temp\init.exe) - E:\DOCUME~1\KArol\USTAWI~1\Temp\init.exe File not found O20 - HKLM Winlogon: TaskMan - (E:\Documents and Settings\KArol\Dane aplikacji\qwdfl.exe) - E:\Documents and Settings\KArol\Dane aplikacji\qwdfl.exe ( ) O33 - MountPoints2{512ba76c-11cd-11df-9fa5-00030d75ea8b}\Shell\AutoRun\command - “” = I:\ZAPALICU\sveslike.exe – File not found O33 - MountPoints2{512ba76c-11cd-11df-9fa5-00030d75ea8b}\Shell\explore\command - “” = I:\ZAPALICU\sveslike.exe – File not found O33 - MountPoints2{512ba76c-11cd-11df-9fa5-00030d75ea8b}\Shell\open\command - “” = I:\ZAPALICU\sveslike.exe – File not found [2010-02-08 18:04:22 | 000,066,048 | RHS- | C] ( ) – E:\Documents and Settings\KArol\Dane aplikacji\qwdfl.exe [2010-02-07 20:50:00 | 000,066,048 | RHS- | C] ( ) – E:\WINDOWS\System32\driversx.exe [2010-02-07 18:03:02 | 000,066,048 | ---- | C] ( ) – E:\WINDOWS\System32\driversx .exe [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At9.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At8.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At7.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At6.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At5.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At4.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At3.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At24.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At23.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At22.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At21.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At20.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At2.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At19.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At18.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At17.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At16.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At15.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At14.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At13.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At12.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At11.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At10.job [2010-02-09 10:19:26 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At1.job [2010-02-08 19:36:46 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\rundll32 .exe [2010-02-08 19:36:38 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\alcmtr .exe [2010-02-08 19:36:37 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\skytel .exe [2010-02-08 19:36:35 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\rthdcpl .exe [2010-02-08 19:36:33 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\chdaudpropshortcut .exe [2010-02-07 11:55:02 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\rundll32.exe [2010-02-07 11:55:02 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\rundll32 .exe [2010-02-07 11:55:01 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\alcmtr.exe [2010-02-07 11:55:01 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\alcmtr .exe [2010-02-07 11:55:00 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\skytel.exe [2010-02-07 11:55:00 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\skytel .exe [2010-02-07 11:54:59 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\rthdcpl.exe [2010-02-07 11:54:59 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\rthdcpl .exe [2010-02-07 11:54:58 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\chdaudpropshortcut.exe [2010-02-07 11:54:58 | 000,116,224 | ---- | C] () – E:\Documents and Settings\KArol\chdaudpropshortcut .exe [2010-02-07 11:55:57 | 000,069,120 | ---- | C] () – E:\WINDOWS\System32\app_dll.dll.316250.old [2010-02-07 11:55:57 | 000,069,120 | ---- | C] () – E:\WINDOWS\System32\app_dll.dll O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files E:\WINDOWS\System32\alcmtr.exe E:\WINDOWS\System32\skytel.exe E:\WINDOWS\System32\rthdcpl.exe E:\WINDOWS\System32\chdaudpropshortcut.exe :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Mają jednakowy rozmiar, więc sprawdź je na --> JOTTI/ albo na VIRUSTOTAL.

jessi

tech_inf · 9 Luty 2010 12:26

Po przeskanowaniu kilku z tych plików podane przez Ciebie skanery wykrywały w większości ‘Trojan.Win32.Bredolab’.

jessica · 9 Luty 2010 12:32

Wyedytowałam już swój poprzedni post i dołączyłem te pliki do usuwania.

tech_inf · 9 Luty 2010 12:40

Niestety włączyłem fix’a zanim napisałeś swój ostatni post w związku z czym nie wiem co wkleić by pozbyć się tych plików.

Załączam raport utworzony po restarcie.

http://wklejto.pl/57033

jessica · 9 Luty 2010 12:43

Pokaż nowy log

tech_inf · 9 Luty 2010 12:56

http://wklejto.pl/57038

jessica · 9 Luty 2010 13:24

Źle to wygląda, to się niby usuwa, ale dalej jest.

Na dodatek chyba plik Systemowy “rundll32.exe” jest zarażony.!

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL MOD - [2010-02-09 12:28:25 | 000,069,120 | ---- | M] () – E:\WINDOWS\system32\app_dll.dll O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - AppInit_DLLs: (app_dll.dll) - E:\WINDOWS\System32\app_dll.dll () O20 - HKLM Winlogon: TaskMan - (e:\documents and settings\karol\dane aplikacji\qwdfl.exe) - e:\documents and settings\karol\dane aplikacji\qwdfl.exe File not found [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At24.job [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At23.job [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At22.job [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At21.job [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At20.job [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At19.job [2010-02-09 12:34:34 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At18.job [2010-02-09 12:34:33 | 000,116,224 | ---- | M] () – E:\WINDOWS\vsnpstd3.exe [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At9.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At8.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At7.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At6.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At5.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At4.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At3.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At2.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At17.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At16.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At15.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At14.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At13.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At12.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At11.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At10.job [2010-02-09 12:34:33 | 000,000,392 | ---- | M] () – E:\WINDOWS\tasks\At1.job [2010-02-09 12:34:32 | 000,116,224 | ---- | M] () – E:\WINDOWS\tsnpstd3.exe [2010-02-09 12:34:30 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\rundll32.exe [2010-02-09 12:34:23 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\alcmtr.exe [2010-02-09 12:34:22 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\skytel.exe [2010-02-09 12:34:21 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\rthdcpl.exe [2010-02-09 12:34:20 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\chdaudpropshortcut.exe [2010-02-09 12:29:49 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\rundll32 .exe [2010-02-09 12:29:48 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\alcmtr .exe [2010-02-09 12:29:47 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\skytel .exe [2010-02-09 12:29:46 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\rthdcpl .exe [2010-02-09 12:29:45 | 000,116,224 | ---- | M] () – E:\Documents and Settings\KArol\chdaudpropshortcut .exe [2010-02-09 12:28:25 | 000,069,120 | ---- | M] () – E:\WINDOWS\System32\app_dll.dll [2010-02-07 17:34:46 | 000,116,224 | ---- | M] () – E:\WINDOWS\System32\alcmtr.exe [2010-02-07 17:34:45 | 000,116,224 | ---- | M] () – E:\WINDOWS\System32\skytel.exe [2010-02-07 17:34:44 | 000,116,224 | ---- | M] () – E:\WINDOWS\System32\rthdcpl.exe [2010-02-07 17:34:43 | 000,116,224 | ---- | M] () – E:\WINDOWS\System32\chdaudpropshortcut.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Jeśli masz płytkę instalacyjną zgodną z Twoim ServicePack2, to:

Włóż płytę z Windows do napędu. Potem start => Uruchom => cmd i wpisz, enter

Za X wstaw literę pod jaką masz napęd płytki.

Następnie przy pomocy>Replacer wymień te pliki między sobą:

e:\rundll32.exe

E:\WINDOWS\System32\rundll32.exe

tech_inf · 9 Luty 2010 13:51

http://wklejto.pl/57045 - po restarcie

http://wklejto.pl/57047 - skan

Plik podmieniony.

Czekam na dalsze instrukcje

jessica · 9 Luty 2010 14:05

Usuwanie się niby udało, ale w nowym logu to wszystko dalej jest.

Powtarzaj usuwanie aż do skutku.

Potem nowy log.

EDIT:

Możesz też użyć do pomocy Avenger:Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

E:\WINDOWS\tasks\At24.job

E:\WINDOWS\tasks\At23.job

E:\WINDOWS\tasks\At22.job

E:\WINDOWS\tasks\At21.job

E:\WINDOWS\tasks\At20.job

E:\WINDOWS\tasks\At19.job

E:\WINDOWS\tasks\At18.job

E:\WINDOWS\vsnpstd3.exe

E:\WINDOWS\tasks\At9.job

E:\WINDOWS\tasks\At8.job

E:\WINDOWS\tasks\At7.job

E:\WINDOWS\tasks\At6.job

E:\WINDOWS\tasks\At5.job

E:\WINDOWS\tasks\At4.job

E:\WINDOWS\tasks\At3.job

E:\WINDOWS\tasks\At2.job

E:\WINDOWS\tasks\At17.job

E:\WINDOWS\tasks\At16.job

E:\WINDOWS\tasks\At15.job

E:\WINDOWS\tasks\At14.job

E:\WINDOWS\tasks\At13.job

E:\WINDOWS\tasks\At12.job

E:\WINDOWS\tasks\At11.job

E:\WINDOWS\tasks\At10.job

E:\WINDOWS\tasks\At1.job

E:\WINDOWS\tsnpstd3.exe

E:\Documents and Settings\KArol\rundll32.exe

E:\Documents and Settings\KArol\alcmtr.exe

E:\Documents and Settings\KArol\skytel.exe

E:\Documents and Settings\KArol\rthdcpl.exe

E:\Documents and Settings\KArol\chdaudpropshortcut.exe

E:\Documents and Settings\KArol\rundll32 .exe

E:\Documents and Settings\KArol\alcmtr .exe

E:\Documents and Settings\KArol\skytel .exe

E:\Documents and Settings\KArol\rthdcpl .exe

E:\Documents and Settings\KArol\chdaudpropshortcut .exe

E:\WINDOWS\System32\app_dll.dll

E:\WINDOWS\System32\alcmtr.exe

E:\WINDOWS\System32\skytel.exe

E:\WINDOWS\System32\rthdcpl.exe

E:\WINDOWS\System32\chdaudpropshortcut.exe

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt. I nowy log z OTL.

Jeśli to nie pomoże to dasz także log z ComboFix

jessi

tech_inf · 9 Luty 2010 14:22

http://wklejto.pl/57054 - raport z

http://wklejto.pl/57058 - log z OTL

jessica · 9 Luty 2010 14:44

To na nic, bo to dalej jest.

Daj więc log z ComboFixa.

Potem, czekając na odpowiedź, ściągnij >>http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Bo raczej na pewno trzeba go będzie użyć.

jessi

tech_inf · 9 Luty 2010 15:38

http://wklejto.pl/57063 - logi z combofix’a.

jessica · 9 Luty 2010 16:16

Jednak infekcja się stale odradza od nowa. ComboFix usunął, ale w dalszej części logu to już było znowu.

Użyj najpierw >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

Potem:

Wklej do Notatnika :

File::

e:\windows\vsnpstd3.exe

e:\windows\tsnpstd3.exe

e:\documents and settings\KArol\rundll32.exe

e:\program files\Common Files\Symantec Shared

e:\documents and settings\KArol\rundll32 .exe

e:\documents and settings\KArol\skytel.exe

e:\documents and settings\KArol\rthdcpl.exe

e:\documents and settings\KArol\chdaudpropshortcut.exe

e:\windows\vsnpstd3 .exe

e:\windows\tsnpstd3 .exe

e:\program files\Common Files\Symantec Shared\ccapp .exe

e:\program files\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe

e:\program files\Java\jre1.6.0_05\bin\jusched .exe

e:\program files\Microsoft Office\Office12\alcmtr .exe

e:\program files\Microsoft Office\Office12\chdaudpropshortcut .exe

e:\program files\Microsoft Office\Office12\groovemonitor .exe

e:\program files\Microsoft Office\Office12\rthdcpl .exe

e:\program files\Microsoft Office\Office12\rundll32 .exe

e:\program files\Microsoft Office\Office12\skytel .exe

e:\program files\Motorola\SMSERIAL\sm56hlpr .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Picasa2\picasamediadetector .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\Symantec AntiVirus\vptray .exe

e:\windows\tsnpstd3 .exe

e:\windows\vsnpstd3 .exe

e:\windows\pchealth\helpctr\binaries\msconfig .exe

e:\program files\internet explorer\wmpscfgs.exe

E:\WINDOWS\tasks\At9.job

E:\WINDOWS\tasks\At8.job

E:\WINDOWS\tasks\At7.job

E:\WINDOWS\tasks\At6.job

E:\WINDOWS\tasks\At5.job

E:\WINDOWS\tasks\At4.job

E:\WINDOWS\tasks\At3.job

E:\WINDOWS\tasks\At2.job

E:\WINDOWS\tasks\At17.job

E:\WINDOWS\tasks\At16.job

E:\WINDOWS\tasks\At15.job

E:\WINDOWS\tasks\At24.job

E:\WINDOWS\tasks\At23.job

E:\WINDOWS\tasks\At22.job

E:\WINDOWS\tasks\At21.job

E:\WINDOWS\tasks\At20.job

E:\WINDOWS\tasks\At19.job

E:\WINDOWS\tasks\At18.job

E:\WINDOWS\tasks\At16.job

E:\WINDOWS\tasks\At15.job

E:\WINDOWS\tasks\At14.job

E:\WINDOWS\tasks\At13.job

E:\WINDOWS\tasks\At12.job

E:\WINDOWS\tasks\At11.job

E:\WINDOWS\tasks\At10.job

E:\WINDOWS\tasks\At1.job


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"=-

"ccApp"=-

"GrooveMonitor"=-

"SMSERIAL"=-

-"SunJavaUpdateSched"=-

"tsnpstd3"=-

"snpstd3"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Tu chyba też trzeba będzie podmienić plik z płytki instalacyjnej.

jessi

tech_inf · 9 Luty 2010 17:49

app_dll.dll.7213625.old e:\windows\system32

ccapp.exe e:\program files\common files\symantec shared

googletoolbarnotifier.exe e:\program files\google\googletoolbarnotifier

wmpscfgs.exe e:\program files\internet exploler

jusched.exe e:\program files\java\jre1.6.0_05\bin

groovemonitor.exe e:\program files\microsoft office\office12

sm56hlpr.exe e:\program files\motorola\smserial

picasamediadetector.exe e:\program files\picasa2

tsnpstd3.exe e:\windows

vsnpstd3.exe e:\windows

To są trojan downloader’t jeden i trojan siggen.

jessica · 9 Luty 2010 18:12

Rozumiem, że te podane przez Ciebie to wykryte i usunięte przez “Dr.Web”?

W takim razie te programy będą potem do przeinstalowania. Ale to w przyszłości.

jessi

tech_inf · 9 Luty 2010 18:18

Tak zostały wykryte i usunięte.

http://wklejto.pl/57090 - logi z combofix’a

Na płycie z windows’em nie mogę znaleźć pliku msconfig.exe, gdzie powinien się on znajdować? Znalazłem tylko msconfig.ex_

jessica · 9 Luty 2010 18:34

No, nareszcie czysto. Szkoda, że od razu nie zaleciłam użycia “Dr.Web”, poszło by szybciej. No cóż, straconego czasu już się teraz nie odzyska. Nie przewidziałam, że usuwanie będzie takie ciężkie. Odradzanie się infekcji było spowodowane tym, że Twoje programy były zarażone, i to te programy dbały o to, by infekcja się ciągle odradzała. .

To jest właśnie ten plik, tylko że spakowany - wystarczy go rozpakować.

Ale chyba nie będzie potrzeby podmiany, bo “Dr.Web” nie uznał tego pliku za zarażony.

Zarażony był tylko ten podstawiony przez VUNDO (z odstępem przed .exe):

Ale, na wszelki wypadek, sprawdź ten:

na -> JOTTI/ albo na VIRUSTOTAL.

Wg mnie - nie jest zarażony.

jessi

tech_inf · 9 Luty 2010 18:47

Wielkie dzięki. Jesteś WIELKI.

msconfig.exe jest czysty

PS. Teraz muszę wrzucić tam jakiś dobry skaner antywirusowy - chodzi mi aby był jak najbardziej “bezobsługowy” bo właściciel pewnie i tak by go nigdy nie włączył, w miarę sprawny i nie obciążający mocno lapka. Co polecasz?

Symantec który był zainstalowany do tej pory zginął straszną śmiercią podczas naszych prób usunięcia wirusów :o

jessica · 9 Luty 2010 18:59

O, to niedobrze wróży.

Wg mnie wymiana Antivirusów nie ma większego sensu, bo żaden Antivirus nie ustrzeże na 100%, zwłaszcza jeśli użytkownik niezbyt się przejmuje możliwością infekcji.

Ja mam Avasta5, i mi to w zupełności wystarcza. Miałam płatną PANDĘ, ale wolałam z niej zrezygnować - była za bardzo obciążająca.

jessi