Log z HijackThis, prawdopodobnie wirusy


(Blackiga210) #1

Witam, mam ogromną prośbę o przejrzenie loga.

Od jakiegoś czasu mój komputer zaczął działać wolniej, czasem przestawała działać mysz. Mam program antywirusowy AVG free edition, dlatego przeskanowałam komputer online za pomocą bitDefender'a, który nic nie wykrył..po jakimś czasie skanowałam ponownie, znalazł wtedy jakieś trojany i je usunął, problemy jednak nie zniknęły więc wnioskuję, że problem nie został wykryty a tamte wirusiki pewnie w międzyczasie zostały załapane. Od jakiegoś momentu komputer zaczął działać w miarę sprawnie (więc dałam spokój z pisaniem na forum), do dnia dzisiejszego, znów zaczął się mulić, podejrzewam, ze pendrive, który podłączyłam był czymś zainfekowany. BitDefender usunął pare trojanów ale nie jest w stanie wywalić jednego. typ to jakiś gen:trj.hour.24 .

Po przeanalizowaniu loga przez http://www.hijackthis.de/ jako niebezpieczne lub nieznane pokazały mi się:

O4 - HKLM..\Run: [services] C:\WINDOWS\system\services.exe

O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

link do log'a : http://www.wklej.org/id/42033/

Wolałabym uniknąć robienia formatu- dlatego proszę o fachową pomoc, ponieważ kiepsko się orientuję w tych sprawach, boję się samej coś usuwać hijackiem, żeby nie rozwalić sobie systemu. Uprzedzam, że jestem na najniższym poziomie wtajemniczenia :wink: będę wdzięczna za każdą poradę.


(13 Alek) #2

Usuń w Hijack

O4 - HKLM\..\Run: [services] C:\WINDOWS\system\services.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

Pobierz Combofix, ale nie uruchamiaj go Otwórz notatnik i wklej

File::

C:\WINDOWS\system32\olhrwef.exe

C:\WINDOWS\system\services.exe

Plik>Zapisz jako...> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

33jn0pj.gif

To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.


(Blackiga210) #3

po zastosowaniu się do wskazówek wklejam log z combofix :slight_smile: : http://wklej.org/id/42171/


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\nmdfgds0.dll


Driver::

ZDCndis5


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d2179b0-271f-11dd-ade8-0015af38396d}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15244825-bb1f-11dd-af19-001d604eff82}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Blackiga210) #5

następny log : http://wklej.org/id/42204/


(huber2t) #6

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Blackiga210) #7

po przeprowadzeniu wszystkich czynności okazało się że kaspersky wykrył mi wirusa w programie mIRC , oto raport:

http://wklej.org/id/42596/

komputer wolniej działa, optymalizacji autostartu dokonałam dość ostrożnie ale zastanawiam się czy to może być przyczyną...a moze to przez to, ze usunęłam te podejrzane logi combofixem i system stracił na "stabilności" czy to w ogóle możliwe?:stuck_out_tongue:

i podstawowe pytanie- w jaki sposób usunąć te dwa wirusy? program mam od około roku (z tym, ze od baaaardzo dawna nie korzystam)a dopiero teraz się dowiedziałam, że był zainfekowany


(13 Alek) #8

Pobierz The Avenger

Uruchom, naciśnij Ok, i wpisz:

Files to delete:

D:\instalatory\mirc631.exe

D:\Programy\IRC\mIRC\mirc.exe

Naciśnij "Execute" Po zakończeniu operacji, powstały log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link. Po wstawieniu loga usuń folder:

C:\avenger

(Blackiga210) #9

nie moglam uruchomić programu, naciskając instalkę , nic się nie działo, w końcu skasowałam i chciałam ściągnąć raz jeszcze ale teraz nawet nie mogę ściągnąć pliku:(


(13 Alek) #10

Spróbuj pobrać wersję .zip


(Blackiga210) #11

Dziękuję za pomoc, usunęłam wirusy- niechcący nie zapisałam raportu, użyłam dr Web do ostatecznego przeskanowania, usunął mi jakieś pozostałości po wirusach ale 3 procesy pozostały jako podejrzane itp, nie wiem co z nimi zrobić?... http://wyslijto.pl/upload_success/cltr29kb0j