Obiekt dhrhje.bat

Sebcart · 16 Lipiec 2009 17:58

Witam

Mam mały problem bo od 30 min meczy mnie jakiś syf o nazwie dhrhje.bat. Mój NOD32 usuwa go co 15 sek ; < nie mogę się go pozbyć i strasznie to irytuje ; /

Oto Logi z HiJackThis

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:54:31, on 2009-07-16 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\Razer\DeathAdder\razerhid.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Vista Inspirat 2\RocketDock\RocketDock.exe C:\Program Files\Razer\DeathAdder\razerofa.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Sebastian\Pulpit\HiJackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Sebastian\Dane aplikacji\Nowe Gadu-Gadu_userdata\ggbho.1.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice O4 - HKLM…\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” O4 - HKCU…\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKCU…\Run: [RocketDock] “C:\Program Files\Vista Inspirat 2\RocketDock\RocketDock.exe” O4 - HKCU…\Run: [Nowe Gadu-Gadu] “C:\Program Files\Nowe Gadu-Gadu\gg.exe” O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\SEBAST~1\USTAWI~1\Temp\olhrwef.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-20…\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘Default user’) O4 - Startup: RocketDock.lnk = C:\Program Files\Vista Inspirat 2\RocketDock\RocketDock.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe – End of file - 5111 bytes

Pozdrawiam i prosze o pomoc : >

Sebastian

deFco247 · 16 Lipiec 2009 18:04

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Infekcja z pendrive. Użyj Flash Disinfector.

Pokaż logi z OTL oraz GMER.

Sebcart · 16 Lipiec 2009 18:14

Proszę : )

OTL: http://wklej.to/FJXo

GMER zaraz podeśle : >

deFco247 · 16 Lipiec 2009 18:24

Infekcja weszła przez nośnik pod literką F:

W Custom Scans/Fixes w OTL wklej:

:OTL O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Sebastian\Ustawienia lokalne\Temp\olhrwef.exe () O32 - AutoRun File - [2009-07-16 20:09:20 | 00,000,061 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-16 20:09:22 | 00,000,061 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{2ca13e3c-ed40-11dd-88c6-002185395054}\Shell\AutoRun\command - “” = F:\dhrhyje.bat – File not found O33 - MountPoints2{2ca13e3c-ed40-11dd-88c6-002185395054}\Shell\open\Command - “” = F:\dhrhyje.bat – File not found O33 - MountPoints2{c83add5a-503f-11de-897d-002185395054}\Shell\AutoRun\command - “” = F:\dhrhyje.bat – File not found O33 - MountPoints2{c83add5a-503f-11de-897d-002185395054}\Shell\open\Command - “” = F:\dhrhyje.bat – File not found :Files C:\Documents and Settings\Sebastian\Ustawienia lokalne\Temp\olhrwef.exe :Commands [emptytemp] [start explorer] [Reboot]

Run Fix. Zgadzasz się na restart.

Po tym nowy log OTL.txt.

Sebcart · 16 Lipiec 2009 18:38

OTL Log :

http://wklej.to/o2QG

New Scan OTL Log :

http://wklej.to/OlCR

deFco247 · 16 Lipiec 2009 18:42

Złego kodu już nie widzę, jak GMER nie pokaże komunikatu o modyfikacji systemu przez rootkita, to powinno być :spoko:

W OTL kliknij CleanUp.

Pobierz CCleaner, wyczyść rejestr i dysk.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

Sebcart · 16 Lipiec 2009 19:36

Zrobiłem wszytko co powyżej i po pełnym skanie w Malwarebytes’ Anti-Malware znalazł dwa obiekty ( jeden nie chciał się usunąć *)

Logi:

http://wklej.to/7TYF

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle)

ten nie chciał się usunąć

deFco247 · 16 Lipiec 2009 19:40

Obiekty trzeba usuwać. Skaner nie usuwa ich automatycznie po znalezieniu.

Nie trzeba usuwać. Tylko powoduje wyświetlanie Panelu Sterowania w stylu klasycznym.

Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja

Sebcart · 16 Lipiec 2009 21:08

Wyłączyłem i włączyłem Przywracanie Systemu na wszystkich dyskach wedle instrukcji : )

czy coś jeszcze trzeba zrobić czy to by było na tyle ?

deFco247 · 16 Lipiec 2009 21:12

To wszystko.

Sebcart · 16 Lipiec 2009 21:18

Dzięki wielkie za pomoc : * naprawdę szybko i fachowo : >

Jeszcze raz dzięki : )

Pozdrawiam

Sebastian