Sebcart
(Sebkart)
16 Lipiec 2009 17:58
#1
Witam
Mam mały problem bo od 30 min meczy mnie jakiś syf o nazwie dhrhje.bat. Mój NOD32 usuwa go co 15 sek ; < nie mogę się go pozbyć i strasznie to irytuje ; /
Oto Logi z HiJackThis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:54:31, on 2009-07-16 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\Razer\DeathAdder\razerhid.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Vista Inspirat 2\RocketDock\RocketDock.exe C:\Program Files\Razer\DeathAdder\razerofa.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Sebastian\Pulpit\HiJackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Sebastian\Dane aplikacji\Nowe Gadu-Gadu_userdata\ggbho.1.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice O4 - HKLM…\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” O4 - HKCU…\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKCU…\Run: [RocketDock] “C:\Program Files\Vista Inspirat 2\RocketDock\RocketDock.exe” O4 - HKCU…\Run: [Nowe Gadu-Gadu] “C:\Program Files\Nowe Gadu-Gadu\gg.exe” O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\SEBAST~1\USTAWI~1\Temp\olhrwef.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-20…\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘Default user’) O4 - Startup: RocketDock.lnk = C:\Program Files\Vista Inspirat 2\RocketDock\RocketDock.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe – End of file - 5111 bytes
Pozdrawiam i prosze o pomoc : >
Sebastian
deFco247
(deFco247)
16 Lipiec 2009 18:04
#2
Logi wklejasz na wklej.org lub wklej.to , a w poście dajesz link.
Infekcja z pendrive. Użyj Flash Disinfector .
Pokaż logi z OTL oraz GMER .
Sebcart
(Sebkart)
16 Lipiec 2009 18:14
#3
Proszę : )
OTL: http://wklej.to/FJXo
GMER zaraz podeśle : >
deFco247
(deFco247)
16 Lipiec 2009 18:24
#4
Infekcja weszła przez nośnik pod literką F:
W Custom Scans/Fixes w OTL wklej:
:OTL O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Sebastian\Ustawienia lokalne\Temp\olhrwef.exe () O32 - AutoRun File - [2009-07-16 20:09:20 | 00,000,061 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-16 20:09:22 | 00,000,061 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{2ca13e3c-ed40-11dd-88c6-002185395054}\Shell\AutoRun\command - “” = F:\dhrhyje.bat – File not found O33 - MountPoints2{2ca13e3c-ed40-11dd-88c6-002185395054}\Shell\open\Command - “” = F:\dhrhyje.bat – File not found O33 - MountPoints2{c83add5a-503f-11de-897d-002185395054}\Shell\AutoRun\command - “” = F:\dhrhyje.bat – File not found O33 - MountPoints2{c83add5a-503f-11de-897d-002185395054}\Shell\open\Command - “” = F:\dhrhyje.bat – File not found :Files C:\Documents and Settings\Sebastian\Ustawienia lokalne\Temp\olhrwef.exe :Commands [emptytemp] [start explorer] [Reboot]
Run Fix . Zgadzasz się na restart.
Po tym nowy log OTL.txt.
deFco247
(deFco247)
16 Lipiec 2009 18:42
#6
Złego kodu już nie widzę, jak GMER nie pokaże komunikatu o modyfikacji systemu przez rootkita, to powinno być
W OTL kliknij CleanUp .
Pobierz CCleaner , wyczyść rejestr i dysk.
Usuń zbędniki z autostartu.
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
Sebcart
(Sebkart)
16 Lipiec 2009 19:36
#7
Zrobiłem wszytko co powyżej i po pełnym skanie w Malwarebytes’ Anti-Malware znalazł dwa obiekty ( jeden nie chciał się usunąć *)
Logi:
http://wklej.to/7TYF
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle)
ten nie chciał się usunąć
deFco247
(deFco247)
16 Lipiec 2009 19:40
#8
Obiekty trzeba usuwać. Skaner nie usuwa ich automatycznie po znalezieniu.
Nie trzeba usuwać. Tylko powoduje wyświetlanie Panelu Sterowania w stylu klasycznym.
Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja
Sebcart
(Sebkart)
16 Lipiec 2009 21:08
#9
Wyłączyłem i włączyłem Przywracanie Systemu na wszystkich dyskach wedle instrukcji : )
czy coś jeszcze trzeba zrobić czy to by było na tyle ?
Sebcart
(Sebkart)
16 Lipiec 2009 21:18
#11
Dzięki wielkie za pomoc : * naprawdę szybko i fachowo : >
Jeszcze raz dzięki : )
Pozdrawiam
Sebastian