mirt007
(Mirtius)
1 Luty 2011 22:03
#1
Witam serdecznie,
jako, iż nie poddam się tak łatwo, chcę czyścić, nie formatować
do rzeczy
skan Avira AntiVir Personal wykazał:
http://www.wklejto.pl/88480
Teraz log z HiJack:
http://wklejto.pl/88478
Trzeba zaznaczyć, że nie mam dostępu do eksploratora (explorer.exe nie może się znaleźć).
Co robić i jak się tego śmiecia pozbyć?
Pozdrawiam
EDIT: Czytałem pozostałe tematy i również mam przekierowania na dziwne stronki “sprawdzające bezpieczeństwo”, zdarza się to często kiedy klikam na odnośniki z wyszukiwana w google.
cichosza
(Sadzawa1)
1 Luty 2011 22:11
#2
WKlej loga z OTL http://forum.dobreprogramy.pl/otl-gmer-rsit-dss-inne-instrukcje-t370405.html Tu masz poradnik jak go wykonać
HJ jest obecnie niezbyt skuteczny. Mozesz jeszcze przeskanowac Dr. Web i Mbam
mirt007
(Mirtius)
1 Luty 2011 22:48
#3
OK, musiałem skanować 2 razy, stąd tak długo to trwało (swoją drogą teraz okno OTL wygląda deczko inaczej niż w poradniku)
http://www.wklejto.pl/88486
Log z Extras też wkleić?
w otl wklej to:
:OTL SRV - File not found [Auto | Stopped] – -- (CLTNetCnService) O4 - HKLM…\Run: [conhost] Reg Error: Invalid data type. File not found O4 - HKLM…\Run: [NWEReboot] File not found O4 - HKLM…\Run: [Regedit32] File not found O4 - HKLM…\Run: [sysgif32] File not found O4 - HKU\S-1-5-21-3741243580-2947129510-2676896426-1000…\Run: [TOSCDSPD] File not found F3 - HKU\S-1-5-21-3741243580-2947129510-2676896426-1000 WinNT: Load - (C:\Users\Piotr\AppData\Local\Temp\csrss.exe) - File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - File not found O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - File not found O20 - HKU\S-1-5-21-3741243580-2947129510-2676896426-1000 Winlogon: Shell - (C:\Users\Piotr\AppData\Roaming\dwm.exe) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\Windows\System32\lsdelete.exe () MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: NvSvc - hkey= - key= - File not found MsConfig - StartUpReg: osCheck - hkey= - key= - File not found MsConfig - StartUpReg: ccApp - hkey= - key= - File not found MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - File not found MsConfig - StartUpReg: 00TCrdMain - hkey= - key= - File not found MsConfig - StartUpReg: av_md - hkey= - key= - File not found MsConfig - StartUpReg: B27D6E - hkey= - key= - File not found MsConfig - StartUpReg: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - File not found MsConfig - StartUpReg: SmoothView - hkey= - key= - File not found MsConfig - StartUpReg: Windows Defender - hkey= - key= - File not found MsConfig - StartUpReg: WindowsWelcomeCenter - hkey= - key= - File not found [2011-02-01 23:27:50 | 000,000,286 | -H-- | M] () – C:\Windows\tasks{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-02-01 23:27:48 | 000,000,286 | -H-- | M] () – C:\Windows\tasks{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-02-01 23:07:01 | 000,000,246 | -H-- | M] () – C:\Windows\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2011-01-31 18:07:51 | 000,000,286 | -H-- | C] () – C:\Windows\tasks{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-01-31 18:07:46 | 000,000,286 | -H-- | C] () – C:\Windows\tasks{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-01-31 18:07:38 | 000,000,246 | -H-- | C] () – C:\Windows\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2011-01-26 22:02:23 | 000,015,880 | ---- | C] () – C:\Windows\System32\lsdelete.exe :Commands [resethosts] [emptytemp] [start explorer] [reboot]
kliknij wykonaj skrypt i zatwierdź restart
podaj nowego loga
zrób pełny skan MBAM i usuń co znajdzie , podaj z niego loga
mirt007
(Mirtius)
2 Luty 2011 23:01
#5
Dobra, to jest log z OTL:
http://www.wklejto.pl/88588
Potem uruchomiłem MBAM i oto log:
http://www.wklejto.pl/88589
Czysto?
to jest log z usuwania podaj jeszcze nowy
a explorer już jest ??
mirt007
(Mirtius)
3 Luty 2011 19:45
#7
Tak, explorer powrócił. To log z OTL:
http://www.wklejto.pl/88651
extras:
http://www.wklejto.pl/88652
Jak widać, ciekawa rzecz, przesunął mi się zegar…miałem ustawiony październik 2010…
Dodatkowo, Avira wykrył mi TR/Crypt.FKM.Gen w appdata.exe
zrób jeszcze to:
:OTL PRC - [2008-10-29 07:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) – C:\Windows\explorer.exe O33 - MountPoints2{1de9c52d-5286-11de-b212-0016d4fdc9b0}\Shell\AutoRun\command - “” = F:\EXPLORER.EXE O33 - MountPoints2{1de9c52d-5286-11de-b212-0016d4fdc9b0}\Shell\explore\Command - “” = F:\EXPLORER.EXE O33 - MountPoints2{1de9c52d-5286-11de-b212-0016d4fdc9b0}\Shell\open\Command - “” = F:\EXPLORER.EXE O33 - MountPoints2{5aa78d0a-2205-11de-80a1-0016d4fdc9b0}\Shell\AutoRun\command - “” = F:\upw.bat O33 - MountPoints2{5aa78d0a-2205-11de-80a1-0016d4fdc9b0}\Shell\open\Command - “” = F:\upw.bat O33 - MountPoints2{8a5cac62-ffb0-11df-bed8-00037ad6201c}\Shell\AutoRun\command - “” = F:\urDrive.exe O33 - MountPoints2{9c1b6159-52ab-11dd-99b1-806e6f6e6963}\Shell - “” = AutoRun O33 - MountPoints2{9c1b6159-52ab-11dd-99b1-806e6f6e6963}\Shell\AutoRun\command - “” = E:_autorun\autorun.exe – [2001-03-29 18:16:58 | 000,040,960 | R— | M] (New World Computing) O33 - MountPoints2{9c1b6159-52ab-11dd-99b1-806e6f6e6963}\Shell\readme\command - “” = notepad czytajto.txt MsConfig - StartUpReg: HSON - hkey= - key= - File not found MsConfig - StartUpReg: IS CfgWiz - hkey= - key= - File not found MsConfig - StartUpReg: LogMeIn Hamachi Ui - hkey= - key= - File not found MsConfig - StartUpReg: NDSTray.exe - hkey= - key= - File not found MsConfig - StartUpReg: TPwrMain - hkey= - key= - File not found :Commands [emptyhosts] [emptytemp] [start explorer] [reboot]
usuń tego appdata.exe
zrób pełny skan MBAM i usuń co znajdzie podaj z niego loga
usuń spybota bo już za stary
mirt007
(Mirtius)
3 Luty 2011 22:45
#9
Appdata.exe deleted
Spybot deleted
MBAM nic nie znalazł oto log:
http://www.wklejto.pl/88675
Ale… Avira znalazł jakieś backdoor trojany DR/Flystudio.L.# plus BAT/Agent.143 naroiło się tego tałatajstwa wszystko usunąłem
Jeszcze log z OTL:
http://www.wklejto.pl/88651
Czy robić coś jeszcze?
czy napewno zaczołeś od : bo niewidze żadnych zmian (treba skopiować od : do [reboot] )
mirt007
(Mirtius)
4 Luty 2011 20:17
#11
Nie wiem, czy o ten log chodzi…
http://www.wklejto.pl/88706
mirt007
(Mirtius)
4 Luty 2011 20:41
#13
w otl użyj opcji spratanie
MASZ CZYSTEGO KOMPA
mirt007
(Mirtius)
4 Luty 2011 20:58
#15
Dzięki wielkie, naprawdę I pamiętajcie ludzie, żeby się zabezpieczać
– Dodane 05.02.2011 (So) 18:52 –
Witam ponownie, okazuje się jednak, że komp nie jest czysty :evil:
“zainstalował” mi się antivirus.net i oczywiście zaczyna mi skanować, “wykrywać wirusy”, ale zablokował mi wszystkie aplikacje (że niby plik (random).exe jest zainfekowany…), MBAM i OTL nie mogę uruchomić, zdążyłem zauważyć dziwne procesy w menedżerze, ale jego też już nie mogę uruchomić, explorer.exe też nie działa…mogę odpalić jedynie przeglądarkę, ale to chyba nie dziwne, jakoś ten “program” musi ściągnąć mi nowe wirusy
Teraz pytanie, co zrobić, aby pozbyć się tego syfu?
podaj loga z trybu awaryjngo
mirt007
(Mirtius)
5 Luty 2011 20:37
#17
To jedziemy:
Log MBAM:http://www.wklejto.pl/88752
Log OTL:http://www.wklejto.pl/88753
Log Extras:http://www.wklejto.pl/88754
Wygląda czysto…
Ale chyba Avira pójdzie do kosza, porządny firewall by się przydał…
Edit: pojawił mi się na pulpicie plik o “nazwie” AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.JPG.sha i nie wiem co to jest… jest ukryty, więc normalnie niewidoczny, ale skąd się wziął to pojęcia nie mam
Acorus
(Acorus)
6 Luty 2011 09:03
#18
W porządku.W OTL użyj opcji Sprzątanie.