Co dalej?

mirt007 (Mirtius) 2011-02-01 22:03:05 UTC #1

Witam serdecznie,

jako, iż nie poddam się tak łatwo, chcę czyścić, nie formatować

do rzeczy

skan Avira AntiVir Personal wykazał:

http://www.wklejto.pl/88480

Teraz log z HiJack:

http://wklejto.pl/88478

Trzeba zaznaczyć, że nie mam dostępu do eksploratora (explorer.exe nie może się znaleźć).

Co robić i jak się tego śmiecia pozbyć?

Pozdrawiam

EDIT: Czytałem pozostałe tematy i również mam przekierowania na dziwne stronki "sprawdzające bezpieczeństwo", zdarza się to często kiedy klikam na odnośniki z wyszukiwana w google.

cichosza (Sadzawa1) 2011-02-01 22:11:02 UTC #2

WKlej loga z OTL http://forum.dobreprogramy.pl/otl-gmer-rsit-dss-inne-instrukcje-t370405.html Tu masz poradnik jak go wykonać

HJ jest obecnie niezbyt skuteczny. Mozesz jeszcze przeskanowac Dr. Web i Mbam

mirt007 (Mirtius) 2011-02-01 22:48:17 UTC #3

OK, musiałem skanować 2 razy, stąd tak długo to trwało (swoją drogą teraz okno OTL wygląda deczko inaczej niż w poradniku)

http://www.wklejto.pl/88486

Log z Extras też wkleić?

bibut (bibut) 2011-02-02 06:52:07 UTC #4

w otl wklej to:

:OTL SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) O4 - HKLM..\Run: [conhost] Reg Error: Invalid data type. File not found O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [Regedit32] File not found O4 - HKLM..\Run: [sysgif32] File not found O4 - HKU\S-1-5-21-3741243580-2947129510-2676896426-1000..\Run: [TOSCDSPD] File not found F3 - HKU\S-1-5-21-3741243580-2947129510-2676896426-1000 WinNT: Load - (C:\Users\Piotr\AppData\Local\Temp\csrss.exe) - File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - File not found O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - File not found O20 - HKU\S-1-5-21-3741243580-2947129510-2676896426-1000 Winlogon: Shell - (C:\Users\Piotr\AppData\Roaming\dwm.exe) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\Windows\System32\lsdelete.exe () MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: NvSvc - hkey= - key= - File not found MsConfig - StartUpReg: osCheck - hkey= - key= - File not found MsConfig - StartUpReg: ccApp - hkey= - key= - File not found MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - File not found MsConfig - StartUpReg: 00TCrdMain - hkey= - key= - File not found MsConfig - StartUpReg: av_md - hkey= - key= - File not found MsConfig - StartUpReg: B27D6E - hkey= - key= - File not found MsConfig - StartUpReg: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - File not found MsConfig - StartUpReg: SmoothView - hkey= - key= - File not found MsConfig - StartUpReg: Windows Defender - hkey= - key= - File not found MsConfig - StartUpReg: WindowsWelcomeCenter - hkey= - key= - File not found 2011-02-01 23:27:50 | 000,000,286 | -H-- | M -- C:\Windows\tasks{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job 2011-02-01 23:27:48 | 000,000,286 | -H-- | M -- C:\Windows\tasks{22116563-108C-42c0-A7CE-60161B75E508}.job 2011-02-01 23:07:01 | 000,000,246 | -H-- | M -- C:\Windows\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 2011-01-31 18:07:51 | 000,000,286 | -H-- | C -- C:\Windows\tasks{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job 2011-01-31 18:07:46 | 000,000,286 | -H-- | C -- C:\Windows\tasks{22116563-108C-42c0-A7CE-60161B75E508}.job 2011-01-31 18:07:38 | 000,000,246 | -H-- | C -- C:\Windows\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 2011-01-26 22:02:23 | 000,015,880 | ---- | C -- C:\Windows\System32\lsdelete.exe :Commands [resethosts] [emptytemp] [start explorer] [reboot]

kliknij wykonaj skrypt i zatwierdź restart

podaj nowego loga

zrób pełny skan MBAM i usuń co znajdzie , podaj z niego loga

mirt007 (Mirtius) 2011-02-02 23:01:04 UTC #5

Dobra, to jest log z OTL:

http://www.wklejto.pl/88588

Potem uruchomiłem MBAM i oto log:

http://www.wklejto.pl/88589

Czysto?

bibut (bibut) 2011-02-03 12:54:37 UTC #6

to jest log z usuwania podaj jeszcze nowy

a explorer już jest ??

mirt007 (Mirtius) 2011-02-03 19:45:40 UTC #7

Tak, explorer powrócił. To log z OTL:

http://www.wklejto.pl/88651

extras:

http://www.wklejto.pl/88652

Jak widać, ciekawa rzecz, przesunął mi się zegar...miałem ustawiony październik 2010...

Dodatkowo, Avira wykrył mi TR/Crypt.FKM.Gen w appdata.exe

bibut (bibut) 2011-02-03 20:05:24 UTC #8

zrób jeszcze to:

:OTL PRC - [2008-10-29 07:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe O33 - MountPoints2{1de9c52d-5286-11de-b212-0016d4fdc9b0}\Shell\AutoRun\command - "" = F:\EXPLORER.EXE O33 - MountPoints2{1de9c52d-5286-11de-b212-0016d4fdc9b0}\Shell\explore\Command - "" = F:\EXPLORER.EXE O33 - MountPoints2{1de9c52d-5286-11de-b212-0016d4fdc9b0}\Shell\open\Command - "" = F:\EXPLORER.EXE O33 - MountPoints2{5aa78d0a-2205-11de-80a1-0016d4fdc9b0}\Shell\AutoRun\command - "" = F:\upw.bat O33 - MountPoints2{5aa78d0a-2205-11de-80a1-0016d4fdc9b0}\Shell\open\Command - "" = F:\upw.bat O33 - MountPoints2{8a5cac62-ffb0-11df-bed8-00037ad6201c}\Shell\AutoRun\command - "" = F:\urDrive.exe O33 - MountPoints2{9c1b6159-52ab-11dd-99b1-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2{9c1b6159-52ab-11dd-99b1-806e6f6e6963}\Shell\AutoRun\command - "" = E:_autorun\autorun.exe -- [2001-03-29 18:16:58 | 000,040,960 | R--- | M] (New World Computing) O33 - MountPoints2{9c1b6159-52ab-11dd-99b1-806e6f6e6963}\Shell\readme\command - "" = notepad czytajto.txt MsConfig - StartUpReg: HSON - hkey= - key= - File not found MsConfig - StartUpReg: IS CfgWiz - hkey= - key= - File not found MsConfig - StartUpReg: LogMeIn Hamachi Ui - hkey= - key= - File not found MsConfig - StartUpReg: NDSTray.exe - hkey= - key= - File not found MsConfig - StartUpReg: TPwrMain - hkey= - key= - File not found :Commands [emptyhosts] [emptytemp] [start explorer] [reboot]

usuń tego appdata.exe

zrób pełny skan MBAM i usuń co znajdzie podaj z niego loga

usuń spybota bo już za stary

mirt007 (Mirtius) 2011-02-03 22:45:08 UTC #9

Appdata.exe deleted

Spybot deleted

MBAM nic nie znalazł oto log:

http://www.wklejto.pl/88675

Ale... Avira znalazł jakieś backdoor trojany DR/Flystudio.L.# plus BAT/Agent.143 naroiło się tego tałatajstwa wszystko usunąłem

Jeszcze log z OTL:

http://www.wklejto.pl/88651

Czy robić coś jeszcze?

bibut (bibut) 2011-02-04 06:20:26 UTC #10

czy napewno zaczołeś od : bo niewidze żadnych zmian (treba skopiować od : do [reboot] )

mirt007 (Mirtius) 2011-02-04 20:17:53 UTC #11

Nie wiem, czy o ten log chodzi...

http://www.wklejto.pl/88706

bibut (bibut) 2011-02-04 20:18:53 UTC #12

podaj nowy

mirt007 (Mirtius) 2011-02-04 20:41:41 UTC #13

Oto i on:

http://www.wklejto.pl/88708

bibut (bibut) 2011-02-04 20:43:19 UTC #14

w otl użyj opcji spratanie

MASZ CZYSTEGO KOMPA

mirt007 (Mirtius) 2011-02-04 20:58:48 UTC #15

Dzięki wielkie, naprawdę I pamiętajcie ludzie, żeby się zabezpieczać

-- Dodane 05.02.2011 (So) 18:52 --

Witam ponownie, okazuje się jednak, że komp nie jest czysty :evil:

"zainstalował" mi się antivirus.net i oczywiście zaczyna mi skanować, "wykrywać wirusy", ale zablokował mi wszystkie aplikacje (że niby plik (random).exe jest zainfekowany...), MBAM i OTL nie mogę uruchomić, zdążyłem zauważyć dziwne procesy w menedżerze, ale jego też już nie mogę uruchomić, explorer.exe też nie działa...mogę odpalić jedynie przeglądarkę, ale to chyba nie dziwne, jakoś ten "program" musi ściągnąć mi nowe wirusy

Teraz pytanie, co zrobić, aby pozbyć się tego syfu?

bibut (bibut) 2011-02-05 18:35:55 UTC #16

podaj loga z trybu awaryjngo

mirt007 (Mirtius) 2011-02-05 20:37:07 UTC #17

To jedziemy:

Log MBAM:http://www.wklejto.pl/88752

Log OTL:http://www.wklejto.pl/88753

Log Extras:http://www.wklejto.pl/88754

Wygląda czysto...

Ale chyba Avira pójdzie do kosza, porządny firewall by się przydał...

Edit: pojawił mi się na pulpicie plik o "nazwie" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.JPG.sha i nie wiem co to jest... jest ukryty, więc normalnie niewidoczny, ale skąd się wziął to pojęcia nie mam

Acorus (Acorus) 2011-02-06 09:03:34 UTC #18

W porządku.W OTL użyj opcji Sprzątanie.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem