Podczas wlaczania programu uruchamia sie proces ave.exe

Domin682 · 22 Marzec 2010 15:11

Witam, mam problem z wirusem, gdy wlaczam jakis program uruchamia sie proces ave.exe, mam jeszcze problem z procesem svchost.exe

Cedar · 22 Marzec 2010 15:22

Daj log z OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html

Zasady wklejania logów: zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

Domin682 · 22 Marzec 2010 15:32

http://www.wklej.org/id/301831/

jessica · 22 Marzec 2010 16:17

Znasz to?

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL IE - HKCU…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll File not found O2 - BHO: (XML Class) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\System32\msxml71.dll File not found O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll File not found O3 - HKLM…\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll File not found O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-85B2-BC27FE9AAE2E} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSoft.dll File not found O4 - HKLM…\Run: [1380639501] C:\Documents and Settings\All Users\Application Data\1643230944\1380639501.exe File not found O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKLM…\Run: [syncman] C:\WINDOWS\system32\wuaucldt.exe () O4 - HKCU…\Run: [bitTorrent] C:\Program Files\BitTorrent\bittorrent.exe File not found O4 - HKCU…\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe File not found O4 - HKCU…\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found O4 - HKCU…\Run: [syncman] c:\documents and settings\dominik i tadek\wuaucldt.exe File not found O4 - Startup: C:\Documents and Settings\Dominik i Tadek\Menu Start\Programy\Autostart\syspck32.exe () O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - CLSID or File not found. O37 - HKLM…exe [@ = secfile] – “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* () O37 - HKCU…exe [@ = secfile] – “C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* () [2010-03-22 16:18:33 | 000,084,800 | ---- | M] () – C:\WINDOWS\System32\dllcache\cdrom.sys [2010-03-22 12:38:38 | 000,204,800 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\3570694465.dll [2010-03-22 12:38:19 | 000,016,360 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo [2010-03-22 11:50:42 | 000,016,360 | -HS- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo [2010-03-22 11:50:42 | 000,016,352 | -HS- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo [2010-03-22 07:38:18 | 000,203,776 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\490373180.dll [2010-03-22 07:34:29 | 000,013,808 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\1909276158 [2010-03-22 07:34:29 | 000,013,808 | -HS- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\1909276158 [2010-03-22 07:33:26 | 000,000,001 | ---- | C] () – C:\Documents and Settings\Dominik i Tadek\oashdihasidhasuidhiasdhiashdiuasdhasd [2010-03-22 07:32:37 | 000,014,012 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\wo588q8Gd1tnB [2010-03-22 07:32:34 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\drivers\ooqthyl.sys [2010-03-22 07:32:31 | 000,204,800 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\ave.exe [2010-03-22 07:32:10 | 000,000,116 | ---- | C] () – C:\WINDOWS\System32\fjhdyfhsn.bat [2010-03-22 07:32:04 | 000,000,008 | ---- | C] () – C:\Documents and Settings\Dominik i Tadek\Dane aplikacji\jasltw.dat [2010-03-22 07:32:00 | 000,014,012 | -HS- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\wo588q8Gd1tnB [2010-03-22 07:32:00 | 000,001,298 | -HS- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\wo588q8Gd1tnB [2010-03-22 06:32:08 | 000,204,800 | -HS- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe [2010-03-22 06:30:35 | 000,204,800 | -HS- | C] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\av.exe [2010-03-19 13:02:34 | 000,084,800 | ---- | C] () – C:\WINDOWS\System32\dllcache\cdrom.sys [2010-03-19 13:02:21 | 000,051,807 | ---- | C] () – C:\WINDOWS\System32\wuaucldt.exe [2010-03-19 13:02:18 | 000,000,008 | ---- | C] () – C:\Documents and Settings\NetworkService\Dane aplikacji\jasltw.dat [2010-03-19 13:01:54 | 000,000,004 | ---- | C] () – C:\Documents and Settings\Dominik i Tadek\Dane aplikacji\avdrn.dat :Services ooqthyl :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Ale ten nowy log zrób z dodatkowym ustawieniem:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

jessi

Domin682 · 22 Marzec 2010 16:36

http://wklej.org/id/301863/

– Dodane 22.03.2010 (Pn) 17:43 –

http://wklej.org/id/301870/, to jest nowy log

jessica · 22 Marzec 2010 16:58

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O37 - HKLM…exe [@ = secfile] – “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* File not found O37 - HKCU…exe [@ = secfile] – “C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* () [2010-03-22 17:45:00 | 000,093,120 | ---- | M] () – C:\WINDOWS\System32\drivers\d779ee56.sys [2010-03-22 17:38:25 | 000,002,398 | -HS- | M] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo [2010-03-22 17:38:25 | 000,002,398 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo [2010-03-22 17:34:47 | 000,204,800 | -HS- | M] () – C:\Documents and Settings\Dominik i Tadek\Ustawienia lokalne\Dane aplikacji\ave.exe :Files C:\Windows\System32\drivers\cdrom.sys|C:\WINDOWS\SoftwareDistribution\Download\85612d9569f9a4d033130e1ccf6503f1\cdrom.sys /replace :Services d779ee56 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Regedit32”=- :Commands [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Nowy log na poprzednim, dodatkowym ustawieniu.

Napisz też, czy wykrywany jest napęd CD/DVD?

jessi

Domin682 · 22 Marzec 2010 17:15

http://wklej.org/id/301896/

– Dodane 22.03.2010 (Pn) 18:36 –

napęd wykrywa ale nowego logu mi nie pokazało, pisze “scans complete!” ale notatnik sie nie pokazuje

jessica · 22 Marzec 2010 17:45

Poszukaj, powinien być w tej samej lokalizacji, gdzie jest OTL

jessi

Domin682 · 23 Marzec 2010 05:06

http://www.wklej.org/id/302269/, jest

jessica · 23 Marzec 2010 06:24

To jest raport z usuwania, a nie nowy log.

jessi

Domin682 · 23 Marzec 2010 17:45

http://www.wklej.org/id/302566/, chyba to jest już to co ma być

jessica · 23 Marzec 2010 18:05

Infekcja jest nadal.

Ściągnij plik “cdrom.sys” stąd> http://www.speedyshare.com/files/21581394/cdrom.sys, i umieść go na C:\

Potem:

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\d779ee56.sys

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo

C:\WINDOWS\System32\dllcache\cdrom.sys

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe

C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo

C:\WINDOWS\System32\regedit.exe


Folders to delete:

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo

C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo


Files to move:

C:\cdrom.sys | C:\Windows\system32\drivers\cdrom.sys


Registry keys to delete:

HKLM\Software\Classes\secfile


Registry values to delete: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Regedit32


Drivers to delete:

d779ee56

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz nowy log z OTL.

EDIT:

Znasz to ?

jessi

Domin682 · 23 Marzec 2010 18:34

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “C:\WINDOWS\System32\drivers\d779ee56.sys” deleted successfully.

File “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo” deleted successfully.

File “C:\WINDOWS\System32\dllcache\cdrom.sys” deleted successfully.

File “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe” deleted successfully.

File “C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo” deleted successfully.

Error: file “C:\WINDOWS\System32\regedit.exe” not found!

Deletion of file “C:\WINDOWS\System32\regedit.exe” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

Error: folder “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo” not found!

Deletion of folder “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

Error: folder “C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo” not found!

Deletion of folder “C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

File move operation “C:\cdrom.sys|C:\Windows\system32\drivers\cdrom.sys” completed successfully.

Driver “d779ee56” deleted successfully.

Registry key “HKLM\Software\Classes\secfile” deleted successfully.

Registry value “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32” deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

to jest proces internet explorera??v za chwile dam loga z OTL

– Dodane 23.03.2010 (Wt) 19:36 –

tego loga dać z dodatkowym ustawieniem?

– Dodane 23.03.2010 (Wt) 19:40 –

http://www.wklej.org/id/302630/

jessica · 23 Marzec 2010 18:56

Tak, do końca tego tematu masz dawać log na tym dodatkowym ustawieniu, bo chće widzieć, czy znowu “cdrom.sys” nie został zarażony.

W tej lokalizacji? To raczej jakiś Robak.

Prawidłowy powinien być w C:\Propgram Files\Internet Explorer\ i powinien mieć inny rozmiar.

Najedź myszką na ten rzekomy Ie, i zobacz, co tam napisane,

Sprawdź go na --> JOTTI/albo na VIRUSTOTAL.

Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\yjnncuc.sys

C:\Documents and Settings\All Users\Dane aplikacji\Mh3jm32txN

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Mh3jm32txN


Folders to delete:

C:\Documents and Settings\All Users\Dane aplikacji\Mh3jm32txN

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Mh3jm32txN


Drivers to delete:

yjnncuc

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Potem:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj Raport z Avengera z C:\avenger.txt.

jessi

Domin682 · 23 Marzec 2010 19:01

ten ostatni log jest zły bo nie wklejałem tamtego hasła

– Dodane 23.03.2010 (Wt) 20:04 –

http://www.wklej.org/id/302666/, ten log jest dobry, sorki za problemy

– Dodane 23.03.2010 (Wt) 20:14 –

http://www.wklej.org/id/302687/ - raport z avangera

– Dodane 23.03.2010 (Wt) 20:29 –

http://www.wklej.org/id/302694/ - raport z usuwania

http://www.wklej.org/id/302702/ - i nowy log

jessica · 23 Marzec 2010 19:29

Nie napisałeś jeszcze o “iexplore.exe”

jessi

Domin682 · 23 Marzec 2010 19:37

Nazwa pliku: iexplore.exe

Stan:

Skanowanie zakończone. 0 z 20 skanerów zgłaszają wirusy.

Skanowanie podjęte w: czw 18 mar 2010 11:53:04 (CET)

Rozmiar pliku: 638816 bajtów

Typ pliku: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5: b60dddd2d63ce41cb8c487fcfbb6419e

SHA1: eadce51c88c8261852c1903399dde742fba2061b

to mi się pojawiło

jessica · 23 Marzec 2010 19:41

W takim razie zostawiamy to w spokoju.

W nowym logu nie widać już nic więcej podejrzanego.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną. Zniknie też …Avenger.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

Sprawdź jeszcze raz, czy wykrywany jest napę CD/DVD?

To wszystko z mojej strony.

jessi

Domin682 · 23 Marzec 2010 19:44

napęd jest wykrywany, dzięki serdeczne