http://wklejto.pl/64294
Kilka podejrzanych procesów w menadżer zadań. Przy włączaniu komputera nie uruchamia się explorer trzeba to robić ręcznie. Dodatkowo wyskakują dziwne błędy przy starcie.
deFco247
(deFco247)
18 Kwiecień 2010 13:45
#2
Sporo tego tu jest… Prawie połowa autostartu to różnorakie wirusy i trojany.
Ponadto jest infekcja na medium przenośnym znajdującym się pod literką H:
Wyłącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes killallprocesses :OTL MOD - [2010-04-18 14:49:06 | 000,088,064 | RHS- | M] () – C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Temp\nodqq0.dll SRV - [2009-09-10 15:45:00 | 000,061,952 | ---- | M] (lowest systems) [Auto | Running] – C:\WINDOWS\system32\PereSvc.exe – (peresvc) SRV - [2009-09-10 15:45:00 | 000,034,304 | ---- | M] (dreas company) [Auto | Running] – C:\WINDOWS\system32\BtwSvc.dll – (BtwSvc) O4 - HKLM…\Run: [gbuekc] C:\WINDOWS\System32\mslgqlaj.DLL () O4 - HKLM…\Run: [gksndv] C:\WINDOWS\System32\mshwolkt.DLL () O4 - HKLM…\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe (Rl0X) O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKLM…\Run: [syncman] C:\WINDOWS\system32\wuaucldt.exe () O4 - HKLM…\Run: [tnrteg] C:\WINDOWS\System32\mshxgabw.DLL () O4 - HKCU…\Run: [amva] C:\WINDOWS\System32\amvo.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU…\Run: [nod32] C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Temp\nodqq.exe () O4 - HKCU…\Run: [psysnew] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe () F3 - HKCU WinNT: Load - (C:\WINDOWS\fonts\services.exe) - C:\WINDOWS\Fonts\services.exe () F3 - HKCU WinNT: Run - (C:\WINDOWS\fonts\services.exe) - C:\WINDOWS\Fonts\services.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\cidrive32.exe (Rl0X) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: exec = C:\WINDOWS\fonts\services.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: u4f5 = C:\DOCUME~1\Grzesiek\USTAWI~1\Temp\sdi2.exe ( ) O32 - AutoRun File - [2010-04-18 15:23:43 | 000,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-18 15:23:43 | 000,000,057 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-18 15:23:43 | 000,000,057 | RHS- | M] () - H:\autorun.inf – [NTFS] O33 - MountPoints2{703e6daf-e52b-11de-8cff-806d6172696f}\Shell\AutoRun\command - “” = C:\lhhr8.exe – [2010-04-18 14:49:06 | 000,150,528 | RHS- | M] () O33 - MountPoints2{703e6daf-e52b-11de-8cff-806d6172696f}\Shell\open\Command - “” = C:\lhhr8.exe – [2010-04-18 14:49:06 | 000,150,528 | RHS- | M] () O33 - MountPoints2{703e6db2-e52b-11de-8cff-806d6172696f}\Shell\AutoRun\command - “” = E:\lhhr8.exe – [2010-04-18 14:49:06 | 000,150,528 | RHS- | M] () O33 - MountPoints2{703e6db2-e52b-11de-8cff-806d6172696f}\Shell\open\Command - “” = E:\lhhr8.exe – [2010-04-18 14:49:06 | 000,150,528 | RHS- | M] () O33 - MountPoints2\H\Shell\AutoRun\command - “” = H:\wyskq6lt.exe – [2010-04-15 13:11:24 | 000,150,016 | RHS- | M] () O33 - MountPoints2\H\Shell\open\Command - “” = H:\wyskq6lt.exe – [2010-04-15 13:11:24 | 000,150,016 | RHS- | M] () NetSvcs: BtwSvc - C:\WINDOWS\system32\BtwSvc.dll (dreas company) [2010-04-18 14:48:31 | 000,036,865 | ---- | M] () – C:\WINDOWS\System32\mshxgabw.dll [2010-04-18 14:47:16 | 000,076,800 | ---- | M] ( ) – C:\WINDOWS\System32\442,6056.exe [2010-04-18 14:47:10 | 000,062,496 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\System32\MSWINSCK.OCX [2010-04-18 14:47:07 | 000,194,560 | ---- | M] (-) – C:\WINDOWS\System32\6935,343.exe [2010-04-18 14:46:56 | 000,036,865 | ---- | M] () – C:\WINDOWS\System32\mshwolkt.dll [2010-04-18 14:46:53 | 000,166,472 | ---- | M] () – C:\WINDOWS\System32\8038,599.exe [2010-04-15 13:06:08 | 000,087,040 | ---- | C] (icon company) – C:\WINDOWS\System32\w.exe [2010-04-18 20:25:24 | 000,036,864 | ---- | M] (gvka oygpit bxd gryr) – C:\WINDOWS\System32\d.bin [2010-04-18 20:09:50 | 000,087,040 | ---- | M] (icon company) – C:\WINDOWS\System32\w.exe [2010-04-18 20:09:28 | 000,034,304 | ---- | M] (dreas company) – C:\WINDOWS\System32\ms.bin [2010-04-18 20:09:26 | 000,043,008 | ---- | M] (lowest systems) – C:\WINDOWS\System32\so.bin [2010-04-01 03:19:05 | 000,176,128 | RHS- | C] (Rl0X) – C:\WINDOWS\cidrive32.exe :Files C:\RECYCLER C:\3dcs9.exe C:\9d6tpg.exe C:\9qqigqwf.exe C:\ey.exe C:\img8hi.exe C:\ji83j.exe C:\lhhr8.exe C:\mvmdh.exe C:\p3vwxx.exe C:\pbyqfn.exe C:\s1.exe C:\sdfqh.exe C:\tgt.exe C:\ws.exe C:\wyskq6lt.exe E:\3dcs9.exe E:\9d6tpg.exe E:\9qqigqwf.exe E:\ey.exe E:\img8hi.exe E:\ji83j.exe E:\lhhr8.exe E:\mvmdh.exe E:\p3vwxx.exe E:\pbyqfn.exe E:\s1.exe E:\sdfqh.exe E:\tgt.exe E:\ws.exe E:\wyskq6lt.exe H:\3dcs9.exe H:\9d6tpg.exe H:\9qqigqwf.exe H:\ey.exe H:\img8hi.exe H:\ji83j.exe H:\lhhr8.exe H:\mvmdh.exe H:\p3vwxx.exe H:\pbyqfn.exe H:\s1.exe H:\sdfqh.exe H:\tgt.exe H:\ws.exe H:\wyskq6lt.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“Explorer.EXE” “TaskMan”=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp] [start explorer] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Po nieciśnięciu Run Fix. Wyskoczyło okienko " nieoczekiwanie zamknięty został proces windows32/services.exe system Windows zostanie zrestartowany za 30sec.
nowy log http://wklej.org/id/318319/
Nie wiem czy log będzie dobry bo musiałem wyłączyć kilka procesów z menadżera zadań bo strony się nie włączyły.
deFco247
(deFco247)
18 Kwiecień 2010 14:25
#4
Chyba jednak bez ciężkiej amunicji się nie obędzie…
Pobierz Combofix , ale nie uruchamiaj.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Otwórz Notatnik i wklej do niego:
Folder:: C:\WINDOWS\Temp C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Temp Driver:: peresvc BtwSvc NetSvc:: BtwSvc File:: C:\WINDOWS\system32\PereSvc.exe C:\WINDOWS\system32\BtwSvc.dll C:\WINDOWS\System32\d.bin C:\WINDOWS\System32\w.exe C:\WINDOWS\System32\ms.bin C:\WINDOWS\System32\so.bin C:\Documents and Settings\Grzesiek\oashdihasidhasuidhiasdhiashdiuasdhasd C:\WINDOWS\System32\wuaucldt.exe C:\Documents and Settings\Grzesiek\wuaucldt.exe C:\WINDOWS\System32\9751,2.exe C:\WINDOWS\System32\5801,355.exe C:\WINDOWS\System32\442,6056.exe C:\WINDOWS\System32\MSWINSCK.OCX C:\WINDOWS\System32\6935,343.exe C:\WINDOWS\System32\mshwolkt.dll C:\WINDOWS\System32\8038,599.exe C:\WINDOWS\System32\4453,089.exe C:\WINDOWS\System32\mslgqlaj.dll C:\WINDOWS\System32\5866,51.exe C:\WINDOWS\System32\4453,089.exe C:\WINDOWS\System32\mslgqlaj.dll C:\WINDOWS\System32\5866,51.exe C:\WINDOWS\cidrive32.exe C:\3dcs9.exe C:\9d6tpg.exe C:\9qqigqwf.exe C:\ey.exe C:\img8hi.exe C:\ji83j.exe C:\lhhr8.exe C:\mvmdh.exe C:\p3vwxx.exe C:\pbyqfn.exe C:\s1.exe C:\sdfqh.exe C:\tgt.exe C:\ws.exe C:\wyskq6lt.exe E:\3dcs9.exe E:\9d6tpg.exe E:\9qqigqwf.exe E:\ey.exe E:\img8hi.exe E:\ji83j.exe E:\lhhr8.exe E:\mvmdh.exe E:\p3vwxx.exe E:\pbyqfn.exe E:\s1.exe E:\sdfqh.exe E:\tgt.exe E:\ws.exe E:\wyskq6lt.exe H:\3dcs9.exe H:\9d6tpg.exe H:\9qqigqwf.exe H:\ey.exe H:\img8hi.exe H:\ji83j.exe H:\lhhr8.exe H:\mvmdh.exe H:\p3vwxx.exe H:\pbyqfn.exe H:\s1.exe H:\sdfqh.exe H:\tgt.exe H:\ws.exe H:\wyskq6lt.exe Registry:: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“Explorer.EXE” “TaskMan”=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=-
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
Za każdym razem coś takiego:
deFco247
(deFco247)
18 Kwiecień 2010 15:55
#6
Usuń tego Combofixa co masz teraz.
Pobierz go na nowo, lecz podczas zapisywania na dysk zmień nazwę pliku np. na “svchost.com ”
Więc klikasz PPM na ten link: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Wybierasz Zapisz element docelowy jako… , a jako nazwę wpisujesz “svchost.com ” (razem z cudzysłowami).
Zastosuj na tym Combofixie skrypt z mojego poprzedniego posta.
deFco247
(deFco247)
18 Kwiecień 2010 16:23
#8
Uruchamiasz w trybie awaryjnym? Wyłączone wszelkie oprogramowanie ochronne ??
W awaryjnym to samo. Tak wszystko wyłączone.
deFco247
(deFco247)
18 Kwiecień 2010 18:54
#10
W takiej kolejności bym proponował leczenie z poza systemowej płytki.
Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD .
Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.
Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.
Skanujesz tyle razy, aż skaner nic nie znajdzie.
Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP .
Po tym pobierasz na nowo Combofix, uruchamiasz dwuklikiem i pokazujesz log.
grzgrzgrz3
(Grzgrzgrz3)
20 Kwiecień 2010 14:49
#11
Zrobiłem skan 2 razy za każdym razem znajduje 888 plików zainfekowanych. Z tych 888 żadnego pliku nie wyleczyl, żadnego nie usunął wszystkim zmienił nazwe(rename). Teraz po skanach, po zalogowaniu automatycznie wylogowywuje. Po naprawie z plytki instalacyjnej dzieje się to samo. Jakieś pomysły?
– Dodane 20.04.2010 (Wt) 22:02 –
Widzę, że jednak nic z tego nie będzie. Pozostaje format. Tylko mam na dysku c kilka bardzo ważnych dokumentów jak je teraz przenieść skoro nie idzie włączyć Windowsa. Przepięcie dysku do innego koma odpada bo to laptop asus i tam potrzeba jakieś “wyszukanej” przejściówki.
deFco247
(deFco247)
20 Kwiecień 2010 20:42
#12
Dr. Web LiveCD posiada menedżera plików, więc nim możesz wszystko co trzeba skopiować np. na pendrive.
grzgrzgrz3
(Grzgrzgrz3)
20 Kwiecień 2010 21:07
#13
NIe moge tego odnaleźć. Chodzi o tryb graficzny?On sie włacza ale nie moge nic tam zrobic na nic nie reaguje.
deFco247
(deFco247)
21 Kwiecień 2010 12:09
#14
Na pewno robisz wszystko jak w podanym krótkim tutorialu? http://www.freedrweb.pl/livecd.php
Ewentualnie możesz skorzystać z innej dystrybucji Linuksa, np. Ubuntu, Puppy Linux.