Problem z ahnrpta.exe


(Lukasz Razny) #1

Witam,

Mam problem z plikiem ahnrpta.exe ...jednocześnie chciałbym zapytać co może powodować, że procesor jest cały czas używany w 100% co znacznie spowalnia pracę komputera, programy startowe ładują się około 5 minut - czy ma to związek z tym trojanem czy jest jakaś inna tego przyczyna?

Załączam loga z hithisjack:

http://wklejto.pl/23190

pół litra za pomoc :slight_smile:

z góry dzięki i pozdro!


(jessica) #2

Widać tę infekcję z pendrive'a, ale ten log jest mało przydatny.

Daj log z >ComboFix

jessi


(Lukasz Razny) #3

www.wklejto.pl/23217


(jessica) #4

Daję też do usuwania "Winferno", który jest "FraudTool.PCCONFIDENTIAL" (wg:http://www.threatexpert.com/report.aspx?md5=5eb58a4d0c06598428c973bd37f75319 oraz >http://www.searchengines.pl/Virus-Alert-w-zasobniku-t115725.html (cytat:fałszywego programu "PC Confidential").

Natomiast "Free Offers from Freeze.com" to tylko drobny "śmietek", jeśli chcesz, to możesz go sobie zostawić - w takim przypadku usuń ze Scriptu linijkę "C:\Program Files\Free Offers from Freeze.com".

Wklej do Notatnika :

File::

C:\gfqgq.cmd

C:\autorun.inf

C:\WINDOWS\AhnRpta.exe

C:\WINDOWS\system32\nmdfgds1.dll

C:\WINDOWS\system32\olhrwef.exe

C:\WINDOWS\system32\nmdfgds0.dll

C:\WINDOWS\system32\afmain0.dll

C:\WINDOWS\system32\afmain1.dll

C:\WINDOWS\system32\afmain2.dll

C:\WINDOWS\system32\afmain3.dll

C:\WINDOWS\Tasks\PCConfidential.job


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\Winferno

C:\Program Files\Winferno

C:\Program Files\Free Offers from Freeze.com

C:\Program Files\Common Files\Winferno

C:\kleaner.tmp


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cdoosoft"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55d9a186-e403-11dd-813f-001bbf5c71f3}]


Driver::

AVPsys

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(Lukasz Razny) #5

http://www.wklejto.pl/23276

Podczas robienia raportu po usuwaniu tego syfu wyskoczył blue screen więc loga zrobiłem potem ręcznie ale to chyba nie ma znaczenia?:stuck_out_tongue:

Ogólnie komputer już nie wykorzystuje 100% procka i jako tako śmiga ale może dałoby się jeszcze go jakoś pod tym względem sprawdzić?:slight_smile:

bardzo dziękuję i pozdrawiam :slight_smile:


(Leon$) #6

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile: