Problem z c:\windows\system32\.exe itp


(Matipiotr) #1

Za każdym razem jak usunę : c:\windows\system32.exe , c:\windows\system32\i itp. To za każdym razem mi to powraca ;(

Log z ComboFix:

http://wklejto.pl/20430

Proszę o pomoc! Z góry dzięki!


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\o

c:\windows\system32\x

c:\windows\system32\aevu.bat

C:\thirdparty

C:\Launch Installer.app

C:\Disk1

C:\dbghelp.dll

C:\background.png

C:\.VolumeIcon.icns

C:\.DS_Store

C:\._

C:\special folders.xml

C:\.hidden


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"wmsncs.exe"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Matipiotr) #3

Log ComboFix:

http://wklejto.pl/20443


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\_MSRSTRT.EXE


Driver::

msddll

PavProc

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Matipiotr) #5

http://wklejto.pl/20478


(huber2t) #6

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\o

c:\windows\system32\vPanele.com

c:\windows\system32\WinsTrack.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Service Agents"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinampAgent"=-

"SunJavaUpdateSched"=-

"Windows Service Agents"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Windows Service Agents"=-


Driver::

ShldDrv

featovzl

iytlhy

uqdbhw

xkdgv

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Agatonster) #7

matipiotr ,

Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku ac7a4cd89050aa6e.gif

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.


(Matipiotr) #8

http://wklejto.pl/20532


(huber2t) #9

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Matipiotr) #10

niedziela, 28 grudzień 2008

System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack. 1 (build 2600)

Wersja Kaspersky Online Scanner: 7.0.26.12

Data ostatniej aktualizacji bazy danych: Sunday, December 28, 2008 10:02:14

Liczba wpisów: 1523975

Ustawienia skanowania

Typ bazy danych użytej do skanowania rozszerzona

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Obszary krytyczne

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

C:\Documents and Settings\Mateusz\Menu Start\Programy\Autostart

C:\Program Files

C:\WINDOWS

Statystyki skanowania

Przeskanowanych plików 26176

Nazwa zagrożenia 2

Zainfekowanych obiektów 3

Podejrzanych obiektów 0

Czas skanowania 00:44:36

Nazwa pliku Nazwa zagrożenia Liczba zagrożeń

C:\WINDOWS\system32\o Zainfekowany: Trojan-Downloader.BAT.Ftp.ab 1

C:\WINDOWS\system32\onydpgxmr.exe Zainfekowany: Packed.Win32.Black.a 1

C:\WINDOWS\system32\tatmjbldk.exe Zainfekowany: Packed.Win32.Black.a 1


(Michaelp128) #11

Skopiuj :arrow: Kliknij na Paste Script from Clipboard :arrow: Execute :arrow: Potwierdzasz i zgadzasz się na restart klikając OK.

:!: Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Przeskanuj cały obszar Mój komputer.


(Matipiotr) #12

http://wklejto.pl/20552

Mam nadzieję, że udało się pozbyć tego trojana. Bardzo dziękuje za pomoc!


(Michaelp128) #13

Pliki zostały usunięte.

Przeskanuj jeszcze raz cały obszar Mój komputer Kaspersky Online Scanner Następnie daj raport na forum.


(Leon$) #14

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

:slight_smile:


(Matipiotr) #15

Raport KASPERSKY:

http://wklejto.pl/20578


(Matipiotr) #16

Log z ComboFix:

http://wklejto.pl/20579


(Leon$) #17

wszystko do usunięcia

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

:slight_smile:


(Matipiotr) #18

http://wklejto.pl/20586


(Apdjs) #19

Dlaczego nie zrobiłeś pełnego skanu?

tylko


(Matipiotr) #20

Zrobiłem też pełne skanowanie, ale nic nie znalazło.

c:\windows\system32\o, c:\windows\system32\i, c:\windows\system32\x i c:\windows\system32.

Cały czas te pliki mi powracają ;(

Oto moje ostatnie logi.

Log z Hijack:

http://wklejto.pl/20650

Log z ComboFix:

http://wklejto.pl/20651