Problem z komputerem oraz dziwne procesy


(Wesseb) #1

Od pewnego czasu zamula mi komputer. Na początku myślałem że to wina procesora, ale się okazało że dostałem dziwne procesy. Próbowałem wejść na stronę spybota search & destroy, ale mnie wywalało na inne strony... Można prosić o pomoc? Dziękuje.


(djkamil09061991) #2

Podaj logi z OTL według instrukcji:

otl-gmer-rsit-dss-inne-instrukcje-t370405.html


(Wesseb) #3

OTL.txt

Extras.txt


(Acorus) #4

Przeskanuj progr.Dr.WEB CureIt i Malwarebytes Anti-Malware i podaj nowe logi.


(Wesseb) #5

DR.WEB znalazł trojany i niby zostały usunięte po resecie kompa (przynajmniej mi kazało zrestartować kompa.) oto log.

Proces w pamięci: C:\WINDOWS\Explorer.EXE:408;;BackDoor.Tdss.565;Zniszczony.;

Master Boot Record HDD1;;BackDoor.Tdss.4005;Wyleczony.;

tutaj malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org


Wersja bazy: 6110


Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 6.0.2900.5512


2011-03-20 11:29:40

mbam-log-2011-03-20 (11-29-40).txt


Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 146793

Upłynęło: 4 minut(y), 51 sekund(y)


Zainfekowanych procesów w pamięci: 2

Zainfekowanych modułów w pamięci: 1

Zainfekowanych kluczy rejestru: 4

Zainfekowanych wartości rejestru: 6

Zainfekowane informacje rejestru systemowego: 1

Zainfekowanych folderów: 2

Zainfekowanych plików: 10


Zainfekowanych procesów w pamięci:

c:\documents and settings\Pedobear\dane aplikacji\dwm.exe (Trojan.Downloader) -> 3312 -> Unloaded process successfully.

c:\documents and settings\Pedobear\dane aplikacji\microsoft\conhost.exe (Trojan.Agent) -> 3504 -> Unloaded process successfully.


Zainfekowanych modułów w pamięci:

c:\WINDOWS\tmal1E.dll (Trojan.Hiloti) -> Delete on reboot.


Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\VXEG3ZNNE5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.


Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rvegevinuyoz (Trojan.Hiloti) -> Value: Rvegevinuyoz -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\A9YA3MI1CF (Trojan.FakeAlert) -> Value: A9YA3MI1CF -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Delete on reboot.


Zainfekowane informacje rejestru systemowego:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\Pedobear\USTAWI~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.


Zainfekowanych folderów:

c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.

c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Quarantined and deleted successfully.


Zainfekowanych plików:

c:\WINDOWS\tmal1E.dll (Trojan.Hiloti) -> Delete on reboot.

c:\documents and settings\Pedobear\dane aplikacji\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\documents and settings\Pedobear\dane aplikacji\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Documents and Settings\Pedobear\Ustawienia lokalne\Temp\csrss.exe (Trojan.Agent) -> Delete on reboot.

c:\documents and settings\Pedobear\ustawienia lokalne\Temp\qgca.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\Pedobear\ustawienia lokalne\Temp\omvoj.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\Pedobear\31.exe (Trojan.Proxy) -> Quarantined and deleted successfully.

c:\documents and settings\Pedobear\bnet.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Quarantined and deleted successfully.

Następny syf który wyskakuje przy odpalaniu kompahttp://img64.imageshack.us/i/wtfwb.png/Tutaj Mbam po resecie

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org


Wersja bazy: 6110


Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 6.0.2900.5512


2011-03-20 11:44:29

mbam-log-2011-03-20 (11-44-29).txt


Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 146770

Upłynęło: 3 minut(y), 40 sekund(y)


Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 1


Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)


Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.


Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

c:\documents and settings\Pedobear\ustawienia lokalne\Temp\5F.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Bardzo przepraszam za "code" ale to robiłem na szybko.


(djkamil09061991) #6

To teraz wstaw nowe logi z OTL


(Wesseb) #7

Log z OTL

i Extras


(djkamil09061991) #8

Wklej w OTL i naciśnij wykonaj skrypt:

dajesz log z usuwania i nowe logi z OTL


(Wesseb) #9

Log z usuwania:

Już nie ma tego komunikatu z rundll, ale dostałem komunikat od spybota czy zezwolić na działanie rundll32.exe cośtam z tym .dll wirusa. odmówiłem.

Tutaj OTL.txt

i extras.txt

Oraz dziwne jest to przekierowanie w hosts

O1 HOSTS File: ([2008-04-15 13:00:00 | 000,005,683 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 82.165.237.14

O1 - Hosts: 127.0.0.1 82.165.250.33

O1 - Hosts: 127.0.0.1 akamai.avg.com

O1 - Hosts: 127.0.0.1 antivir.es

O1 - Hosts: 127.0.0.1 anti-virus.by

O1 - Hosts: 127.0.0.1 avast.com

O1 - Hosts: 127.0.0.1 avg.com

O1 - Hosts: 127.0.0.1 avp.com

O1 - Hosts: 127.0.0.1 avp.ru

O1 - Hosts: 127.0.0.1 avp.ru/download/

O1 - Hosts: 127.0.0.1 avpg.crsi.symantec.com

O1 - Hosts: 127.0.0.1 backup.avg.cz

O1 - Hosts: 127.0.0.1 bancoguayaquil.com

O1 - Hosts: 127.0.0.1 bcpzonasegura.viabcp.com

O1 - Hosts: 127.0.0.1 bitdefender.com

O1 - Hosts: 127.0.0.1 clamav.net

O1 - Hosts: 127.0.0.1 comodo.com

O1 - Hosts: 127.0.0.1 customer.symantec.com

O1 - Hosts: 127.0.0.1 dispatch.mcafee.com

O1 - Hosts: 127.0.0.1 download.mcafee.com

O1 - Hosts: 127.0.0.1 download.microsoft.com

O1 - Hosts: 127.0.0.1 downloads.microsoft.com

O1 - Hosts: 127.0.0.1 downloads1.kaspersky-labs.com

O1 - Hosts: 127.0.0.1 downloads1.kaspersky-labs.com/products/

O1 - Hosts: 140 more lines...

(Acorus) #10

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Odinstaluj Spybota.Wyłącz i włącz przywracanie systemu na wszystkich dyskach:http://support.microsoft.com/kb/310405/pl

http://www.vista.pl/artykuly/11250_przy ... vista.html


(djkamil09061991) #11

według mnie prawidłowym wpisem jest tylko ten w HKEY_LOCAL_MACHINE, ten drugi duplikat jest zły


(Wesseb) #12

Log z usuwania:

i na powitanie znów to wyskoczyło

  • hosts niby zostały "usunięte" ale i tak nie moge wejść np. na avast.com bo przenosi mnie na localhost.

(Acorus) #13

Pokaż nowe logi.


(Wesseb) #14

OTL.txt

extras.txt


(Acorus) #15

Pokazałeś stare logi.


(Wesseb) #16

Nie. To są nowe logi. spójrz dokładnie na hosts w starych i nowych logach.


(Leon$) #17

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

:slight_smile:


(Acorus) #18

Nic się nie wykonało.Spróbuj jeszcze raz usuwania w.g tamtego skryptu.


(Wesseb) #19

usuwanie:

OTL.txt

extras.txt

Dalej nie mogę wejść na te strony, a w hosts widać jakieś chińskie znaki... Jakiś uparty wirus?


(Acorus) #20

Otwórz C:\WINDOWS\system32\drivers\etc\Hosts w notatniku i usuń wszystko poniżej O1 - Hosts: ::1 localhost