Od pewnego czasu zamula mi komputer. Na początku myślałem że to wina procesora, ale się okazało że dostałem dziwne procesy. Próbowałem wejść na stronę spybota search & destroy, ale mnie wywalało na inne strony… Można prosić o pomoc? Dziękuje.
Przeskanuj progr.Dr.WEB CureIt i Malwarebytes Anti-Malware i podaj nowe logi.
DR.WEB znalazł trojany i niby zostały usunięte po resecie kompa (przynajmniej mi kazało zrestartować kompa.) oto log.
Proces w pamięci: C:\WINDOWS\Explorer.EXE:408;;BackDoor.Tdss.565;Zniszczony.;
Master Boot Record HDD1;;BackDoor.Tdss.4005;Wyleczony.;
tutaj malwarebytes
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Wersja bazy: 6110
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 6.0.2900.5512
2011-03-20 11:29:40
mbam-log-2011-03-20 (11-29-40).txt
Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 146793
Upłynęło: 4 minut(y), 51 sekund(y)
Zainfekowanych procesów w pamięci: 2
Zainfekowanych modułów w pamięci: 1
Zainfekowanych kluczy rejestru: 4
Zainfekowanych wartości rejestru: 6
Zainfekowane informacje rejestru systemowego: 1
Zainfekowanych folderów: 2
Zainfekowanych plików: 10
Zainfekowanych procesów w pamięci:
c:\documents and settings\Pedobear\dane aplikacji\dwm.exe (Trojan.Downloader) -> 3312 -> Unloaded process successfully.
c:\documents and settings\Pedobear\dane aplikacji\microsoft\conhost.exe (Trojan.Agent) -> 3504 -> Unloaded process successfully.
Zainfekowanych modułów w pamięci:
c:\WINDOWS\tmal1E.dll (Trojan.Hiloti) -> Delete on reboot.
Zainfekowanych kluczy rejestru:
HKEY_CURRENT_USER\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VXEG3ZNNE5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rvegevinuyoz (Trojan.Hiloti) -> Value: Rvegevinuyoz -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\A9YA3MI1CF (Trojan.FakeAlert) -> Value: A9YA3MI1CF -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Delete on reboot.
Zainfekowane informacje rejestru systemowego:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\Pedobear\USTAWI~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.
Zainfekowanych folderów:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Quarantined and deleted successfully.
Zainfekowanych plików:
c:\WINDOWS\tmal1E.dll (Trojan.Hiloti) -> Delete on reboot.
c:\documents and settings\Pedobear\dane aplikacji\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Pedobear\dane aplikacji\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Documents and Settings\Pedobear\Ustawienia lokalne\Temp\csrss.exe (Trojan.Agent) -> Delete on reboot.
c:\documents and settings\Pedobear\ustawienia lokalne\Temp\qgca.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Pedobear\ustawienia lokalne\Temp\omvoj.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Pedobear\31.exe (Trojan.Proxy) -> Quarantined and deleted successfully.
c:\documents and settings\Pedobear\bnet.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Quarantined and deleted successfully.
Następny syf który wyskakuje przy odpalaniu kompahttp://img64.imageshack.us/i/wtfwb.png/Tutaj Mbam po resecie
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Wersja bazy: 6110
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 6.0.2900.5512
2011-03-20 11:44:29
mbam-log-2011-03-20 (11-44-29).txt
Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 146770
Upłynęło: 3 minut(y), 40 sekund(y)
Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 1
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 1
Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)
Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)
Zainfekowanych folderów:
(Nie znaleziono zagrożeń)
Zainfekowanych plików:
c:\documents and settings\Pedobear\ustawienia lokalne\Temp\5F.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Bardzo przepraszam za “code” ale to robiłem na szybko.
To teraz wstaw nowe logi z OTL
Wklej w OTL i naciśnij wykonaj skrypt:
dajesz log z usuwania i nowe logi z OTL
Log z usuwania:
Już nie ma tego komunikatu z rundll, ale dostałem komunikat od spybota czy zezwolić na działanie rundll32.exe cośtam z tym .dll wirusa. odmówiłem.
Tutaj OTL.txt
i extras.txt
Oraz dziwne jest to przekierowanie w hosts
O1 HOSTS File: ([2008-04-15 13:00:00 | 000,005,683 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 82.165.237.14
O1 - Hosts: 127.0.0.1 82.165.250.33
O1 - Hosts: 127.0.0.1 akamai.avg.com
O1 - Hosts: 127.0.0.1 antivir.es
O1 - Hosts: 127.0.0.1 anti-virus.by
O1 - Hosts: 127.0.0.1 avast.com
O1 - Hosts: 127.0.0.1 avg.com
O1 - Hosts: 127.0.0.1 avp.com
O1 - Hosts: 127.0.0.1 avp.ru
O1 - Hosts: 127.0.0.1 avp.ru/download/
O1 - Hosts: 127.0.0.1 avpg.crsi.symantec.com
O1 - Hosts: 127.0.0.1 backup.avg.cz
O1 - Hosts: 127.0.0.1 bancoguayaquil.com
O1 - Hosts: 127.0.0.1 bcpzonasegura.viabcp.com
O1 - Hosts: 127.0.0.1 bitdefender.com
O1 - Hosts: 127.0.0.1 clamav.net
O1 - Hosts: 127.0.0.1 comodo.com
O1 - Hosts: 127.0.0.1 customer.symantec.com
O1 - Hosts: 127.0.0.1 dispatch.mcafee.com
O1 - Hosts: 127.0.0.1 download.mcafee.com
O1 - Hosts: 127.0.0.1 download.microsoft.com
O1 - Hosts: 127.0.0.1 downloads.microsoft.com
O1 - Hosts: 127.0.0.1 downloads1.kaspersky-labs.com
O1 - Hosts: 127.0.0.1 downloads1.kaspersky-labs.com/products/
O1 - Hosts: 140 more lines...
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Odinstaluj Spybota.Wyłącz i włącz przywracanie systemu na wszystkich dyskach:http://support.microsoft.com/kb/310405/pl
według mnie prawidłowym wpisem jest tylko ten w HKEY_LOCAL_MACHINE, ten drugi duplikat jest zły
Log z usuwania:
i na powitanie znów to wyskoczyło
http://img64.imageshack.us/i/wtfwb.png/
- hosts niby zostały “usunięte” ale i tak nie moge wejść np. na avast.com bo przenosi mnie na localhost.
Pokaż nowe logi.
Pokazałeś stare logi.
Nie. To są nowe logi. spójrz dokładnie na hosts w starych i nowych logach.
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Nic się nie wykonało.Spróbuj jeszcze raz usuwania w.g tamtego skryptu.
usuwanie:
OTL.txt
extras.txt
Dalej nie mogę wejść na te strony, a w hosts widać jakieś chińskie znaki… Jakiś uparty wirus?
Otwórz C:\WINDOWS\system32\drivers\etc\Hosts w notatniku i usuń wszystko poniżej O1 - Hosts: ::1 localhost