glazekk
(Glazekk)
22 Kwiecień 2008 21:08
#1
Witam
Mam nastepujacy problem. Od kilku dni ciagle wyskakuje mi kominikat o zakazeniu mojego XP trojandownloader czy innym swinstwem i system chce abym kupil pc-clenera aby problem ten usunac. Ja mam Spyware doctor, on cos wykrywa i usuwa problem, co jednak nie zmienia faktu, ze komputer ciagle chce pc-cleanera… co mam zrobic?
laszjwrz
(Laszjwrz)
22 Kwiecień 2008 21:14
#2
Pokaż nam logi HijackThis i ComboFix. Opisy: viewtopic.php?f=16&t=36654
puma313
(Piotr Wik)
22 Kwiecień 2008 21:37
#3
jedno jest pewne - windows napewno nie chce pc cleanera
poskanuj skanerami online
glazekk
(Glazekk)
22 Kwiecień 2008 22:08
#4
highjackthis
http://wklej.org/id/c14c3cf7de
W dniu 23.04.2008 , o godzinie 0:08 został dopisany post przez glazekk
combofix
http://wklej.org/id/4795f2da55
laszjwrz
(Laszjwrz)
22 Kwiecień 2008 22:27
#5
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKCU\..\Run: [xkvrculy] C:\WINDOWS\system32\hstspwvo.exe
Fix w Hijacku. Wklej do notatnika:
File::
C:\WINDOWS\system32\hstspwvo.exe
C:\Documents and Settings\All Users\Dane aplikacji\hqbqzyvu\buvyvepu.exe
Folder::
C:\FOUND.034
C:\FOUND.033
C:\FOUND.032
C:\FOUND.031
C:\FOUND.030
C:\Documents and Settings\All Users\Dane aplikacji\hqbqzyvu
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"FE4sLbzrd8"=-
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xkvrculy"=-
"xkgqeoek"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msvcc25"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msvcc25"=-
Plik >> Zapisz jako… CFScript.txt na pulpicie, a następnie przeciągnij i upuść na ikonę ComboFix - tak jak na obrazku:
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinien rozpocząć się proces usuwania.
Po wykonaniu czynności pokaż nowy raport ComboFix i HijackThis.
glazekk
(Glazekk)
22 Kwiecień 2008 22:41
#6
nie mam w highjacku
“O4 - HKLM…\RunServices: [mysvcig38] mysvcc.exe”
laszjwrz
(Laszjwrz)
22 Kwiecień 2008 22:42
#7
OK, nie patrz już na skrypt powyżej, wykonaj jeszcze jeden log ComboFix i pokaż go.
glazekk
(Glazekk)
22 Kwiecień 2008 23:09
#8
nie ruszalem nic w highjack, stworyzlem tylko ten txt, przeciagnalem i oto log
http://wklej.org/id/78e427532f
laszjwrz
(Laszjwrz)
22 Kwiecień 2008 23:22
#9
C:\WINDOWS\system32\bohwzets.exe
Przeskanuj plik bohwzets.exe na http://virustotal.com/pl i pokaż wyniki.
A jak komputer? Lepiej mu już chociaż trochę?
glazekk
(Glazekk)
22 Kwiecień 2008 23:28
#10
no jakos dawno nie wyskoczyl komunikat pc-cleaner ale nie zapeszam
a ten C:\WINDOWS\system32\bohwzets.exe chcial sie laczyc przed chwila z netem (tak orzekl firewall)
wynik skanu
http://wklej.org/id/7a976f6c07
W dniu 23.04.2008 , o godzinie 1:28 został dopisany post przez glazekk
http://www.virustotal.com/pl/analisis/8 … 3439d127f7
laszjwrz
(Laszjwrz)
22 Kwiecień 2008 23:32
#11
Usuń plik bohwzets.exe ręcznie, najlepiej za pomocą aplikacji KillBox! - opcja delete on rebot i pokaż nowy raport HijackThis i nowy raport ComboFix.
glazekk
(Glazekk)
22 Kwiecień 2008 23:46
#12
highjack
http://wklej.org/id/ad60eba320
W dniu 23.04.2008 , o godzinie 1:46 został dopisany post przez glazekk
combo
http://wklej.org/id/eb46302922
laszjwrz
(Laszjwrz)
22 Kwiecień 2008 23:49
#13
O20 - Winlogon Notify: tuvVLdcY - tuvVLdcY.dll (file missing)
O4 - HKCU\..\Run: [xkgqeoek] C:\WINDOWS\system32\bohwzets.exe
O4 - HKCU\..\Run: [xkvrculy] C:\WINDOWS\system32\hstspwvo.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
To wpisy do Fixu w HijackThis. Wklej do notatnika:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Zapisz jako… plik.reg >> wszystkie pliki >> scal z rejestrem (dwuklik) i uruchom komputer ponownie.
glazekk
(Glazekk)
23 Kwiecień 2008 00:04
#14
zrobione, to wszytsko juz?
huber2t
(huber2t)
23 Kwiecień 2008 03:00
#15
fix w hijackthis
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\hstspwvo.exe
C:\WINDOWS\system32\bohwzets.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xkvrculy"=-
"xkgqeoek"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msvcc25"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msvcc25"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"FE4sLbzrd8"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvVLdcY]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
glazekk
(Glazekk)
23 Kwiecień 2008 15:33
#16
eee zgubilem sie… czemu drugi raz mam to samo robic?
huber2t
(huber2t)
23 Kwiecień 2008 15:35
#17
Ponieważ kolega który pierwszy sprawdzał log źle i nie dokładnie go sprawdził
glazekk
(Glazekk)
23 Kwiecień 2008 16:31
#18
nie wiem na ktorym logu pracowales, ale nie mam juz w highjacku
O4 - HKLM…\Run: [msvcc25] svcchost.exe
O4 - HKLM…\RunServices: [msvcc25] svcchost.exe
O4 - HKCU…\Run: [xkvrculy] C:\WINDOWS\system32\hstspwvo.exe
O4 - HKCU…\Run: [xkgqeoek] C:\WINDOWS\system32\bohwzets.exe
O20 - Winlogon Notify: tuvVLdcY - tuvVLdcY.dll (file missing)
obecny log z highjacka
http://wklej.org/id/bca8d9b9b4
combofix
http://wklej.org/id/d59299bba2
prosze o sprawdzenie czy jest ok
huber2t
(huber2t)
23 Kwiecień 2008 16:34
#19
W pierwszym twoim logu są podane przez mnie wpisy a więc były mogłeś wcześniej jej usunąć
Logi wydają się być czyste
glazekk
(Glazekk)
23 Kwiecień 2008 20:56
#20
dzieki
W dniu 23.04.2008 , o godzinie 22:56 został dopisany post przez glazekk
a moge usunac folder combofix ktory powstal na dysku c: