Problem z trojanem 9 win32-small-fhl i win32-adload-LD


(Przemek122) #1

Może od początku komuter został doprowadzony do takiego stanu że nic niedziałało( gdy pokazał sie pulpit włanczały sie jakieś aplikacje i tylko wyskakiwały błedy i po 30 sek komuter sei zwieszał)Po właczeniu kompa w trybie awaryjnym SDfix usunął cześć plików zarażonych, potem przeskanowałem avastem i juz jakoś zaczął działać ( komputer ciagle woła że niemoze sie połaczyc z internetem bo odłaczyłem go od sieci ) ale ciagle jest wiele plików których avast niemoże usunąć prosze o pomoc oto log z hijacka

http://wklej.org/id/26a39f2c6f

sorry za polszczyzne ale sie strasznie spieszylem pisząc


(Matt_at) #2

co to znaczy ?? nie włączał sie??

PS plis użyj znaków interpunkcyjnych bo nie można tego zrozumieć co napisałeś :confused:


(Porchekarera) #3

O21 - SSODL: KbdRunOnce - {cafdafd4-bf3a-49e8-b24a-05692cc4efd3} - C:\WINDOWS\Installer{cafdafd4-bf3a-49e8-b24a-05692cc4efd3}\KbdRunOnce.dll

O21 - SSODL: RamRunOnce - {3208af41-0c3c-47ef-afd8-ffb805707f68} - C:\WINDOWS\Installer{3208af41-0c3c-47ef-afd8-ffb805707f68}\RamRunOnce.dll

O21 - SSODL: zip - {23c7a06f-425b-4697-88d1-1829dc15136f} - C:\WINDOWS\Installer{23c7a06f-425b-4697-88d1-1829dc15136f}\zip.dll

O21 - SSODL: MonKernel - {2d7b35bb-2c46-4e67-8939-a38df14ac378} - C:\WINDOWS\Installer{2d7b35bb-2c46-4e67-8939-a38df14ac378}\MonKernel.dll

O21 - SSODL: CheckSys - {0b63a0ac-5696-407a-8a9c-05ee38cfc4fa} - C:\WINDOWS\Installer{0b63a0ac-5696-407a-8a9c-05ee38cfc4fa}\CheckSys.dll

O21 - SSODL: DrvRom - {d2de8255-6a8b-48be-af6e-e5f81e23af07} - C:\WINDOWS\Installer{d2de8255-6a8b-48be-af6e-e5f81e23af07}\DrvRom.dll

O21 - SSODL: SysRam - {bdb9a595-cc7f-466c-9c57-b5aa17dde78e} - C:\WINDOWS\Installer{bdb9a595-cc7f-466c-9c57-b5aa17dde78e}\SysRam.dll

O21 - SSODL: AlrtAvp - {916ffe25-5952-47ea-aa36-85d1076c76cd} - C:\WINDOWS\Installer{916ffe25-5952-47ea-aa36-85d1076c76cd}\AlrtAvp.dll

O21 - SSODL: KernelBoot - {f8356452-af43-47ca-835d-eaf60145c57e} - C:\WINDOWS\Installer{f8356452-af43-47ca-835d-eaf60145c57e}\KernelBoot.dll

O21 - SSODL: WinMain - {C231CF11-134F-3552-44AC-E685D962C63C} - C:\WINDOWS\system32\adduser32.dll

Znam się torche na logach i moim zdaniem to jest do wywalenia jeśli chcesz zapytaj sie kogoś.

A raczej napewno a jeśli masz wirusy zarażone pliki w system restore wyłącz na chwile przywracanie systemu.


(Gutek) #4

Użyj i daj log z ComboFix

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222


(Przemek122) #5

raport z combofixa

http://wklej.org/id/67e74abb06

oraz aktualny hijack

http://www.wklej.org/id/d3251e70c2

z góry dzieki za pomoc


(Gutek) #6

Wklej do Notatnika:

File::

C:\WINDOWS\system32\adduser32.dll 

C:\Program Files\tmp74500.exe 

C:\Program Files\tmp73203.exe 

C:\2.tmp 

C:\sysucfv.exe 

C:\sysobxl.exe 

C:\sysleoq.exe 

C:\sysfclr.exe 

C:\Documents and Settings\Właściciel\957123844.exe 

C:\Documents and Settings\Właściciel\957123844.exe 

C:\Program Files\tmp72875.exe 

C:\tempdel.bat 

C:\4.tmp 

C:\WINDOWS\system32\netrfds388.exe 

C:\Program Files\tmp72343.exe 

C:\Program Files\tmp74328.exe 

C:\Program Files\tmp74218.exe 

C:\Program Files\tmp74125.exe 

C:\Program Files\tmp73015.exe 

C:\WINDOWS\system32\netrfds372.exe 

C:\Program Files\tmp59453.exe 

C:\Program Files\tmp59265.exe 

C:\Program Files\tmp58453.exe 

C:\Program Files\tmp58125.exe 

C:\Program Files\tmp61484.exe 

C:\Program Files\tmp58109.exe 

C:\Program Files\tmp61203.exe 

C:\Program Files\tmp58406.exe 

C:\Program Files\tmp5950062.exe 

C:\8.tmp

C:\WINDOWS\system32\drivers\Ucj08.sys 

C:\WINDOWS\system32\drivers\Hpw53.sys 

C:\WINDOWS\system32\netrfds362.exe 

C:\WINDOWS\system32\netrfds367.exe 

C:\WINDOWS\system32\netrfds364.exe

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


Driver::

lukzpxgq

burito21f4-1a5d

Hpw53

Ucj08

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo


(Przemek122) #7

zrobiłem tak jak napisałeś i wyszedl nastepujący log

http://wklej.org/id/af65115cf2

POTEM PRZEskanowałem kompa avastem i usunął kilkanaście plików jeszcze.

Potem skan spybotem i wykrył znow wirusa win32tiny.abk w pliku ayqvqhad.tmp

teraz zrobiłem scan combofix’em oto log

http://www.wklej.org/id/af548dbe0b

oraz hijack

http://www.wklej.org/id/9f8c48263e

z góry dzięki za pomoc


(Przemek122) #8

to co napisałem wcześniej chyba juz nieaktualne ponieważ po zrobieniu tak jak napisałes combofix’em, dzień pożniej było to samo ciagle komunikat o trojanach przez avast wyskakujące. Niewiem czy mam racje ale chyba jakos program sciaga trojany jak tylko jest komputer podłączony do internetu. Odłaczyłem go od sieci i właczyłem SDFIX i wyskoczył taki log

http://wklej.org/id/6c322271d5

potem przeskanowalem kompa avastem, nastepnie comboFix oto log

http://www.wklej.org/id/89f7113fd1

a na końcu hijack

http://www.wklej.org/id/d4de00e0f3

i jeszcze jedno jak odłaczyłem komputer od netu ciagle wyskakuje powiadomienie, że próbuje się połaczyć z netem i czy chce pracować w trybie offline czy próbować ponownie co bym nie wybrał to wyskakuje takie okno ponownie

z gory dziękuje za jakąkolwiek pomoc

a i jeszcze pytanko jak mozna sie nauczyć rozpoznawania które aplikacje mozna usować a które nie ?jakieś książki, strony www?


(jessica) #9

Wklej do Notatnika :

File::

C:\WINDOWS\mmhren2.jpg 

C:\WINDOWS\mmax_hren2.ini 

C:\WINDOWS\mmhren1.exe 

C:\WINDOWS\system32\Fsd9mk4g.dll 

C:\WINDOWS\system32\winlagons.exe 

C:\WINDOWS\system32\winlogans.tmp


Driver::

"Google Online Search Service"

kldzpkky


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft hren1"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 

"Microsoft hren1"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Sprawdź je na – http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

jessi


(Przemek122) #10

Za 1 razem combofix zaczał szaleć i zaden log nie wyskoczylł a za 2 razem chyba sie udało oto log

http://wklej.org/id/2d6d47664c

ale ciagle komputer woła o połaczenie z internetem(pyta mnie sie czy pracować w trybie offline czy ponowić próbe co bym nienacisnął ciagle to wyskakuje) wiec chyba jeszcze nie jest oki nie chce połączyć tamtego kompa z netem bo znowu sie sciagnie kupa virusów czy jest jakaas inna metoda sprawdzenia tych plików?


(jessica) #11

Log jest czysty.

Ale zastanawiające jest to, że zarówno w poprzednim logu, jak i w obecnym, widać, że ComboFix usuwa trzy Rootkity.

Dlaczego one wracają po usunięciu.?

Ja proponuję:

Zrób dwa logi z GMER na ustawieniach:

  1. >>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

  2. >>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

Ponieważ logi będą długie, więc wklej je na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Przemek122) #12

prosze

1)http://www.wklej.org/id/37c4666e1f

2)http://wklej.org/id/862d42d2db


(jessica) #13

Dałeś dwa razy ten sam log, zamiast dwóch róznych logów.!

W tym logu nie widzę tych Rootkitów.

jessi