rexmundi
(Dismasrex)
11 Styczeń 2010 20:46
#1
Witam
Od wczoraj mam urwanie głowy z trojanem i tym pasożytem
C:\Documents and Settings\Dismas\Pulpit\herss.exe
nazwa pasożyta - Win32:Rootkit-gen [Rtk]
a trojan – INFEKCJA: Win32: Patched-HN [Trj]
i jeszcze takie coś … k0maw.exe
próbowałem usunąć to przez Spybota ale …niby usunął a przy wejściu na jakikolwiek dysk/partycje wyskakuje alert ;/
teraz do tego nie mogę normalnie wchodzić na dyski… czyli autorun został zaatakowany ? #-o
przeglądałem tematy tu i trafiłem na ten …
kon-trojanski-dewastuje-moj-komputer-t370627.html
praktycznie ten sam problem
według wskazówek pobrałem już program OTL
chciałem też od razu dodać log OTListIT.txt oraz Extras.txt. ale ta strona nie działa zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html
Proszę o pomoc
jak się pozbyć tego draństwa z komputera ( wczoraj formatowałem …i mnie pokusiło podłączyć pena )
oraz proszę o podanie jakiegoś linku co wkleję log
Pozdrawiam
Gutek
(Gutek)
11 Styczeń 2010 21:07
#2
Pokaż log z: OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan . - otl-gmer-rsit-dds-inne-instrukcje-t370405.html
rexmundi
(Dismasrex)
11 Styczeń 2010 22:11
#3
Gutek:
Pokaż log z: OTL
http://www.wklejto.pl/53426
i co teraz ?
jessica
(jessica)
11 Styczeń 2010 23:38
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL IE - HKU\S-1-5-21-1060284298-1957994488-842925246-1003…\URLSearchHook: {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL File not found O2 - BHO: (Ask Search Assistant BHO) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] File not found O32 - AutoRun File - [2010-01-09 02:00:42 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-01-09 02:00:42 | 00,000,057 | RHS- | M] () - E:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-01-09 02:00:42 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [FAT32] O33 - MountPoints2{4bd5dba3-fcff-11de-8c97-806d6172696f}\Shell\AutoRun\command - “” = E:\k0maw.exe – File not found O33 - MountPoints2{4bd5dba3-fcff-11de-8c97-806d6172696f}\Shell\open\Command - “” = E:\k0maw.exe – File not found O33 - MountPoints2{4bd5dba4-fcff-11de-8c97-806d6172696f}\Shell\AutoRun\command - “” = D:\k0maw.exe – File not found O33 - MountPoints2{4bd5dba4-fcff-11de-8c97-806d6172696f}\Shell\open\Command - “” = D:\k0maw.exe – File not found O33 - MountPoints2{4bd5dba5-fcff-11de-8c97-806d6172696f}\Shell\AutoRun\command - “” = F:\k0maw.exe – File not found O33 - MountPoints2{4bd5dba5-fcff-11de-8c97-806d6172696f}\Shell\open\Command - “” = F:\k0maw.exe – File not found [2010-01-09 13:53:51 | 00,000,000 | —D | C] – C:\Program Files\AskSBar [2010-01-09 11:30:19 | 00,000,000 | -HSD | C] – C:\Recycled :Files C:\Program Files\AskSBar :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
jessi
rexmundi
(Dismasrex)
12 Styczeń 2010 09:46
#5
jessica
(jessica)
12 Styczeń 2010 11:29
#6
Czysto.
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Użyj szczepionki >Panda Vaccine
jessi
rexmundi
(Dismasrex)
12 Styczeń 2010 12:49
#7
dziękuje bardzo
a co z tym plikiem ? FIX.REG
usunąć go ? czy mogę go przenieść gdzieś ( bo zapisałem na pulpicie )
jessica
(jessica)
12 Styczeń 2010 13:08
#8
Usuń go, bo już jest niepotrzebny.
jessi
rexmundi
(Dismasrex)
13 Styczeń 2010 18:30
#9
jeszcze raz dziękuje bardzo
ale mam jeszcze jeden problem
pewnie to banalnie proste
otóż po tych wszystkich “operacjach” nie działa mi autorun przy napędzie
otwiera zawartość płyty od razu
jessica
(jessica)
13 Styczeń 2010 18:33
#10
To jest efekt zabezpieczenia szczepionką.
jessi
rexmundi
(Dismasrex)
14 Styczeń 2010 00:16
#11
aha rozumiem
dziekuje jeszcze raz
i ostatnie ( mam nadzieje pytanie )
czy jak podłacze pena to znowu mi zainfekuje system ? czy a szczepionka to zablokuje ?
to sie tez tyczy płyt ?
( przed formatem zgrałem wiele potrzebnych mi rzeczy ale boje sie teraz podłaczycc pena czy uruchomic płyte )
Wybacz Jessi ze tak z lekka upierdliwy jestem