Witam!

Mam problem z wirusem olhrwef.exe.Mianowicie program antywirusowy w ogóle go nie wykrywa…Przez około 10dni nie mogłem grać w pewną grę ponieważ gameguard wyrzucał mnie za nielegalny program.Poszukałem trochę o tym na forach ale nie dostałem konkretnej odpowiedzi co mam z tym zrobić więc zacząłem coś zdziałać samemu. Wszedłem przez uruchom->msconfig i znalazłem dwa dziwne programy smss.exe i olhrwef.exe.

Ostatecznie odhaczyłem te programy z listy żeby nie uruchamiał się wraz z włączeniem systemu. Pomogło to na jakiś czas…Po 2 dniach olhrwef jakoś sam się załączał…I tu jest moje pytanie co mam z tym zrobić?

Z tego co już czytałem to na początek trzeba ściągnąć Hijackthis i zapuścić skanowanie.Oto wynik skanowania. Proszę o jakieś dalsze wskazówki co zrobić. Z góry ThX. Btw sorki że napisałem to w złym topiku :?

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:50:35, on 2009-06-10

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\VDOTool\TBPanel.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

E:\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Rodzina\Pulpit\combofix\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 66.98.136.25 auto.search.msn.com

O1 - Hosts: 66.98.136.25 auto.search.msn.es

O1 - Hosts: 66.98.136.25 pagead2.googlesyndication.com

O1 - Hosts: 192.246.40.62 etguidauth.evenbalance.com

O1 - Hosts: 69.10.138.110 et1.evenbalance.com

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice

O4 - HKLM…\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM…\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM…\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-21-725345543-220523388-839522115-1003…\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\bin\TrayIcon.exe (User ‘Bartek’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

–

End of file - 5039 bytes

Logi wklejasz na wklej.org, a w poście dajesz tylko link.

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Daj log z Combofix.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

smss.exe to plik systemowy więc niepotrzebnie odhaczałeś

http://wklej.org/id/104242/ <–log z combofixa… Czy teraz jest dobrze?..

Logi wklejasz na wklej.org, a w poście dajesz tylko link.

Log wklejony na wklejto.pl nie ma ukośników, przez co jest nieczytelny.

Już wkleiłem link z logiem.

Jakieś dalsze wskazówki? ](*,)

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

http://wklej.org/id/104570/ <–raport. Optymalizacja zrobiona. Rejestr wyczyszczony. Avenger i Qoobox usunięty. Myk z przywracaniem zrobiony. Skanowanie komputera w toku:D

O dziwo tego pliku nie było wcześniej, więc Avenger nie miał czego usuwać. :co:

Jeśli skan nie wykryje wirusów, to powinno być

Um…Robię teraz skanowanie jeszcze trochę mi z nim zejdzie. Chciałem zobaczyć jaki będzie efekt naszej pracy dlatego też wszedłem do msconfig.Olhrwef nadal się tam znajduje

A i jeszcze takie pytanko jeżeli mam 2 konta użytkowników w Windowsie to czy muszę robić te wszystkie myki żeby usunąć olhrwefa na obu kontach?

Jak skan nie wykryje niczego, to będzie oznaczało, że tego robaka (olhrwef.exe to robak),

to uruchom HiJackThis i sfiksuj wpis, który w jednym z poprzednich postów zaznaczyłem na niebiesko.

olhrwef.exe postawił sobie autostart tylko na jednym koncie.

Dobra nie będę tworzył new posta po prostu już z edytuje ten. Antywirus wykrył dwa wirusy. Został one już usunięte

Czyli teraz mam po prostu wejść w program Hijackthis wybrać opcje do a system scan only i zaznaczyć ten plik co podałeś?BTw tego pliku już tam nie ma został on usunięty wraz z 4 czy tam 3innymi co podałeś.

– Dodane 11.06.2009 (Cz) 23:51 –

No dobra to ja już nie wiem za bardzo co się dzieje.Komputer nie ma żadnych wirusów z hijackthis został już usunięty olhrwef.A w msconfig->uruchamiane->olhrwef nadal się znajduje tyle że jest odhaczony ale pewnie się uaktywni za niedługo:SS Czy to oznacz że olhrwef ma autostart z drugiego profilu?

– Dodane 13.06.2009 (So) 23:45 –

Witam ponownie!

Tak jak już pisałem olhrwef powrócił a raczej nie powrócił bo cały czas był nawet po bawieniu się tymi programami:SS

Jak widać te metody nie pomogły…Co jakiś czas sprawdzałem msconfig i jak się okazywało olhrwef cały czas tam był tylko że nie aktywny.

Dziś się zaktywował ponownie…Jakieś pomysł co zrobić? Czyżby olhrwef jednak ładował się z 2konta?

To, że olhrwef jest nieaktywny, to dobrze.

Jak chcesz całkiem się pozbyć śladów po nim, to otwórz edytor rejestru ( Menu Start -> Uruchom -> regedit )

Przejdź do klucza HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Po prawej stronie usuń wszystkie wartości mające olhrwef w nazwie.

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Zrobiłem wszystko co kazałeś. Oto log http://wklej.org/id/105951/ .Misja zakończona niepowodzeniem---->http://odsiebie.com/pokaz/3537442—66fb.html

Jest tak samo jak z Hijackthis.Program wyłącza olhrwefa ale tylko na parę dni.Już wole nic nie kombinować jakoś z tym wytrzymam…

Combofix już wywalił olhrwefa, w logu go nie widać.

Otwórz avengera, skopiuj ten tekst:

Files to delete:

C:\28b6ry9r.exe

W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz do przejrzenia plik C:\avenger.txt

http://wklej.org/id/105969/

Ostatnio też tak było combofix i hijackthis pousuwał ten cały syf ale olhrwef cały czas znajdował się w msconfigu zresztą nadal się tam znajduje tylko po prostu nie będzie się włączał wraz z systemem Windows przez jakieś 2-3dni.

Na pewno nie będzie wracał, jak będziesz uważał na niebezpieczne strony i pliki,

oraz zaopatrzysz się w dobrego firewalla oraz antywirusa.

Usuń Avengera z dysku.

Menu Start -> Uruchom… -> Combofix /u

Przeczyść system CCleanerem.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Dr Web CureIt!.

Jeśli będą wirusy, to usuń je.

Dobra dobra wszystko zrobione ale olhrwef nadal jest w msconfig tylko odhaczony. Niebawem się uaktywni z powrotem ale mniejsza oto.

Dzięki za to że pokazaliście mi program Hijackthis.Dzięki niemu szybko odhaczam olhrwefa z listy programów które się włączają wraz z systemem i mam spokój na parę dni.<–dla porównania ta cała zabawa combofixem i tymi innymi programami daje taki sam efekt(chodzi mi to o olhrwefa) jak użycie Hijackthis… Olhrwef i tak się uaktywni jest to po prostu kwestia czasu…

BTw cały komputer przeskanowany, pen drivery też nie wchodzę na żadne dziwne strony które mogą zawierać wirusy…Typowe strony na które wchodzę to:http://www.hive-team.org/Hiveforum/ , http://www.the-mad-com.de/ , http://et.splatterladder.com/ po za tym czasami zdarzy się coś ściągnąć z serwerów typu instalki.pl, idg.pl etc

Chociaż ostatnio prześledziłem historię przeglądarki na 2 koncie okazało się że ktoś z rodziny prawdopodobnie tata albo brat wchodzą na erotyczne strony…

Może macie jakiś ciekawy program który blokuje strony www. Tylko nie chce żadnych opiekunów dziecka czy ucznia wolałbym coś innego.