Prośba o sprawdzenie loga - totalnie zasyfiony system


(system) #1

Witam,

Starszy Sąsiad poprosił mnie o pomoc, gdyż jego komp zaczął fiksować. Praktycznie niedziałający internet, strasznie długo się wszystko ładuje itd. Oczywiscie nikt go nie poinformował, że powinien mieć jakiekolwiek zabezpieczenia...podejrzewam, że komp jest totalnie zasyfiony. Prosiłbym więc o sprawdzenie loga z HIJACKTHIS

http://wklej.to/fQzW

Z góry dzięki za pomoc!

Pozdrawiam


(Umpfh) #2
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\User\USTAWI~1\Temp\herss.exe

O4 - HKLM\..\Run: [PMHandler] C:\WINDOWS\system32\PMHandler.exe

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

powyższe zaznacz w hijackthis i daj Fix.

Daj loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338


(system) #3

Z pierwszej porady usunąłem tylko jedno z nich, reszty nie było (być może usunął je antytrojan)

oto log z otl

AVtV

Wielkie dzięki


(Umpfh) #4

Nie obrazek tylko tu daj loga z OTL: http://wklej.org/


(system) #5

sorki, omsknęło mi się

http://wklej.to/AVtV

oto poprawny link


(Umpfh) #6

Poniższe wklej w okienko OTL i daj Run Fix:

:Processes

explorer.exe


:OTL

O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\User\Ustawienia lokalne\Temp\herss.exe ()

O32 - AutoRun File - [2008-09-15 16:04:48 | 00,000,000 | ---D | M] - C:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2009-09-02 17:18:18 | 00,000,059 | RHS- | M] () - E:\autorun.inf -- [FAT]

O33 - MountPoints2\{02afd22c-97c3-11de-a6f3-e57b9ed16988}\Shell\AutoRun\command - "" = E:\i0yva6.exe -- [2009-09-02 16:11:12 | 00,113,455 | RHS- | M] ()

O33 - MountPoints2\{02afd22c-97c3-11de-a6f3-e57b9ed16988}\Shell\open\Command - "" = E:\i0yva6.exe -- [2009-09-02 16:11:12 | 00,113,455 | RHS- | M] ()

O33 - MountPoints2\{11b092e4-803f-11dd-a5cc-000fb0ca273b}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe

O33 - MountPoints2\{277106f2-677e-11dc-a434-000fb0ca273b}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{39882d2c-f5bb-11dc-a542-0016ce8d9c33}\Shell\AutoRun\command - "" = E:\hyetn1i.exe -- File not found

O33 - MountPoints2\{39882d2c-f5bb-11dc-a542-0016ce8d9c33}\Shell\open\Command - "" = E:\hyetn1i.exe -- File not found

O33 - MountPoints2\{c3703c22-81fa-11db-8d5f-0016ce8d9c33}\Shell\AutoRun\command - "" = E:\d9c.bat -- File not found

O33 - MountPoints2\{c3703c22-81fa-11db-8d5f-0016ce8d9c33}\Shell\open\Command - "" = E:\d9c.bat -- File not found

O33 - MountPoints2\{c3703c23-81fa-11db-8d5f-0016ce8d9c33}\Shell\AutoRun\command - "" = d9c.bat

O33 - MountPoints2\{c3703c23-81fa-11db-8d5f-0016ce8d9c33}\Shell\open\Command - "" = d9c.bat

O33 - MountPoints2\{d1c5d2fb-f30a-11db-a3e5-000fb0ca273b}\Shell\AutoRun\command - "" = F:\USBNB.exe -- File not found


:Files

C:\i0yva6.exe

C:\g8k.exe

C:\ktly.exe


:Commands

[emptytemp]

[start explorer]

[Reboot]

Następnie musisz usunąć klucz: MountPoints2.

Wejdź w: Start>>>Uruchom>>> wpisz: regedit

poszukaj klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2

Usuwasz MountPoints2

Przeskanuj komputer tym: http://www.programosy.pl/program,malwar ... lware.html usuń wszystko co znajdzie i daj loga po kasowaniu (loga z Malware)


(system) #7

sorki, ale byłem chwilowo niedostępny. Rozumiem, że mam usunąć cały folder MountPoints2 ?

Dodam tylko ze po wklejeniu tego kodu i restarcie, nic się nie zmieniło, cały czas jedna wielka zamuła.

Dzięki jeszcze raz za zainteresowanie.


(Henio Mazurek) #8

Wklej nowy log z OTL + log z GMER


(Umpfh) #9

tak cały folder wywalić.


(system) #10

ok, zrobiłem tak jak napisał Umpfh, komp lepiej pracuje, internetu cały czas praktycznie nie ma. Logi:

Malwarebytes' Anti-Malware 1.40 - robiony be aktualizacji z racji braku netu.

http://wklej.to/uB1P

Gmer

http://wklej.to/AqH0

OTL

http://wklej.to/dbFg

Dzięki wielkie! !!


(Umpfh) #11

Usunąłeś wszystko co wykrył Malwarebytes?

Wyłącz i włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Oczyść później komputer: http://www.forumpc.pl/index.php?showtopic=104989


(system) #12

usunąłem wszystko, przynajmniej tak mi się wydaje, część rzeczy miało się usunąć przy starcie systemu.

Niestety dziś już nic nie zdziałam, bo sąsiad ma chore dziecko i musiałem go szybciej opuścić....jutro zabieram się do dalszego działania.

Jakieś pomysły?

pozdrowienia,

qbon


(Umpfh) #13

Wykonaj te powyższe porady i daj nowego loga z OTL.


(system) #14

Oki, jutro będę działać dalej, wielkie dzięki za porady na dziś:slight_smile:

JESTEŚCIE Wielcy!

Pozdrawiam!

-- Dodane 03.09.2009 (Cz) 12:07 --

Witam po przerwie,

Zrobiłem wszystkie powyższe czynnosci. Log z OTL :

http://wklej.to/xhNB

Poprawa była chwilowa, niestety nadal jest to samo

Jak to teraz wyglada?

Pozdrawiam!


(Henio Mazurek) #15

Teraz wklej nowy log z OTL bo prawdę mówiąc narobiło się bałaganu.

Pobierz również SystemLook i wklej do niego

e: - to pamięć przenośna - nie odłączaj od komputera dopóki nie skończymy.

Kliknij Look i pokaż log.


(system) #16

Witaj,

Tamtego pendrive zostawiłem, ale muszę korzystać z innego, gdyż na zainfekowanym kompie w ogole nie chodzi net, a jakoś musze przenosić logi

oto logi z

systemlook:

http://wklej.to/0jGR

oraz OTL

http://wklej.to/cEfa


(Henio Mazurek) #17

I właśnie tym pendrivem się infekujesz od nowa.

Wklej w OTL

Klikasz Run Fix. Potem dajesz nowy log z OTL.


(Umpfh) #18

Podłącz pendrive , ale nie otwieraj go, ściągnij i uruchom ten program: http://download.bleepingcomputer.com//s ... fector.exe wyczyści z pena wirusy


(system) #19

zrobiłem to, tyle, ze od 3 minut nie ma nic na ekranie, zniknęły ikony na pulpicie i wyglada na to, ze sie nic nie dzieje. Czy tak ma być?


(Umpfh) #20

tak, dopóki nie wyskoczy okienko, w którym klikasz na OK