Proszę o pomoc- wirus olhrwef-podaję log HijackThis


(Marek Maslaczyk) #1

http://wklej.org/id/115164/


(Henio Mazurek) #2

Przyniosłeś to z pendrive'a, więc zastosuj FlashDisinfector, podłącz podczas jego uruchomienia posiadane pamięci przenośne

http://www.searchengines.pl/index.php?s ... ntry369724

Po tej operacji dopiero dajesz logi z OTL i gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/


(Marek Maslaczyk) #3

dzięki, zainstalowałem Flash_Disinfector ale nie wiem co dalej? Nie wystarczy ten log co podałem i program HijackThis?


(Henio Mazurek) #4

Nie, bo HT pokazuje za mało jak na takie infekcje, ma być OTL i gmer. W większości usuwanie nim to tylko modyfikacja rejestru i nie radzi sobie z ciałem wirusa.


(Marek Maslaczyk) #5

Oto log z programu OTL(nie znam tego programu więc robiłem intuicyjnie) http://wklej.org/id/115177/

-- Dodane 02.07.2009 (Cz) 15:18 --

gmer wyświetlił informacje, że nie wykrył nic.Co mam teraz zrobić? Proszę o pomoc


(Henio Mazurek) #6

Log wygląda jak przed użyciem FlashDisinfectora, koniecznie masz go użyć.

W OTL, w białe okienko wklej

Klikasz Run Fix. Potem pokazujesz nowo robiony log z OTL.


(Leon$) #7

dla czego usuwasz kosz systemowy?

:?:


(Marek Maslaczyk) #8

All processes killed

========== OTL ==========

Process explorer.exe killed successfully!

Registry value HKEY_USERS\S-1-5-21-1801674531-1409082233-2147110713-1004\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft deleted successfully.

C:\WINDOWS\System32\olhrwef.exe moved successfully.

C:\autorun.inf moved successfully.

D:\autorun.inf moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{83978368-6581-11de-a136-806d6172696f}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{83978368-6581-11de-a136-806d6172696f}\ not found.

File F:\s.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{83978368-6581-11de-a136-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{83978368-6581-11de-a136-806d6172696f}\ not found.

File F:\s.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{83978369-6581-11de-a136-806d6172696f}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{83978369-6581-11de-a136-806d6172696f}\ not found.

File G:\s.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{83978369-6581-11de-a136-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{83978369-6581-11de-a136-806d6172696f}\ not found.

File G:\s.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{8397836a-6581-11de-a136-806d6172696f}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8397836a-6581-11de-a136-806d6172696f}\ not found.

File H:\s.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{8397836a-6581-11de-a136-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8397836a-6581-11de-a136-806d6172696f}\ not found.

File H:\s.exe not found.

========== FILES ==========

File\Folder C:\WINDOWS\System32\olhrwef.exe not found.

C:\8gig0ofk.com moved successfully.

DllUnregisterServer procedure not found in C:\WINDOWS\System32\nmdfgds0.dll

C:\WINDOWS\System32\nmdfgds0.dll NOT unregistered.

C:\WINDOWS\System32\nmdfgds0.dll moved successfully.

C:\RECYCLER\S-1-5-21-1801674531-1409082233-2147110713-1004 moved successfully.

C:\RECYCLER moved successfully.

D:\8gig0ofk.com moved successfully.

========== COMMANDS ==========

[EMPTYTEMP]

User: admin

->Temp folder emptied: 6476643 bytes

->Temporary Internet Files folder emptied: 20095898 bytes

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352022 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

Windows Temp folder emptied: 19456 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 27,67 mb

Error: Unable to interpret <[start explorer]> in the current context!

OTL by OldTimer - Version 3.0.6.1 log created on 07022009_154454

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

-- Dodane 02.07.2009 (Cz) 15:50 --

Czy to już wystarczy?


(Henio Mazurek) #9

Kosz zostanie przywrócony jeśli coś się usunie. A, że to infekcja z pendrive'a to często lubi tam przesiadywać i usunąłem profilaktycznie. W kilku logach był taki przypadek więc wolę nie ryzykować, że wszystko zostanie usunięte a tu nagle coś z kosza wylezie.

Wklej tutaj nowo robiony log z OTL.


(Marek Maslaczyk) #10

To jest nowy log z OTL: http://wklej.org/id/115261/

-- Dodane 02.07.2009 (Cz) 16:13 --

To wszystko?


(Henio Mazurek) #11

Wygląda na to, że to co miało zejść - zeszło.

W OTL klikasz CleanUp.

Wyłącz na chwilę przywracanie systemu.

http://support.microsoft.com/kb/310405/pll

Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... ntiMalware

Przeczyść rejestr CCleaner'em