batoneq
29 Październik 2009 19:25
#1
Witam. Mam problem z jakimś pasożytem. Pojawił się po paru godzinach od ostatniego użytkowania komputera, nie wiadomo skąd.
#edit
Co śmieszne, to samo pojawiło się na 2gim komputerze podłączonym do tego samego internetu (router), inna jest tylko nazwa pliku exe na eexyv.exe
Oto log z hijackthis:
http://wklejto.pl/45703
log z OTL’a:
http://wklejto.pl/45710
log ze SREnga:
http://wklejto.pl/45711
Z góry dzięki za pomoc,
Pozdrawiam.
deFco247
29 Październik 2009 19:28
#2
HiJackThis jak na dzisiejsze czasy to za mało.
Pokaż logi OTL SREng
W OTL ustaw Processes na All i klikasz Run Scan .
batoneq
29 Październik 2009 19:32
#3
log z OTL’a
http://wklejto.pl/45710
log ze SREnga
http://wklejto.pl/45711
#edit
Gdy skanuje samo autorun.inf to nie wiesza i chyba to będzie najważniejsze:
http://wklejto.pl/45707
Co robić?
deFco247
29 Październik 2009 20:47
#4
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Patryk\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-10-29 21:15:42 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:15:42 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:15:42 | 00,000,057 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:15:42 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:15:42 | 00,000,057 | RHS- | M] () - H:\autorun.inf – [NTFS] O33 - MountPoints2{0b6cf14a-55bd-11de-9ec2-806d6172696f}\Shell\AutoRun\command - “” = D:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf14a-55bd-11de-9ec2-806d6172696f}\Shell\open\Command - “” = D:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf14d-55bd-11de-9ec2-806d6172696f}\Shell\AutoRun\command - “” = E:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf14d-55bd-11de-9ec2-806d6172696f}\Shell\open\Command - “” = E:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf14e-55bd-11de-9ec2-806d6172696f}\Shell\AutoRun\command - “” = F:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf14e-55bd-11de-9ec2-806d6172696f}\Shell\open\Command - “” = F:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf150-55bd-11de-9ec2-806d6172696f}\Shell\AutoRun\command - “” = C:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{0b6cf150-55bd-11de-9ec2-806d6172696f}\Shell\open\Command - “” = C:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{1ca4275d-b10c-11de-9862-00044b071120}\Shell\AutoRun\command - “” = Q:\eexyv.exe – File not found O33 - MountPoints2{1ca4275d-b10c-11de-9862-00044b071120}\Shell\open\Command - “” = Q:\eexyv.exe – File not found O33 - MountPoints2{215063ee-566f-11de-97bb-806d6172696f}\Shell\AutoRun\command - “” = H:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () O33 - MountPoints2{215063ee-566f-11de-97bb-806d6172696f}\Shell\open\Command - “” = H:\hjvjte.exe – [2009-10-29 21:01:57 | 00,112,905 | RHS- | M] () :Files C:\uqgvf.exe C:\hjvjte.exe C:\sfkn.exe C:\gbm6n.exe C:\WINDOWS\System32\nmdfgds1.dll C:\WINDOWS\System32\nmdfgds0.dll D:\uqgvf.exe D:\hjvjte.exe D:\sfkn.exe D:\gbm6n.exe E:\uqgvf.exe E:\hjvjte.exe E:\sfkn.exe E:\gbm6n.exe F:\uqgvf.exe F:\hjvjte.exe F:\sfkn.exe F:\gbm6n.exe G:\uqgvf.exe G:\hjvjte.exe G:\sfkn.exe G:\gbm6n.exe H:\uqgvf.exe H:\hjvjte.exe H:\sfkn.exe H:\gbm6n.exe :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
batoneq
29 Październik 2009 21:49
#5
Fix:
http://wklejto.pl/45732
Nowy log:
http://wklejto.pl/45733
Jak na razie nic się nie pojawiło w avaście, chyba będzie w porządku.
deFco247
29 Październik 2009 21:51
#6
W logu czysto.
Wykonaj pełny skan Malwarebytes’ Anti-Malware
Gdy będą wirusy pokaż raport.
Wyczyść rejestr i dysk CCleaner
Usuń zbędniki z autostartu.
batoneq
1 Listopad 2009 18:02
#7
Na 1wszym kompie wszystko w porządku, teraz muszę wyczyścić jeszcze 2gi komputer.
Log z hijacka:
http://wklejto.pl/45961
(już na początku widzę jakieś wiry w systemie?)
Log z OTLa:
http://wklejto.pl/45962
Z góry dzięki za pomoc ;]
deFco247
1 Listopad 2009 18:08
#8
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL SRV - [2009-09-05 09:15:36 | 00,028,762 | ---- | M] (MyWebSearch.com ) – C:\Program Files\MyWebSearch\bar\3.bin\MWSSVC.EXE MOD - [2009-09-05 09:15:36 | 00,045,134 | ---- | M] (MyWebSearch.com ) – C:\Program Files\MyWebSearch\bar\3.bin\MWSOESTB.DLL FF - prefs.js…keyword.URL: “http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZKfox000&fl=0&ptb=W.05CkFFnZvdsAq9H9qT7A&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=kwd&searchfor= ” O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\3.bin\MWSSRCAS.DLL (MyWebSearch.com ) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com ) O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [lsass.exe] C:\WINDOWS\lsass.exe File not found O4 - HKLM…\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\3.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Plugin] C:\Program Files\MyWebSearch\bar\3.bin\M3PLUGIN.DLL (MyWebSearch.com ) O4 - HKCU…\Run: [AdVantage] C:\Program Files\AdVantage\AdVantage.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Patryk\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU…\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - Startup: C:\Documents and Settings\Patryk\Menu Start\Programy\Autostart\taskmgr.exe () O32 - AutoRun File - [2009-10-29 16:56:35 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:26:53 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:26:53 | 00,000,057 | RHS- | M] () - J:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-29 21:26:53 | 00,000,057 | RHS- | M] () - K:\autorun.inf – [NTFS] O33 - MountPoints2{0b232e06-4c1c-11de-811d-008048303c23}\Shell\AutoRun\command - “” = N:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe – File not found O33 - MountPoints2{0b232e06-4c1c-11de-811d-008048303c23}\Shell\open\command - “” = N:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe – File not found O33 - MountPoints2{4ed6ceae-5f57-11de-816a-008048303c23}\Shell\AutoRun\command - “” = N:\eexyv.exe – File not found O33 - MountPoints2{4ed6ceae-5f57-11de-816a-008048303c23}\Shell\open\Command - “” = N:\eexyv.exe – File not found O33 - MountPoints2{8064eb15-8772-11de-81a5-008048303c23}\Shell\AutoRun\command - “” = R:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe – File not found O33 - MountPoints2{8064eb15-8772-11de-81a5-008048303c23}\Shell\open\command - “” = R:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe – File not found O33 - MountPoints2{940bba4e-5586-11de-8144-008048303c23}\Shell\AutoRun\command - “” = N:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe – File not found O33 - MountPoints2{940bba4e-5586-11de-8144-008048303c23}\Shell\open\command - “” = N:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe – File not found [2009-09-16 08:09:06 | 00,012,800 | ---- | C] () – C:\WINDOWS\System32\sknc.dll :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
batoneq
1 Listopad 2009 18:53
#9
Coś się uszkodziło:
Gdy ładuje się już Windows (lata ten pasek) komputer się jakby restartuje i wyświetla się niebieski ekran i napis że wystąpił błąd krytyczny coś związany z procesem logon.
Tryb awaryjny też się nie ładuje…
Co mam robić?
deFco247
1 Listopad 2009 19:09
#10
Ciekawe…
Ja do usuwania nie dawałem niczego, co wpłynęłoby na proces startowania.
Spróbuj: http://www.searchengines.pl/index.php?showtopic=124843
batoneq
1 Listopad 2009 19:51
#11
Co w tym temacie miałoby pomóc? ;/
Żebym wiedział że na 100% nie mam nic ważnego na C zrobiłbym formata ale nie jestem tego pewny i nie wiem jak mam sprawdzić ;-(