Airborn
(Airborn)
19 Październik 2009 23:13
#1
Witam, zauważyłem dziś, że na pendrivie pojawiają mi się różnego rodzaju syfy. avast, spyware search & destroy i dr. web cureit poradziły sobie chyba z częścią z nich, ale na penie wciąż pojawiają się nowe nieproszone pliki. (wcześniej w skanach pojawiał się m. in se12ydam.exe oraz trojan.pws.wsgame.12661)
Pochwale się jeszcze logami z hj oraz OTL
ciemnowidz
(Henio Mazurek)
20 Październik 2009 05:40
#2
W OTL w dolne białe okno wklej taki tekst
:Processes explorer.exe :OTL O4 - HKU\S-1-5-21-1177238915-448539723-842925246-1003…\Run: [cdoosoft] D:\Documents and Settings\airborn\Ustawienia lokalne\Temp\herss.exe () O28 - HKLM ShellExecuteHooks: {B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} - D:\WINDOWS\System32\softqq0.dll File not found O32 - AutoRun File - [2009-10-20 01:00:23 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-20 01:00:23 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-20 01:00:23 | 00,000,057 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-20 01:00:23 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-20 01:00:23 | 00,000,057 | RHS- | M] () - G:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-20 01:00:23 | 00,000,057 | RHS- | M] () - P:\autorun.inf – [NTFS] :Services :Files D:\Documents and Settings\airborn\Ustawienia lokalne\Temp\herss.exe D:\nds0q.exe c:\nds0q.exe e:\nds0q.exe f:\nds0q.exe g:\nds0q.exe p:\nds0q.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72}”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.
Wklej również log z System Repair Engineer
Airborn
(Airborn)
20 Październik 2009 07:49
#3
Dzięki za zainteresowanie.
Fix , ponowny Scan oraz SRE
ciemnowidz
(Henio Mazurek)
20 Październik 2009 10:44
#4
Wygląda na skasowane.
Kliknij w OTL CleanUp.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
Podepnij pamięci przenośne i zastosuj FlashDisinfector
Airborn
(Airborn)
20 Październik 2009 12:21
#5
Malwarebytes znalazł 4 syfy i je usunął -> log
CCleaner odpalony i posprzątan
Karty pamięci i pendrivy poczyściłem
ciemnowidz , dzięki wielkie za pomoc. Mam nadzieję, że będzie okazja się odwdzięczyć
ciemnowidz
(Henio Mazurek)
20 Październik 2009 14:20
#6
No tak, większość programów do robienia logów go nie wykrywa bo ma marker Microsoftu, ale Malwarebytes go skasował.
Nic więcej już nie widać.