dsl7
(Wisniaas)
4 Grudzień 2008 19:45
#1
Bardzo proszę o sprawdzenie logów. Ostatnimi czasy dodatkowe oprogramowania wlączajo mi sie w menedzerze zadań, mozna oczywiście usunąć proces lecz sie odnawia, kasperski tez wykryl kilkanaście koni trojanskich i je usunął ,lecz coś jeszcze jest czego nie może usunąc lub nie wykrywa. Z góry dziękuje za sprawdzenie.
http://www.wklejto.pl/17242 - Silent Runnes
http://www.wklejto.pl/17244 - ComboFix
http://www.wklejto.pl/17245 - HijackThis
Pozdrawiam
apdjs
(apdjs)
4 Grudzień 2008 20:13
#2
wklej logi jeszcze raz
jest
C:WINDOWSsystem32winlogon.exe
a powinno być
C:WINDOWS\system32\winlogon.exe
dsl7
(Wisniaas)
7 Grudzień 2008 02:12
#3
Przepraszam ,że tak dlugo ale dopiero teraz mam troche czasu
nie wiem czemu zrobiło sie bez sleszy w czasie utwarzania logów nic nie robiłem
ponownie wklejam logi:
http://wklejto.pl/17572 - Silent Runnes
http://wklejto.pl/17573 - ComboFix
http://wklejto.pl/17574 - HijackThis
W razie czego tu jest paczka z logami bo w SR dalej nie ma sleszy albo ja juz nie dowidze, a w pliku .txt normalnie są :
http://www.sendspace.com/file/gg7h8t
Pozdrawiam,
dsl
huber2t
(huber2t)
7 Grudzień 2008 07:52
#4
Dalej podałeś logi bez ukosników - popraw
Gutek
(Gutek)
7 Grudzień 2008 10:12
#5
Umieść logi na http://www.wklej.org/ i używając przycisku
dsl7
(Wisniaas)
7 Grudzień 2008 11:06
#6
Gutek
(Gutek)
7 Grudzień 2008 11:48
#7
Wklej do Notatnika:
File::
c:\windows\system32\zrcnkoqsyb.dll-uninst.exe
c:\windows\system32\ihxndykfhfjott.exe
c:\windows\system32\oad5886r.exe
c:\windows\system32\zrcnkoqsyb.dll
c:\windows\system32\zjxzddylpheds.dll
c:\docume~1\ADMINI~1\USTAWI~1\Temp\a.exe
c:\windows\Tasks\At1.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\At25.job
c:\windows\Tasks\At26.job
c:\windows\Tasks\At27.job
c:\windows\Tasks\At28.job
c:\windows\Tasks\At29.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At30.job
c:\windows\Tasks\At31.job
c:\windows\Tasks\At32.job
c:\windows\Tasks\At33.job
c:\windows\Tasks\At34.job
c:\windows\Tasks\At35.job
c:\windows\Tasks\At36.job
c:\windows\Tasks\At37.job
c:\windows\Tasks\At38.job
c:\windows\Tasks\At39.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At40.job
c:\windows\Tasks\At41.job
c:\windows\Tasks\At42.job
c:\windows\Tasks\At43.job
c:\windows\Tasks\At44.job
c:\windows\Tasks\At45.job
c:\windows\Tasks\At46.job
c:\windows\Tasks\At47.job
c:\windows\Tasks\At48.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job
c:\windows\Tasks\At9.job
Folder::
h:\programy\Wru
Driver::
vhack
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1BC4B3AB-5A1D-31E4-0237-A0F3B9865D76}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2658B997-FC13-6E6B-B617-821A1B0DB351}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSFox]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pjvawxjqgwokotmg]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wru]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo oraz skan Dr. Web CureIt
dsl7
(Wisniaas)
7 Grudzień 2008 12:54
#8
W trybie awaryjnym windows usuń ten plik C:\WINDOWS\system32\zrcnkoqsyb.VIR
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Jak zalecił Gutek2222 , skan DrWeb