Cześć. Znalazłam w mojej koleżanki komputerze kilka niebezpiecznych pozycji np.: svehost.exe Komputer często się zacina… Odrazu po uruchomieniu wyskakuje kilka błędów.
Logi:
Otl.txt http://wklej.org/id/340809/
Extras.txt http://wklej.org/id/340808/
Narazie kazałam jej skanować Malwarebytes i wykrył (jak dotąd, a nie przeskanował jeszcze nawet jednego dysku) 18 zainfekowanych…
Lukasz6
(Łukasz)
27 Maj 2010 12:43
#3
Jak skończy skanować to pokaż z niego raport i wykonaj ponownie loga OTLem .
deFco247
(deFco247)
27 Maj 2010 16:14
#4
Ojej, ojej… Chyba nikt tu nawet tytułu tematu nie potrafi przeczytać…
sv ** c host.exe jest prawidłowym elementem systemu Windows, natomiast sv e **host.exe jest trojanem.
Jak już wykonujesz skan MBAM, to zaprezentuj po tym raport z usuwania oraz nowo robione logi z OTL.
http://wklej.org/id/340963/ MBAM. Vundo, Backdoor. A większość ma z własnej winy…
OTL.txt: http://wklej.org/id/341007/
Extras.txt: http://wklej.org/id/341009/
– Dodane 27.05.2010 (Cz) 18:50 –
I gdy już wszystko usunie, zainstaluję jej antywirusa, bo nie ma go już od dłuższego czasu! ;/
deFco247
(deFco247)
27 Maj 2010 17:35
#6
MBAM usunął główne elementy infekcji, na usuwanie przez OTL pójdą głównie śmieci w postaci toolbarów.
Poza tym BearShare do odinstalowania, bo to raczej mało godny zaufania program.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL IE - HKU.DEFAULT…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found IE - HKU\S-1-5-18…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1390067357-117609710-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/ IE - HKU\S-1-5-21-1390067357-117609710-682003330-1004…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultenginename: “BearShare Web Search” FF - prefs.js…browser.search.order.1: “BearShare Web Search” FF - prefs.js…browser.search.selectedEngine: “BearShare Web Search” FF - prefs.js…extensions.enabledItems: {E84D42CA-64EB-11DE-A65F-8C3656D89593}:3.1 FF - prefs.js…keyword.URL: “http://search.bearshare.com//web?src=ffb&q= ” [2010-03-20 15:19:42 | 000,000,000 | —D | M] (MediaBar) – C:\Documents and Settings\Olga\Dane aplikacji\Mozilla\Firefox\Profiles\s39auz8s.default\extensions{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2010-03-21 08:03:43 | 000,002,256 | ---- | M] () – C:\Documents and Settings\Olga\Dane aplikacji\Mozilla\Firefox\Profiles\s39auz8s.default\searchplugins\BearShareWebSearch.xml [2010-02-09 19:16:01 | 000,009,977 | ---- | M] () – C:\Documents and Settings\Olga\Dane aplikacji\Mozilla\Firefox\Profiles\s39auz8s.default\searchplugins\mywebsearch.xml [2010-02-22 17:45:04 | 000,000,973 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll (MusicLab, LLC) O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll File not found O3 - HKLM…\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O3 - HKU\S-1-5-21-1390067357-117609710-682003330-1004…\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O4 - HKLM…\RunServices: [Logitech Mouse Driver] File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Registration Petz Horsez 2.LNK = F:\Support\Register\RegistrationReminder.exe File not found O20 - AppInit_DLLs: (c:\progra~1\bearshare applications\mediabar\datamngr\datamngr.dll) - c:\progra~1\bearshare applications\mediabar\datamngr\datamngr.dll () O20 - AppInit_DLLs: (c:\progra~1\bandoo\bndhook.dll) - c:\progra~1\bandoo\bndhook.dll File not found :Commands [emptytemp] [start explorer] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Co się znajduje w tych cyferkowych folderach?
Leon1
(Leon$)
27 Maj 2010 17:43
#7
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL IE - HKU.DEFAULT…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found IE - HKU\S-1-5-18…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1390067357-117609710-682003330-1004…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found [2010-02-09 19:16:01 | 000,009,977 | ---- | M] () – C:\Documents and Settings\Olga\Dane aplikacji\Mozilla\Firefox\Profiles\s39auz8s.default\searchplugins\mywebsearch.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll File not found O3 - HKU\S-1-5-21-1390067357-117609710-682003330-1004…\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O4 - HKLM…\RunServices: [Logitech Mouse Driver] File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Registration Petz Horsez 2.LNK = F:\Support\Register\RegistrationReminder.exe File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - AppInit_DLLs: (c:\progra~1\bearshare applications\mediabar\datamngr\datamngr.dll) - c:\progra~1\bearshare applications\mediabar\datamngr\datamngr.dll () O20 - AppInit_DLLs: (c:\progra~1\bandoo\bndhook.dll) - c:\progra~1\bandoo\bndhook.dll File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [start explorer] [Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan
W tych cyfekrowych folderach są pliki (tak powiedziała mi koleżanka, bo niestety teraz nie jestem u niej). Już dawno kazałam jej usunąć BearShare, ale niestety nic nie skutkuje…
Logi:
Z usuwania: http://wklej.org/id/341079/
otl.txt: http://wklej.org/id/341087/
– Dodane 28.05.2010 (Pt) 14:15 –
Kazałam jej zainstalować AVG… Gdy go zainstalowała, zaczął się skan. I znalazło VIRUTA… Tylko czy to nie fałszywy alarm?? OTL to pominęlo?
– Dodane 28.05.2010 (Pt) 14:17 –
http://img190.imageshack.us/img190/4474/beztytuubnt.png
…
Leon1
(Leon$)
28 Maj 2010 20:17
#9
Niestety jej ojciec na nic nie pozwolił…
Postanowił sformatować dysk, i to tylko jeden!
Choć na D i E także był Virut…
Ciekawe co będzie po formacie…
Gdy ponownie wtedy przeskanuje kompa, napisze jakie skutki są po formacie.
chcesz żeby infekcja znikła to zalecane jest przeskanowanie combofixem i trzeba wszystkie dyski formatować
Ja to wiem. Niestety tłumaczenie czegokolwiek jej tacie nic nie dało… ;/ Postanowił sformatować tylko jeden dysk i tyle.
i infekcja znowu zaatakuje
to jeszcze raz wytłumacz ojcu tej dziewczyny że gdy wszystkich dysków nie sformatuje to infekcja się pogorszy i może to doprowadzić do unieruchomienia systemu operacyjnego
Tłumaczyłam mu, ale on nic nie rozumie. Myśli, że jest najmądrzejszy i w ogóle…
Mam pytanie, czy jeśli podłączane pendrive do zainfekowanego komputera to pendrive jest zainfekowany? Bo jeśli tak, to komputer jej ojca jest także zainfekowany.
No to nawet dobrze. Jej ojciec będzie miał nauczkę. ;d
– Dodane 29.05.2010 (So) 19:36 –
Po formacie kazałam jej przeskanować OTL, ale wyskakuje błąd C:/WIDNOWS/English.lng . Wie ktoś o co chodzi??
spróbuj jeszcze raz pobrać otl ok więc musimy czymś usunąć viruta spróbuj tego
Koleżanka pobrała jeszcze raz OTL, ale nadal było to samo. Pobrała potem antywirusa, i potem coś się stało, że wyłączyła komputer. Teraz gdy włącza komputer pojawia się pulpit, ale nic więcej żadnych ikon, paska staru itp…
no to wina ojca nie można pracować normalnie na systemie