Witam,
Cholerstwo się przyczepiło i mam prośbę o pomoc w usunięciu. Komp straszliwie zamula. Wydaje mi się, że coś jeszcze siedzi w systemie oprócz tego szlamu.
Log z HJT:
http://wklej.org/hash/2cc8d83ba80/
Log z OTL:
http://wklej.org/id/314993/
extras:
http://wklej.org/id/314994/
Wielkie dzięki za pomoc
deFco247
(deFco247)
13 Kwiecień 2010 12:50
#2
Jest pół-rootkit plus infekcje z pendrive.
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
raport z Avengera:
http://wklej.org/id/315126/
plik backupu usunięty.
deFco247
(deFco247)
13 Kwiecień 2010 13:20
#4
Pliki się prawidłowo usunęły.
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
Pokaż jeszcze nowo robione logi OTL.
Przywracanie wylaczone i wlaczone.
log z OTL:
http://wklej.org/id/315131/
extras:
http://wklej.org/id/315133/
deFco247
(deFco247)
13 Kwiecień 2010 13:46
#6
Przede wszystkim co w systemie robią 2 antywirusy - Avast i AVG, do tego oba w nieaktualnych wersjach?
Odinstaluj obydwa i wybierz jednego w wersji aktualnej.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL MOD - [2010-04-13 15:09:23 | 000,079,360 | RHS- | M] () – C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2010-04-13 15:26:52 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-13 15:26:52 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe () MsConfig - StartUpReg: kamsoft - hkey= - key= - File not found MsConfig - StartUpReg: MacrokeyManager - hkey= - key= - File not found [2010-04-13 15:12:13 | 000,001,040 | ---- | C] () – C:\WINDOWS\System32\drivers\kgpcpy.cfg :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Files C:\0c9k.exe C:\1mteolu9.com C:\1ogf.exe C:\2id9.exe C:\2sm66r.exe C:\6p2dxv.bat C:\6phx.com C:\86l2qw.bat C:\8b3.bat C:\8gig0ofk.com C:\auq9bor.bat C:\ba.exe C:\be2trf.bat C:\c2e.exe C:\cr1s1.bat C:\ctu8r.exe C:\f2.bat C:\gclwpivc.cmd C:\gkc6.com C:\hjvjte.exe C:\husyu8n.exe C:\lad.bat C:\ml.com C:\nds0q.exe C:\p9dwwa61.exe C:\q8e6.bat C:\q9.cmd C:\qbr2q.exe C:\qothmn.cmd C:\qv9qc9f.exe C:\s3ek.exe C:\sp1jensi.exe C:\ste8.bat C:\upx.bat C:\uqgvf.exe C:\vlvtdflx.exe C:\xmcckw.bat C:\yudald.bat D:\0c9k.exe D:\1mteolu9.com D:\1ogf.exe D:\2id9.exe D:\2sm66r.exe D:\6p2dxv.bat D:\6phx.com D:\86l2qw.bat D:\8b3.bat D:\8gig0ofk.com D:\auq9bor.bat D:\ba.exe D:\be2trf.bat D:\c2e.exe D:\cr1s1.bat D:\ctu8r.exe D:\f2.bat D:\gclwpivc.cmd D:\gkc6.com D:\hjvjte.exe D:\husyu8n.exe D:\lad.bat D:\ml.com D:\nds0q.exe D:\p9dwwa61.exe D:\q8e6.bat D:\q9.cmd D:\qbr2q.exe D:\qothmn.cmd D:\qv9qc9f.exe D:\s3ek.exe D:\sp1jensi.exe D:\ste8.bat D:\upx.bat D:\uqgvf.exe D:\vlvtdflx.exe D:\xmcckw.bat D:\yudald.bat :Commands [emptytemp] [start explorer] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub Panda USB Vaccine .
Lub format.
Obydwa antyviry usunąłem, potem ściągnę jeden.
Pena wyczyściłem tym co sugerowałeś (flash disinfector).
Raport po usunięciu:
http://wklej.org/id/315164/
OTL:
http://wklej.org/id/315166/
Extras:
http://wklej.org/id/315167/
deFco247
(deFco247)
13 Kwiecień 2010 15:10
#8
Wklej jeszcze w OTL:
Run FIx , potem klikasz CleanUp gdyż nie ma nic więcej na usuwanie.
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
No i obowiązkowe aktualizacje:
XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)
Java 6 Update 19 + Opera 10.51.* + K-Lite Codec Pack 5.8.3
W Thunderbird: Pomoc -> Sprawdź dostępność aktualizacji…
To co napisales, zrobie juz w nocy. W razie gdyby Malwarebytes’ Anti-Malware cos jeszcze znalazl wkleje raport.
Jestem pod ogromnym wrazeniem i szczerze dziekuje.
Wielki, wielki szacun dla Ciebie za wiedze i pomoc!
pozdr
Maciek