Krassus
(Marek Krassus)
20 Czerwiec 2008 10:07
#1
Witam,
widziałem już na forum temat z prośbą o rozwiązanie problemu z tym trojanem (Win32:OnLineGames-DQP), jednak wygasł gdzieś po dwóch postach. Żaden ze znanych mi programów, nie jest w stanie usunąć tego czegoś.
Wzorem podobnych watkow na forum zainstalowalem HiJack. Tutaj jest log:
http://www.wklej.org/id/e4b37f584f
Proszę o pomoc w tej sprawie, komputer strasznie wolno działa, a potrzebuje go ciągle do pracy i nie mam czasu na ponowną instalację Windowsa.
Z góry dziękuje.
Marek
Krassus
(Marek Krassus)
20 Czerwiec 2008 11:35
#3
Mam komunikat błędu przy ComboFix:
“You cannot rename ComboFix as Combo-Fix”
huber2t
(huber2t)
20 Czerwiec 2008 11:58
#4
Spróbuj podczas pobierania zapisać nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:
Combo-Fix.exe
huber2t
(huber2t)
20 Czerwiec 2008 12:03
#6
A spróbuj nie zmieniac nazwy
huber2t
(huber2t)
20 Czerwiec 2008 12:15
#8
Podaj log z pliku main.txt z Deckard’s System Scanner
Krassus
(Marek Krassus)
20 Czerwiec 2008 12:52
#9
huber2t
(huber2t)
20 Czerwiec 2008 14:31
#10
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\system32\tfsdmz.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\pedadt.dll
C:\WINDOWS\system32\rfdswc.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\mtewdh.dll
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\ijsgajba.sys
C:\WINDOWS\system32\pzwmaime.sys
C:\WINDOWS\system32\toqnabib.sys
C:\WINDOWS\system32\tiwxattb.sys
C:\WINDOWS\system32\ngjxakin.sys
C:\WINDOWS\system32\wymxajkl.sys
C:\WINDOWS\system32\sqjsakaq.sys
C:\WINDOWS\system32\zyzxjime.dll
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\skqnbbib.dll
C:\WINDOWS\system32\opshbbty.dll
C:\WINDOWS\system32\rijxbkin.dll
C:\WINDOWS\system32\apfobdet.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\akjsckaq.dll
C:\WINDOWS\system32\oswxdttb.dll
C:\WINDOWS\system32\pjjxddwd.dll
C:\WINDOWS\system32\lofsdjbo.dll
C:\WINDOWS\system32\mpmydapi.dll
C:\WINDOWS\system32\zycbdime.dll
C:\WINDOWS\system32\mndhddwd.dll
C:\WINDOWS\system32\zptlcsys.dll
C:\WINDOWS\system32\ptjhehlp.dll
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\oohxdbyt.dll
C:\WINDOWS\system32\zxmscwin.dll
C:\WINDOWS\system32\apsgfjba.dll
C:\WINDOWS\system32\zywmgime.dll
C:\WINDOWS\system32\mpmygapi.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\ypdjgbmp.dll
C:\WINDOWS\system32\yzztimsn.dll
C:\WINDOWS\system32\yzztjmsn.dll
Folders to delete:
C:\found.000
C:\Program Files\ShoppingReport
Registry Keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18093456-9012-4568-9076-908765467181}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22023698-6984-8541-9654-698745012522}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22596546-2036-9451-6058-658402589722}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25FD6584-698F-BCD2-602C-698745210352}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E035987-F585-68D1-AC28-98FA58E459E2}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A908760-8000-4000-A000-9000322145A3}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{44FAE856-AD58-20CB-A025-CD4895FA6E44}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4629FF4F-ACDB-5C90-A098-FACB3456A264}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{470165F1-9F65-569F-F895-F14F58F41074}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A698102-5904-AFD0-20DF-CD1A65829CA4}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C648541-1025-9650-9057-6541258720C4}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{50940F85-F015-14F1-A05F-F69858AC6D05}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{528DF602-9541-A985-210A-984A698C6F25}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6A041F13-A111-12A3-B0CF-F99818AA68A6}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FD45A54-9875-698F-E56E-65102358FDF6}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7319A1F1-9410-9654-3201-345FFA349137}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7629FF4F-ACDB-5C90-A098-FACB3456A267}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9490415F-65F8-B5C5-D8BA-9405FB120549}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A490415F-65F8-B5C5-D8BA-9405FB12054A}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA59145F-315D-BC23-AC1F-145DF81A34AA}
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Leon1
(Leon$)
20 Czerwiec 2008 14:47
#11
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Potem nowy log DSS
Pobierz System Repair Engineer
http://www.cybertrash.pl/images/tata/Sy … ineer.html
przeskanuj daj log
Krassus
(Marek Krassus)
20 Czerwiec 2008 16:31
#12
log z Avangera:
http://www.wklej.org/id/17989e1b0d
kontynuje działania
W dniu 20.06.2008 , o godzinie 17:10 został dopisany post przez Krassus
Nowy log DSS:
http://www.wklej.org/id/4233d13dfb
W dniu 20.06.2008 , o godzinie 17:20 został dopisany post przez Krassus
a tu log z System Rapair Engeneer:
http://www.wklej.org/id/506f31dd40
komp mnie muli już, więc jest chyba jakiś progres
W dniu 20.06.2008 , o godzinie 18:31 został dopisany post przez Krassus
Panowie, jak dalsze działania wyglądają?
jessica
(jessica)
20 Czerwiec 2008 18:01
#13
widziałem już na forum temat z prośbą o rozwiązanie problemu z tym trojanem (Win32:OnLineGames-DQP), jednak wygasł gdzieś po dwóch postach. Żaden ze znanych mi programów, nie jest w stanie usunąć tego czegoś.
Jeszcze nikomu na świecie nie udało się usunąć na stałe tej chińskiej infekcji, więc tematy się kończą po kilku postach, bo następuje format dysku.
To się da usuwać, ale natychmiast się odradza od nowa.
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: >Avenger wklej do niego ten tekst:
Drivers to delete:
044c05d0595cc867
36494b5cd0a3a306
3aa5cf84b3e36698
3b3baf009d06f5d3
56b38398bf28eef9
771dbbd4669dfc1c
856f859c7b9e74da
8ae74a647804176f
8bf20cac89a2440f
a0d6dbdc8b21c735
a30d5d1cb308e7f3
a91b01609cae956b
b1e4880877f16b72
b6410c305eb1e0ec
b6d6ebac807f19fe
bfa07254761e1495
c63377bc26cd9255
d24ec0448d9878c4
e0900bb453c783a0
143e715c9230a698
S12345
Files to delete:
C:\WINDOWS\system32\kcomi32.dll
C:\WINDOWS\system32\drivers\Hdv32_c.sys
C:\WINDOWS\system32\MMKAFNFW1097.dll
C:\WINDOWS\system32\MMBAIKOK1092.dll
C:\WINDOWS\system32\drivers\Hdv32.sys
C:\WINDOWS\system32\spmybapi.sys
C:\WINDOWS\system32\simyaapi.exe
C:\WINDOWS\system32\sdjsakaq.sys
C:\WINDOWS\system32\mkjsakaq.exe
C:\WINDOWS\system32\oswxdttb.dll
C:\WINDOWS\system32\newxbttb.sys
C:\WINDOWS\system32\ghwxattb.exe
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\posqatyu.exe
C:\WINDOWS\system32\cgsqatyu.sys
C:\WINDOWS\system32\tjfyabyt.exe
C:\WINDOWS\system32\snfybbyt.sys
C:\WINDOWS\system32\ozfyebyt.dll
C:\WINDOWS\system32\zsdjabmp.exe
C:\WINDOWS\system32\ypdjgbmp.dll
C:\WINDOWS\system32\xsdjbbmp.sys
C:\WINDOWS\system32\rnmxajkl.sys
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\lpmxajkl.exe
C:\WINDOWS\system32\zxcsahlp.exe
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\xzcsbhlp.sys
C:\WINDOWS\system32\lpsgajba.exe
C:\WINDOWS\system32\gpsgajba.sys
C:\WINDOWS\system32\apsgfjba.dll
C:\WINDOWS\system32\fzmsbwin.sys
C:\WINDOWS\system32\axmsawin.exe
C:\WINDOWS\system32\fstlbsys.sys
C:\WINDOWS\system32\aitlasys.exe
C:\WINDOWS\system32\pldhadwd.exe
C:\WINDOWS\system32\gsdhadwd.sys
C:\WINDOWS\system32\zxmsdwin.dll
C:\WINDOWS\system32\stjxakin.exe
C:\WINDOWS\system32\erjxakin.sys
C:\WINDOWS\system32\fxwmbime.sys
C:\WINDOWS\system32\azwmaime.exe
C:\WINDOWS\system32\xbfsbjbo.sys
C:\WINDOWS\system32\tpfsajbo.exe
C:\WINDOWS\system32\fxzxbime.sys
C:\WINDOWS\system32\azzxaime.exe
C:\WINDOWS\system32\zaztamsn.exe
C:\WINDOWS\system32\xfztbmsn.sys
C:\WINDOWS\system32\fxcbbime.sys
C:\WINDOWS\system32\azcbaime.exe
C:\WINDOWS\system32\smhxbbyt.sys
C:\WINDOWS\system32\jbhxabyt.exe
C:\WINDOWS\system32\dfqnabib.exe
C:\WINDOWS\system32\aoqnabib.sys
C:\WINDOWS\system32\jashbbty.sys
C:\WINDOWS\system32\etshabty.exe
C:\WINDOWS\system32\lpfoadet.exe
C:\WINDOWS\system32\gpfoadet.sys
C:\WINDOWS\system32\ysjxbdwd.sys
C:\WINDOWS\system32\lojxadwd.exe
C:\WINDOWS\system32\spjhahlp.exe
C:\WINDOWS\system32\pmjhbhlp.sys
C:\WINDOWS\system32\smmhbsrv.sys
C:\WINDOWS\system32\ismhasrv.exe
C:\WINDOWS\system32\sqjsakaq.sys
C:\WINDOWS\system32\tiwxattb.sys
C:\WINDOWS\system32\wymxajkl.sys
C:\WINDOWS\system32\ijsgajba.sys
C:\WINDOWS\system32\zptlcsys.dll
C:\WINDOWS\system32\mpacklk.exe
C:\WINDOWS\system32\mpackl.dll
C:\WINDOWS\system32\MMSADZFB1073.exe
C:\WINDOWS\system32\MMSADZFB1073.dll
C:\WINDOWS\system32\MMKAFNFW1102.exe
C:\WINDOWS\system32\MMKAFNFW1102.dll
C:\WINDOWS\system32\MMFKKLJK1096.dll
C:\WINDOWS\system32\MMKAFNFW1100.dll
C:\WINDOWS\system32\pzcbaime.sys
C:\WINDOWS\system32\kcomi32.exe
C:\WINDOWS\system32\kcoin32.exe
C:\WINDOWS\system32\kcoim32.exe
C:\WINDOWS\system32\midimapwl.dat
C:\WINDOWS\system32\midimapzx.dat
C:\WINDOWS\system32\csrsrvmy.dll
C:\WINDOWS\system32\rasmanqn3.dll
C:\WINDOWS\system32\midimapqn3.dat
C:\WINDOWS\system32\mprapimy.dll
C:\WINDOWS\system32\midimapmy.dat
C:\WINDOWS\system32\midimappt.dat
C:\WINDOWS\system32\kbdswjr.dll
C:\WINDOWS\system32\midimapcq.dat
C:\WINDOWS\system32\midimapjr.dat
C:\WINDOWS\system32\midimapgj.dat
C:\WINDOWS\system32\midimaptl.dat
C:\WINDOWS\system32\midimapqn3.dll
C:\WINDOWS\system32\midimapgj.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\midimappt.dll
C:\WINDOWS\system32\midimapjr.dll
C:\WINDOWS\system32\midimapwl.dll
C:\WINDOWS\system32\midimapcq.dll
C:\WINDOWS\system32\midimapwd.dll
C:\WINDOWS\system32\midimapwd.dat
C:\WINDOWS\system32\midimapmy.dll
C:\WINDOWS\system32\midimaptl.dll
C:\WINDOWS\system32\akjsckaq.dll
C:\143e715c9230a698.dat
E:\S12345.SYS
C:\e0900bb453c783a0.dat
C:\d24ec0448d9878c4.dat
C:\c63377bc26cd9255.dat
C:\bfa07254761e1495.dat
C:\b6d6ebac807f19fe.dat
C:\b6410c305eb1e0ec.dat
C:\b1e4880877f16b72.dat
C:\a91b01609cae956b.dat
C:\a30d5d1cb308e7f3.dat
C:\a0d6dbdc8b21c735.dat
C:\8bf20cac89a2440f.dat
C:\8ae74a647804176f.dat
C:\856f859c7b9e74da.dat
C:\771dbbd4669dfc1c.dat
C:\56b38398bf28eef9.dat
C:\3b3baf009d06f5d3.dat
C:\3aa5cf84b3e36698.dat
C:\36494b5cd0a3a306.dat
C:\044c05d0595cc867.dat
Folders to delete:
C:\WINDOWS\Temp
C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Temp
C:\Documents and Settings\Marek Krassus\Ustawienia lokalne\Dane aplikacji\TEMP
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapcq
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapwl
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | csrsrvmy
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapwd
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimaptl
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapgj
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | kbdswjr
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | mprapimy
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapqn3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapmy
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapjr
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimappt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | rasmanqn3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | midimapzx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce | svc
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | kcomi
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6C8D1401-A58D-A81C-CD24-A5915C4517C6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6C8D1401-A58D-A81C-CD24-A5915C4517C6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0017-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6A041F13-A111-12A3-B0CF-F99818AA68A6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0015-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4C648541-1025-9650-9057-6541258720C4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0018-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0023-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {35671234-7890-ABCD-CDEF-567801237653}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9A59145F-315D-BC23-AC1F-145DF81A34A9}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {3A698102-5904-AFD0-20DF-CD1A65829CA3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {528DF602-9541-A985-210A-984A698C6F25}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {44FAE856-AD58-20CB-A025-CD4895FA6E44}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6319A1F1-9410-9654-3201-345FFA349136}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0004-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {8490415F-65F8-B5C5-D8BA-9405FB120548}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {2E035987-F585-68D1-AC28-98FA58E459E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4A069845-2036-6084-9054-6087502480A4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {25FD6584-698F-BCD2-602C-698745210352}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {3FD45A54-9875-698F-E56E-65102358FDF3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {22596546-2036-9451-6058-658402589722}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {18093456-9012-4568-9076-908765467181}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {33512378-9874-5641-1025-985420368733}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {370165F1-9F65-569F-F895-F14F58F41073}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {17AC9076-C898-B098-D098-A18319080971}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {81954FAC-1023-154F-895A-1458258AD818}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {22023698-6984-8541-9654-698745012522}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7C8D1401-A58D-A81C-CD24-A5915C4517C7}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9490415F-65F8-B5C5-D8BA-9405FB120549}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4FD45A54-9875-698F-E56E-65102358FDF4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {AA59145F-315D-BC23-AC1F-145DF81A34AA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0012-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5A069845-2036-6084-9054-6087502480A5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {470165F1-9F65-569F-F895-F14F58F41074}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {43512378-9874-5641-1025-985420368734}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4629FF4F-ACDB-5C90-A098-FACB3456A264}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {18e64250-19a8-4d10-828f-30e101a22291}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4A698102-5904-AFD0-20DF-CD1A65829CA4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5FD45A54-9875-698F-E56E-65102358FDF5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7319A1F1-9410-9654-3201-345FFA349137}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {91954FAC-1023-154F-895A-1458258AD819}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0021-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0005-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0003-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {4F4F0064-71E0-4f0d-0022-708476C7815F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {1c59fa6d-05df-4028-a548-344d01a0bb2f}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {37AC9076-C898-B098-D098-A18319080973}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {50940F85-F015-14F1-A05F-F69858AC6D05}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {6FD45A54-9875-698F-E56E-65102358FDF6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7629FF4F-ACDB-5C90-A098-FACB3456A267}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {ab5f91ae-daae-4472-b6ce-53755ce06a2a}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {00120012-0012-0012-0012-00120012BB15}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {00150015-0015-0015-0015-00150015BB15}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {aa8ad0dd-4368-4e7b-bc12-bd8c2a600377}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {A490415F-65F8-B5C5-D8BA-9405FB12054A}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {00220022-0022-0022-0022-00220022BB15}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {3A908760-8000-4000-A000-9000322145A3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7A041F13-A111-12A3-B0CF-F99818AA68A7}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {461D2AB4-29A5-45C2-9134-D52272D3DE38}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {EB71E0B3-E97D-4D30-8733-E28266467617}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {5E907A48-400E-4EA8-9792-FFAE052D59E9}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {875E07B1-0614-43D9-A76E-D76A28AB3D7B}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {189F087F-4378-405F-85FA-37D955AD7A8C}
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18093456-9012-4568-9076-908765467181}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22023698-6984-8541-9654-698745012522}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22596546-2036-9451-6058-658402589722}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25FD6584-698F-BCD2-602C-698745210352}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35671234-7890-ABCD-CDEF-567801237653}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37AC9076-C898-B098-D098-A18319080973}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A908760-8000-4000-A000-9000322145A3}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43512378-9874-5641-1025-985420368734}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44FAE856-AD58-20CB-A025-CD4895FA6E44}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4629FF4F-ACDB-5C90-A098-FACB3456A264}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{470165F1-9F65-569F-F895-F14F58F41074}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4A698102-5904-AFD0-20DF-CD1A65829CA4}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4C648541-1025-9650-9057-6541258720C4}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50940F85-F015-14F1-A05F-F69858AC6D05}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{528DF602-9541-A985-210A-984A698C6F25}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A069845-2036-6084-9054-6087502480A5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A041F13-A111-12A3-B0CF-F99818AA68A6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6FD45A54-9875-698F-E56E-65102358FDF6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7319A1F1-9410-9654-3201-345FFA349137}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7629FF4F-ACDB-5C90-A098-FACB3456A267}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C8D1401-A58D-A81C-CD24-A5915C4517C7}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{91954FAC-1023-154F-895A-1458258AD819}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9490415F-65F8-B5C5-D8BA-9405FB120549}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A490415F-65F8-B5C5-D8BA-9405FB12054A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA59145F-315D-BC23-AC1F-145DF81A34AA}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A041F13-A111-12A3-B0CF-F99818AA68A7}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5428486-50A0-4a02-9D20-520B59A9F9B2}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5428486-50A0-4a02-9D20-520B59A9F9B3}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
Kliknij w “Execute” i zatwierdź restart komputera.
Zrestartuj komputer. Raport z Avengera znajduje się w C:\avenger.txt .
Daj też nowy log z DSS, ale usuń ten DSS, który masz, i ściągnij od nowa, bo po pierwszym użyciu DSS nie pokazuje niektórych “rzeczy”.
Spróbuj też usunąć ComboFix i ściągnąć go w Trybie Awaryjnym z obsługą sieci.
jessi
Leon1
(Leon$)
20 Czerwiec 2008 19:44
#14
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
Potem nowy DSS i System Repair Engineer
Fix poprawiony
jessica
(jessica)
21 Czerwiec 2008 05:31
#15
@ Leon$ - podanyprzez Ciebie " FIX.REG " jest błędny!
Po pierwsze - klucze BHO są nieprawidłowo napisane w efekcie żaden z tych 33 kluczy nie usunie się.
Po drugie: usunięcie całego klucza " AppInit_DLLs " może uszkodzić System. Trzeba podawać od razu także " AppInit_DLLs"=""
Wyjątek: Tylko w Avengerze można zapisywać to w postaci trochę podobnej do podanej przez Ciebie.
jessi
djarta
(djarta)
21 Czerwiec 2008 06:57
#16
Użyj
Tu masz linka. http://www.forum.idg.pl/lofiversion/ind … 18804.html
UWAGA!Skan może trwać wiele GODZIN!!
Leon1
(Leon$)
21 Czerwiec 2008 09:25
#17
Dziękuję za zwrócenie uwagi fix poprawiłem
Krassus
(Marek Krassus)
21 Czerwiec 2008 12:31
#18
Witam po przerwie
to co się dzieje na forum to dla mnie wyższa matematyka jest. oczywiście postępować według procedury i jasnych instrukcji jest łatwo, ale pytanie na ile gra warta jest świeczki jeśli to chińskie dziadostwo się wciąż odradza.
Wpisując w google nazwe któregoś .dll wykrytego przez Avast, znalazłem info na forum, że akurat w tamtym przypadku trojan się odrodził nawet po reinstalce windows.
co radzicie? na ile jest sens używać kolejnych narzędzi i angażować forumowiczów a na ile zrobić backup i postawić na nowo system? przypuszczalnie to i to zajmu tyle samo czasu.
w ogóle dzięki za pomoc i czekam na radę.
Pozdrawiam
W dniu 21.06.2008 , o godzinie 14:01 został dopisany post przez Krassus
jessica:
w jaki sposób usunąć Combo, jest na to chyba jakaś komenda? i w jaki sposób i skąd sciągnąć tą wersję z obsługą sieci?
tutaj log nowego DSS:
http://www.wklej.org/id/07331bcd4d
oraz avengera:
http://www.wklej.org/id/4ee7d32aba
W dniu 21.06.2008 , o godzinie 14:31 został dopisany post przez Krassus
Leon zrobiłem wszytko wg. instrukcji.
tutaj logi:
Avenger http://www.wklej.org/id/56bbdbb089
DSS http://www.wklej.org/id/0be3233cf7
Engeneer http://www.wklej.org/id/d73843dd28
Leon1
(Leon$)
21 Czerwiec 2008 13:38
#19
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
potem log DSS i System Repair Engineer
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
Krassus
(Marek Krassus)
21 Czerwiec 2008 14:04
#20