Uruchamia się jakiś dziwny anty wirus

donprezesso · 2 Czerwiec 2010 19:11

komputer wariuje coś skanuje otwiera strony jakieś dziwne programy. jednym słowem tragedia. Jakie logi podać?

– Dodane 02.06.2010 (Śr) 21:18 –

chciałem zrobić OTL ale nie pozwala mi go uruchomić wmawia mi że jest zainfekowany i wywala :oops:

Kamil2993 · 2 Czerwiec 2010 19:30

Podaj loga z programu HiJackThis oraz jak się uda Combofix .

donprezesso · 2 Czerwiec 2010 19:43

nie pozwala mi nic uruchomić

jaco97 · 2 Czerwiec 2010 19:48

Spróbuj w trybie awaryjnym, przy wgrywaniu windowsa(a nawet przed) wciśnij chyba F5 i wybierz tryb awaryjny.

deFco247 · 2 Czerwiec 2010 19:51

HijackThis to log zabroniony. Ponadto uruchamianie Combofixa bez uprzedniego wglądu system innymi narzędziami jest również zabronione.

donprezesso , zastosuj rkill.pif, następnie pobierz Malwarebytes’ Anti-Malware, zainstaluj i wykonaj pełny skan.

Znalezione obiekty usuń.

donprezesso · 2 Czerwiec 2010 19:57

wmiedzy czasie udało mi się odpalić hijackthis musiałem to zrobic przy uruchamianiu się zanim do dziadostwo się odpaliło

http://www.wklej.org/id/344283/

zaraz potrenuje z rkill

deFco247 · 2 Czerwiec 2010 20:03

Mam poważne podejrzenia co do obecności tutaj infekcji Sality.

Zamiast skanowania MBAM zaprezentuj jeszcze log z DDS.

donprezesso · 2 Czerwiec 2010 20:16

OTL log:

http://www.wklej.org/id/344291/

warlord · 2 Czerwiec 2010 20:24

a dasz rade odpalić http://www.dobreprogramy.pl/Process-Explorer,Program,Windows,12562.html?

deFco247 · 2 Czerwiec 2010 20:33

Wprawdzie Sality tutaj nie ma, ale i tak nawał infekcji jest konkretny i boję się, że OTL sobie z tym nie poradzi.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes killallprocesses :OTL MOD - [2010-06-02 21:01:46 | 000,075,776 | RHS- | M] () – C:\Documents and Settings\p\Local Settings\Temp\dsoqq0.dll MOD - [2009-03-21 15:18:57 | 000,040,448 | -HS- | M] () – C:\WINDOWS\system32\notepad.dll O2 - BHO: (C:\WINDOWS\system32\j3dbppb.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\j3dbppb.dll () O4 - HKLM…\Run: [dxxnimactyu] C:\WINDOWS\System32\xrjmcnlwoxgan.dll () O4 - HKLM…\Run: [llicskim] C:\Documents and Settings\p\Local Settings\Application Data\gjsglhfhs\vnkiheftssd.exe () O4 - HKLM…\Run: [MChk] C:\WINDOWS\system32\lmxlkeqs.exe () O4 - HKLM…\Run: [net] C:\WINDOWS\System32\net.net (Privat) O4 - HKLM…\Run: [notepad] C:\WINDOWS\System32\notepad.DLL () O4 - HKLM…\Run: [skb] C:\WINDOWS\System32\oharjidy.dll () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [{70BC005F-1D2A-7F03-AD5C-FA16C9359DD6}] C:\Documents and Settings\p\Application Data\Omzi\kuyz.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [{E0F43083-7E97-5DD2-DD5C-BBBBF6E45B2D}] C:\Documents and Settings\p\Application Data\Asowr\unluc.exe (Tewoleocibtoce) O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [cdoosoft] C:\Documents and Settings\p\Local Settings\Temp\herss.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [dso32] C:\Documents and Settings\p\Local Settings\Temp\dsoqq.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [hsfe8owijfisjhgs7ye39gjsoighsd7y3eu] C:\Documents and Settings\p\Local Settings\Temp\n9xbqb.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [hsfg9w8gujsokgahi8gysgnsdgefshyjy] C:\Documents and Settings\p\Local Settings\Temp\winamp.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [llicskim] C:\Documents and Settings\p\Local Settings\Application Data\gjsglhfhs\vnkiheftssd.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [M5T8QL3YW3] C:\Documents and Settings\p\Local Settings\Temp\Izd.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [mcexecwin] C:\Documents and Settings\p\Local Settings\Temp\ccpfamhm5.dll () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [nod32] C:\Documents and Settings\p\Local Settings\Temp\nodqq.exe () O4 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004…\Run: [notepad] C:\Documents and Settings\NetworkService\ntload.dll () O4 - Startup: C:\Documents and Settings\p\Start Menu\Programs\Startup\Antimalware Doctor.lnk = C:\Documents and Settings\p\Application Data\293B866B48C19B4AC31692F4D42E2541\gotnewupdate000.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1060284298-1177238915-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\j3dbppb.dll () O32 - AutoRun File - [2010-06-02 21:05:10 | 000,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-06-02 21:05:10 | 000,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-06-02 21:05:10 | 000,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] [2010-06-02 09:08:43 | 000,000,000 | —D | C] – C:\Documents and Settings\p\Application Data\Street-Ads [2010-06-02 09:08:43 | 000,000,000 | —D | C] – C:\Documents and Settings\p\Application Data\Sky-Banners [2010-06-02 09:08:38 | 000,000,000 | —D | C] – C:\Documents and Settings\p\Local Settings\Application Data\gjsglhfhs [2010-06-02 09:08:30 | 000,000,000 | —D | C] – C:\Program Files$NtUninstallWTF1012$ [2010-06-02 09:07:27 | 000,000,000 | —D | C] – C:\Documents and Settings\p\Application Data\293B866B48C19B4AC31692F4D42E2541 [2010-06-02 09:07:17 | 000,036,493 | ---- | C] (Privat) – C:\WINDOWS\System32\net.net [2010-05-18 23:53:46 | 000,000,000 | —D | C] – C:\Documents and Settings\p\Application Data\Mikyix [2010-06-02 21:02:09 | 000,000,266 | -H-- | M] () – C:\WINDOWS\tasks{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010-06-02 20:50:48 | 000,000,262 | -H-- | M] () – C:\WINDOWS\tasks\MSWD-d11d06a4.job [2010-06-02 20:50:30 | 000,000,190 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job :Reg [-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportMgmtService.exe] [-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportService.exe] :Files C:\WINDOWS\System32\zwavtuecoc.exe C:\WINDOWS\Irylia.exe C:\WINDOWS\System32\ernel32.dll C:\Documents and Settings\p\Application Data\d11d06a4.exe C:\WINDOWS\System32\net.net C:\WINDOWS\EPISME00.SWB C:\WINDOWS\System32\udrbxnuu.dll C:\WINDOWS\System32\lmxlkeqs.exe C:\0fpdq2dw.exe C:\12gn6id2.exe C:\1hqup.exe C:\1thes92p.exe C:\31lyx.exe C:\33r.exe C:\3dcs9.exe C:\62.exe C:\8xcrbho6.exe C:\9d6tpg.exe C:\9fo3ar0j.exe C:\9qqigqwf.exe C:\9rfpp.exe C:\9xf8.exe C:\affi8l.exe C:\bbjl2g.exe C:\bu8.exe C:\bveijo.exe C:\c2e.exe C:\ca.exe C:\cgaqyi.exe C:\cobn8w3.exe C:\df.exe C:\e9naq.exe C:\eer6ril9.exe C:\f2kmj.exe C:\f662sjd.exe C:\fk.exe C:\ggpw.exe C:\h0.exe C:\hc3hvi0.exe C:\i8ikdjwt.exe C:\iuvvl9f3.exe C:\ji83j.exe C:\k1d.exe C:\kmj.exe C:\mh.exe C:\mi9al8rs.exe C:\mvmdh.exe C:\nhx.exe C:\p3vwxx.exe C:\p6xebrnt.exe C:\p9rs.exe C:\q0wfr.exe C:\qhbfqx.exe C:\qkm.exe C:\rhwhin.exe C:\rpw.exe C:\s1.exe C:\sywyrl0q.exe C:\tgt.exe C:\twhvna.exe C:\vgyn6ewc.exe C:\wa.exe C:\wkimt.exe C:\ws.exe C:\y.exe C:\y6cqb2is.exe D:\0fpdq2dw.exe D:\12gn6id2.exe D:\1hqup.exe D:\1thes92p.exe D:\31lyx.exe D:\33r.exe D:\3dcs9.exe D:\62.exe D:\8xcrbho6.exe D:\9d6tpg.exe D:\9fo3ar0j.exe D:\9qqigqwf.exe D:\9rfpp.exe D:\9xf8.exe D:\affi8l.exe D:\bbjl2g.exe D:\bu8.exe D:\bveijo.exe D:\c2e.exe D:\ca.exe D:\cgaqyi.exe D:\cobn8w3.exe D:\df.exe D:\e9naq.exe D:\eer6ril9.exe D:\f2kmj.exe D:\f662sjd.exe D:\fk.exe D:\ggpw.exe D:\h0.exe D:\hc3hvi0.exe D:\i8ikdjwt.exe D:\iuvvl9f3.exe D:\ji83j.exe D:\k1d.exe D:\kmj.exe D:\mh.exe D:\mi9al8rs.exe D:\mvmdh.exe D:\nhx.exe D:\p3vwxx.exe D:\p6xebrnt.exe D:\p9rs.exe D:\q0wfr.exe D:\qhbfqx.exe D:\qkm.exe D:\rhwhin.exe D:\rpw.exe D:\s1.exe D:\sywyrl0q.exe D:\tgt.exe D:\twhvna.exe D:\vgyn6ewc.exe D:\wa.exe D:\wkimt.exe D:\ws.exe D:\y.exe D:\y6cqb2is.exe E:\0fpdq2dw.exe E:\12gn6id2.exe E:\1hqup.exe E:\1thes92p.exe E:\31lyx.exe E:\33r.exe E:\3dcs9.exe E:\62.exe E:\8xcrbho6.exe E:\9d6tpg.exe E:\9fo3ar0j.exe E:\9qqigqwf.exe E:\9rfpp.exe E:\9xf8.exe E:\affi8l.exe E:\bbjl2g.exe E:\bu8.exe E:\bveijo.exe E:\c2e.exe E:\ca.exe E:\cgaqyi.exe E:\cobn8w3.exe E:\df.exe E:\e9naq.exe E:\eer6ril9.exe E:\f2kmj.exe E:\f662sjd.exe E:\fk.exe E:\ggpw.exe E:\h0.exe E:\hc3hvi0.exe E:\i8ikdjwt.exe E:\iuvvl9f3.exe E:\ji83j.exe E:\k1d.exe E:\kmj.exe E:\mh.exe E:\mi9al8rs.exe E:\mvmdh.exe E:\nhx.exe E:\p3vwxx.exe E:\p6xebrnt.exe E:\p9rs.exe E:\q0wfr.exe E:\qhbfqx.exe E:\qkm.exe E:\rhwhin.exe E:\rpw.exe E:\s1.exe E:\sywyrl0q.exe E:\tgt.exe E:\twhvna.exe E:\vgyn6ewc.exe E:\wa.exe E:\wkimt.exe E:\ws.exe E:\y.exe E:\y6cqb2is.exe :Commands [emptytemp] [Purity] [start explorer] [Reboot]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

donprezesso · 2 Czerwiec 2010 20:35

dds

http://www.wklej.org/id/344295/

deFco247 · 2 Czerwiec 2010 20:38

Wykonaj to co napisałem wyżej. Log DDS raczej nie potwierdza niczego, gdyż nie pokazał sekcji usług.

donprezesso · 2 Czerwiec 2010 20:43

z usuwania

http://www.wklej.org/id/344299/

deFco247 · 2 Czerwiec 2010 20:48

Wygląda na to, że wszystko się udało. Pokaż jeszcze nowy log OTL.

No i jak już to proszę wstawiać wszystkie wymagane logi za jednym razem, a nie jeden po drugim.

donprezesso · 2 Czerwiec 2010 20:50

Otl:

http://www.wklej.org/id/344300/

deFco247 · 2 Czerwiec 2010 20:57

Teraz montuj taki skrypt do OTL-a:

Run FIx , po tym pokazujesz raport z usuwania oraz nowy log OTL.

Dodatkowo zaprezentuj raport ze skanowania USBFix z opcji Listing.

Przy skanowaniu koniecznie podłącz wszystkie posiadane pamięci przenośne.

donprezesso · 15 Czerwiec 2010 21:06

usbfix: http://www.wklej.org/id/351498/

otlfix log: http://www.wklej.org/id/351500/

otl: http://www.wklej.org/id/351502/

deFco247 · 16 Czerwiec 2010 13:55

W systemie kompletna masakra. Na dyskach D: i E: istna armia infekcji - ponad 100 plików trojanów na każdym.

Na dodatek jest tutaj infekcja podmieniająca wszystkie pliki programów zawartych w autostarcie, więc będzie trzeba robić usuwanie dwuetapowe.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

Zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

donprezesso · 16 Czerwiec 2010 22:20

podczas skanowania zapomniałem o jednyp programie który uruchamia sie przy starce.

http://www.wklej.org/id/352049/

o to z otl:

http://www.wklej.org/id/352051/

http://www.wklej.org/id/352056/

deFco247 · 17 Czerwiec 2010 11:23

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _