Usunięty wirus - nadal kłopoty. Log z HijackThis


(Plopki) #1

Ostatnimi czasy zaczeły dziać się dziwne rzeczy z windowsem. Czasem nie można uruchomić programu (ze skrótu klawiszowego) a czasem uruchamiał sie dwa razy. Niektóre narzedzia do zarządzania autostartem (autoruns.exe) nie działają z niektórych kont (odmowa dostępu) podaczas gdy z innego działają. Oczywiście wszystkie konta mają uprawnienia amninistratora. Przeskanowałem MKS on-line i znalazł: Psw.Sboy.a , Psw.Win32.LMir.yff , Trojan.Agent.bck , Trojan.KillProc.AAA jak również Spyware.VBStat.h . Usunąłem wszystko, część ręcznie, bo nie wszystko mks był w stanie - przydał się tu Unlocker.

Jednak to nie pomogło - nadal podwójne uruchamia programy, jeśli tego nie uniemożliwiają same uruchamiane programy np. Opera.

Tym razem przeskanowałem Panda on-line znalazł jeszcze dodatkowo Spyware:Virtumonde. Ten okazał się odporny na program antywirusowy i niektóre pliki dał się usunąć dopiero po użyciu Gmera w trybie awaryjnym.

W tej chwili ani MKS, ani Panda nic nie znajdują (Kaspersky też nie) ale nadal zaraz po zalogowaniu otwiera się folder Moje Dokumenty i to 2x na kontach gdzie shellem jest explorer a jednokrotnie na moim koncie gdzie shellem jest Aston. Na moim koncie prawidłowo działają też skróty klawiaturowe a na innych w dalszym ciągu uruchamiają programy dwukrotnie. Od skrótów klawiaturowych jest ten sam program więc to nie wina programu.

Zasadnicze pytanie - jak pozbyc się tego że po zalogowaniu otwiera mi automatycznie folder Moje Dokumenty - myślę, że jak to naprawię to i reszta bedzie OK.

Log z HijackThis


(jessica) #2

Potem:

Sprawdź, czy wszystko działa, tak, jak powinno.

Jeśli dalej będzie jakiś problem, to:

sfiksuj te w/w wpisy:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Powtarzam: te sfiksuj tylko w przypadku, gdy problemy nie ustąpią po modyfikacji w rejestrze "shell" i "userinit".

jessi


(Plopki) #3

dodam jeszcze, że podejrzewam uszkodzenie pliku explorer.exe (lub raczej jakichś jego wpisów) bo na tym kompie ma niecały 1 MB podczas gdy na drugim (też z Windows XP SP2) ma 2,5 MB. Po podmianie plików sytuacja bez zmian.


(jessica) #4

W takim razie, oprócz tego, co napisałam wcześniej:

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.


(Plopki) #5

zmieniłem te dwa wpisy w regedit. Na moim koncie (tym z astonem) już wszystko OK. Na pozostałych (z explorerem) odpalały się Moje dokumenty ale już tylko raz. Musiałem na każdym z kont uruchomić HiJacka i skasować explorer.exe z klucza RUN. I już na pozostałych kontach też jest OK.

Pozostał tylko problem z podwójnym uruchomieniem ze skrótu klawiszowego wspomnianym programem Hotkeyb - na moim koncie jest OK a na drugim nadal odpala 2x wywołaną aplikację.

Podejrzewam, że po prostu skrót załapuje 2x. Czy jest możliwość ustawienia gdzieś (w Windowsie) opóźnień klawiatury. Są opcje w BIOSie płyty głównej i je włączyłem ale to nie pomogło. Po uruchomieniu notepada i przytrzymaniu klawisza literki nie pokazują się jakoś super szybko i w tym przypadku jakby to działało.

Złączono Posta : 14.10.2007 (Nie) 1:06

A wracając do explorer.exe to jaką wielkość powinien mieć? Mając jako shell astona nie jest dla mnie problemem podmiana pliku w katalogu windowsa i dllcache (pod warunkiem, że inni nie są zalogowani). Póki co mam wersję 2,5 MB którą zgrałem z laptopa, ale prawde powiedziawszy na nim tez może coś siedzieć. Nie sprawdzałem, bo i tak zamierzam robić na nim reinstall windowsów.

Złączono Posta : 14.10.2007 (Nie) 1:36

Oto rapotr z SDFix:

Według mnie wszystko OK. Plik explorer.exe pozostał 2,5 MB więc chyba dobry, za to plik explorer.scf zmniejszył się z 88 kB do 80 B !!

Co do podwójnego uruchamiania ze skrótu ustawiłem, żeby mógł uruchomić tylko jedną kopie programu i już jest OK. Później sprawdziłem ustawwienia na swoim koncie i okazało się że tak było ustawione - stąd najprawdopodobniej prawidłowe działanie skrótu na moim koncie.

Bardzo dziękuję za pomoc. Teraz system śmiga jak świeżo po instalce.


(jessica) #6

A wg mnie jeszcze nie wszystko jest OK, bo w raporcie SDFixa widzę pliki infekcji " VUNDO" i to całkiem świeże, bo ze środy i piątku.

Ściągnij -->ComboFix (na dole tej strony z linku). Uwaga - niektóre Antivirusy podnoszą fałszywy alarm na ComboFixa, więc trzeba Antivirusa chwilowo wyłączyć.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\orutv.bak1

C:\WINDOWS\system32\orutv.bak2

C:\WINDOWS\system32\wvx

C:\WINDOWS\system32\wvxneeji.exe

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj ten log z ComboFixa.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(Plopki) #7

A czy konieczne jest instalowanie ComboFixa? Nie wystarczy w Total Commanderze usunść te pliki bak (pozostałych nie mam na dysku - widocznie programy usunęły je wcześniej). Co do vundo to rzeczywiście w piątek mógł coś jeszcze działać - z tego co pamiętam w piątek wieczorem go usunąłem. Najciężej było usunąć iifefge.dll - tylko on wymagał uruchomienia gmera w trybie awaryjnym, reszta została skasowana przu użyciu unlockera.


(jessica) #8

Jeśli masz GMERa i Unlockera, to możesz oczywiście usuwać przy ich pomocy - dodatkowy usuwacz nie jest Ci potrzebny. :slight_smile:

jessi