skanowałam dziś online (panda) i wyskoczyło mi takie cudo
W32/Lineage.KHP.worm
- c:\autorun.inf
mam na kompie Kaspersky’ego ale on mi nic nie wykrył, pokazuję, że komp jest czysty
prosze oto log z Hijack This,
prosze o pomoc;)
skanowałam dziś online (panda) i wyskoczyło mi takie cudo
W32/Lineage.KHP.worm
mam na kompie Kaspersky’ego ale on mi nic nie wykrył, pokazuję, że komp jest czysty
prosze oto log z Hijack This,
prosze o pomoc;)
HijackThis tego pliku w ogóle nie widzi.
Pokaż logi z narzędzi:
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan.
mam tylko OTL http://wklejto.pl/57326
System Repair Engineer - nie mam tego rozszerzenia , żeby to otworzyć niestety
– Dodane 11.02.2010 (Cz) 20:16 –
http://wklejto.pl/57331 - zapomniałam o tym;)
Przecież to jest najpospolitsze w Windowsach archiwum ZIP. Domyślnie posiada on wbudowaną obsługę tych archiwów. Nie masz w systemie programu pokroju WinRAR lub 7-Zip ??
Dołącam więc do skryptu fix dla rozszerzenia ZIP.
W białe dolne okno Custom Scans/Fixes w OTL wklej bez frazy Code:
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.tattoodle.com?tid={E94CDDB1-A775-4639-BFD5-225521E3BFBF}
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
[2009-10-16 12:31:59 | 000,003,700 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fast.png
[2009-10-16 12:32:00 | 000,001,963 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fast.xml
O2 - BHO: (BrowserHelper Class) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - C:\Program Files\SGPSA\SearchAssistant.dll (Make The Web Better, LLC)
O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll (MTWB)
O4 - HKLM..\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe ()
O4 - HKLM..\Run: [SGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe ()
O32 - AutoRun File - [2010-01-11 12:51:15 | 000,000,063 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2010-01-11 12:51:15 | 000,000,063 | RHS- | M] () - D:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2010-01-11 12:51:15 | 000,000,063 | RHS- | M] () - E:\autorun.inf -- [NTFS]
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_CLASSES_ROOT\.zip]
@="CompressedFolder"
"Content Type"="application/x-zip-compressed"
[HKEY_CLASSES_ROOT\.zip\CompressedFolder]
[HKEY_CLASSES_ROOT\.zip\CompressedFolder\ShellNew]
"Data"=hex:50,4b,05,06,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_CLASSES_ROOT\.zip\OpenWithProgids]
"CompressedFolder"=""
[HKEY_CLASSES_ROOT\.zip\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\CompressedFolder]
"EditFlags"=dword:00000000
"BrowserFlags"=dword:00000008
"AlwaysShowExt"=""
@="Compressed (zipped) Folder"
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
32,00,5c,00,7a,00,69,00,70,00,66,00,6c,00,64,00,72,00,2e,00,64,00,6c,00,6c,\
00,2c,00,2d,00,31,00,30,00,31,00,39,00,35,00,00,00
[HKEY_CLASSES_ROOT\CompressedFolder\CLSID]
@="{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}"
[HKEY_CLASSES_ROOT\CompressedFolder\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,7a,00,69,00,\
70,00,66,00,6c,00,64,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
[HKEY_CLASSES_ROOT\CompressedFolder\Shell]
@=""
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find]
"SuppressionPolicy"=dword:00000080
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\command]
@=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,45,\
00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,65,00,00,00
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\ddeexec]
@="[FindFolder(\"%l\", %I)]"
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\ddeexec\application]
@="Folders"
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\find\ddeexec\topic]
@="AppProperties"
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open]
"BrowserFlags"=dword:00000010
"ExplorerFlags"=dword:00000012
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\Command]
@="rundll32.exe zipfldr.dll,RouteTheCall %L"
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec]
@="[ViewFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec\application]
@="Folders"
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec\ifexec]
@="[]"
[HKEY_CLASSES_ROOT\CompressedFolder\Shell\Open\ddeexec\topic]
@="AppProperties"
[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx]
[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\ContextMenuHandlers]
[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\ContextMenuHandlers\ICQMenu]
@="{f802f260-519b-11d1-bb5d-0060974c6013}"
[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\ContextMenuHandlers\{b8cdcb65-b1bf-4b42-9428-1dfdb7ee92af}]
@="Compressed (zipped) Folder Menu"
[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\DropHandler]
@="{ed9d80b9-d157-457b-9192-0e7280313bf0}"
[HKEY_CLASSES_ROOT\CompressedFolder\ShellEx\StorageHandler]
@="{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}"
:Files
C:\Program Files\SGPSA
C:\Program Files\Search Guard Plus
C:\Program Files\Search Guard PlusU
C:\Program Files\Fast Browser Search
:Commands
[emptytemp]
[Reboot]
Run Fix. Restart.
Potem log z usuwania oraz nowy log robiony opcją Run Scan.
sory pokręciłam, mam WinRAR-a, ale Kaspersky blokuje mi otworzenie się SRE, w takim wypadku nadal mam postąpić jak pisałeś powyżej??
W takim razie wyłącz Kasperskiego, bo on może przeszkodzić również w działaniu OTL-a.
W takim razie zamiast powyższego skryptu użyj tego:
http://wklejto.pl/57343 - z usuwania
http://wklejto.pl/57344 - Run scan (użyłam tego samego do wklejenia<
netsvcs
msconfig
safebootminimal
safebootnetwork
%systemdrive%*.*
/md5start
agp440.sys
atapi.sys
beep.sys
ndis.sys
winlogon.exe
userinit.exe
/md5stop
chyba dobrze??)
– Dodane 11.02.2010 (Cz) 21:52 –
skanuję jeszcze raz pandą i znalazło mi jeszcze raz ten syf, ale w innej lokalizacji.
W32/Lineage.KHP.worm
1. c:\system volume information_restore{fe779c3…8c-6acf4a0283f8}\rp161\a0027283.inf
w tym momencie przerwałam skanowanie.
Dodam, że
W32/Lineage.KHP.worm
1. c:\autorun.inf
nie pokazuje mi się już w wykrytych.
Nie wiem, czy to ma coś do rzeczy, ale jakieś dwa dni temu Kaspersky na każdym dysku znalazł mi
Zainfekowany: Koń trojański Trojan-GameThief.Win32.Magania.cses
e:\system volume information_restore{fe779c3d-1297-4464-b08c-6acf4a0283f8}\rp161\a0027286.exe 112 kB
c:\system volume information_restore{fe779c3d-1297-4464-b08c-6acf4a0283f8}\rp161\a0027282.exe 112 kB
d:\system volume information_restore{fe779c3d-1297-4464-b08c-6acf4a0283f8}\rp161\a0027284.exe 112 kB
c:\documents and settings\kasiunia\ustawienia lokalne\temp\cvasds0.dll 93 kB
oczywiście pousuwałam je.
http://wklejto.pl/57387 - cały skan ‘pandą’
następnie jak włączyłam i wyłączyłam przywracanie systemu po skanowaniu wyszło coś takiego: http://wklejto.pl/57388
wiem, że ciasteczka to nic takiego, ale został jeszcze autorun na dysku C w OTL\moovedfiles. Co z tym teraz począć??
W logu już jest czysto.
W OTL kliknij CleanUp.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Zastosuj Panda USB Vaccine.
dziękować mam jeszcze pytanie, dotyczące mojej mp3, jest to walkman NWZ-B142 firmy Sony, nie wiem co jest nie tak, ale podłączając ją do kompa nie pokazuje sęięjako dysk wymienny tylko w kategorii “inne”. W tym nie tkwi problem, chodzi o to, że za żadnego czorta nie mogę jej przeskanować, ani z poziomu antywirusa wybierając lokalizację, ani klikając prawym przyciskiem myszy. Tak jakby Kaspersky, nie widział w ogóle tego urządzania.
– Dodane 12.02.2010 (Pt) 17:07 –
zonk, znowu ma to samo w system volume information,
a jeszcze wczoraj nie było nie wiem o co kaman;/
– Dodane 12.02.2010 (Pt) 17:17 –
http://wklejto.pl/57448 - teraz jeszcze w innej lokalizacji jak to tak??
To drugie to chyba jakaś historia wirusów czy coś… nie wiem. a to pierwsze :
to co wyżej zrobiłam już dwa razy, a ta historia wirusów nie wiem czy się ty martwic czy nie, poddałam je kwarantannie w KAspersky’m ale nie wiem czy je trzeba usuwac, nie chce czegoś na mieszać.
– Dodane 12.02.2010 (Pt) 23:29 –
podsumowując, po poddaniu trzech plików kwarantannie http://wklejto.pl/57497 panda nic nie wykryła, teraz tylko pytanie, czy te pliki w ogóle mogę skasować, żeby nie narobić przy okazji jakiegoś bałaganu. Dodam, że że w folderze, w którym się znajdowały były też inne pliki, ale tylko te 3 były jako niewidoczne.