system
(system)
28 Październik 2009 16:15
#1
Witam!
Od wczoraj zmagam się z infekcją następującymi szkodnikami:
Win32:PcClient-ZE [Trj]
Win32:Malware-gen
Avast co chwile wykrywa zainfekowane pliki, ale po ich usunięciu nie ma żadnego rezultatu.
Po ponownym uruchomieniu komputera, problem powraca.
Zainfekowane foldery to:
C:\Windows\System32\D2KWS51SVA\E001.exe (oraz inne pliki o podobnych nazwach)
C:\Documents and Settings\Local Service\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4TIVW9AB\E001[1].exe (oraz inne foldery o podobnych nazwach w katalogu Content.IE5 )
Po przeskanowaniu kompa, Spyware Doctor znalazł i usunął Backdoor.Small.HEZ
Ponadto, po jakimś czasie od startu systemu wyskakuje taki błąd:
http://pokazywarka.pl/blad1/
Logi z HiJackThis i SilnetRunners:
http://www.wklej.org/id/188424/
http://www.wklej.org/id/188428/
Brak objawów tj. mulenie systemu itp.
Prosiłbym o sprawdzenie logów.
Z góry dziękuję za wszelką pomoc.
ciemnowidz
(Henio Mazurek)
28 Październik 2009 19:32
#2
Wklej logi z OTL , GMER i System Repair Engineer
Logi wklej na wklejto.pl a tutaj tylko link do wklejki.
W OTL przestaw Processes na All oraz zaznacz LOP check i Purity check , nic więcej nie należy zmieniać.
W GMER klik na Szukaj , po zakończeniu skanu klikasz Kopiuj lub Zapisz .
system
(system)
28 Październik 2009 20:39
#3
ciemnowidz
(Henio Mazurek)
29 Październik 2009 06:12
#4
Zastosuj Dr.WEB CureIt , podczas pobierania zmień mu rozszerzenie na .com. Skan dokładny, znalezione pliki leczysz, co się nie da - usuwasz.
system
(system)
29 Październik 2009 06:32
#5
Dziękuję za pomoc.
Komputer będę mógł zeskanować dopiero po 15. (praca…)
O rezultatach poinformuję więc po południu.
– Dodane 29.10.2009 (Cz) 16:50 –
Wrzucam wyniki skanowania programem DrCureIt:
http://pokazywarka.pl/6meq6w/
ciemnowidz
(Henio Mazurek)
29 Październik 2009 17:27
#6
Pokaż nowe logi z OTL, GMER i SRENG.
system
(system)
29 Październik 2009 21:12
#7
OTL: http://wklejto.pl/45724
GMER: http://www.wklejto.pl/45726
SRENG: http://www.wklejto.pl/45727
Generalnie DrWEB CureIt poradził sobie z całym tym syfem.
Zostało (tak mi się wydaje) kilka infekcji - czy jest jakiś sposób, aby usunąć rzeczy, które DrWEB wykrył, ale pominął (nic z nimi nie robił)?
Mam na myśli te wykryte infekcje, przy których w kolumnie reakcja jest puste pole.
Pliki które ten program wykrył, nie mógł wyleczyć i przeniósł do folderu kwarantanny usunąłem ręcznie.
Avast co jakiś czas informuje o infekcji Win32:Malware-gen w pliku C:\c.exe
Także chyba tylko to zostało.
– Dodane 29.10.2009 (Cz) 22:24 –
Tu jeszcze jest log z OTL Extra : http://www.wklejto.pl/45729
Zapomniałem dodać.
ciemnowidz
(Henio Mazurek)
30 Październik 2009 05:59
#8
Wywal to
Widać gołym okiem, że to oszustwo.
W OTL w dolne białe okno wklej taki tekst
:Processes explorer.exe :OTL PRC - [2009-10-29 15:55:42 | 00,073,728 | ---- | M] () – C:\WINDOWS\System32\POYR3D1CJM\E001.exe SRV - [2009-10-27 21:18:30 | 00,060,416 | ---- | M] () – C:\WINDOWS\System32\i\f.exe – (National Web CC [Auto | Stopped]) O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {70DE7956-479D-4EB7-8641-2B45774C350E} - No CLSID value found. :Services dh :Files C:\WINDOWS\System32\POYR3D1CJM C:\WINDOWS\System32\i C:\WINDOWS\System32\POYR3D1CJM C:\WINDOWS\System32\CKCJ75336L C:\WINDOWS\System32\66DPYT3AUB C:\WINDOWS\System32\4VVEIP0VMF C:\WINDOWS\System32\6D6AT6KM41 C:\WINDOWS\System32\XTTIH5UQJF C:\WINDOWS\System32\PTOS6K13PS C:\WINDOWS\System32\NU57GXRGZR C:\WINDOWS\System32\A7FPCUZDB2 @C :\WINDOWS\System32\imapi.exe:SummaryInformation :Reg :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.
Zastosuj ComboFix
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
system
(system)
30 Październik 2009 20:09
#9
Log z usuwania: http://wklejto.pl/45838
Log ze skanowania: OTL http://www.wklejto.pl/45840
OTL Extra: http://www.wklejto.pl/45841
Ten program ExterminateIt! ściągnąłem jako pierwszy - jednak jak się okazało jest to tylko skaner bez możliwości usuwania śmieci.
Przypomniałem sobie o nim podczas skanowania OTLem, ale nie chciałem już robić zamieszania w logach.
Zaraz uruchamiam ComboFixa
– Dodane 30.10.2009 (Pt) 21:34 –
Tu jest log z CombiFixa: http://www.wklejto.pl/45843
ciemnowidz
(Henio Mazurek)
31 Październik 2009 07:17
#10
Wygląda na to, że nic więcej nie ma.
Kliknij w OTL CleanUp.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
system
(system)
31 Październik 2009 13:03
#11
Też mi się tak wydaje.
Jak na razie nie ma żadnych błędów, a Avast przestał informować o infekcji, także chyba jest już dobrze.
Dziękuję bardzo za pomoc i poświęcony czas.