mapecisko
(Mapet 20)
5 Listopad 2009 10:06
#1
dzisiaj dostałem za zadanie sformatować laptopa i wszystko by było pięknie gdyby działał mu czytnik płyt… więc postanowiłem powalczyć z tymi infekcjami Oto log z HijackThis : http://wklej.org/hash/e4e42f20a3/
jessica
(jessica)
5 Listopad 2009 10:34
#2
Onlinegames to infekcja z pendrive (pamięć przenośna), więc log z Hijacka jest tu nieprzydatny.
Odpowiedź automatyczna: Zalecany log: >OTL Mile widziny dodatkowo log z >SRENG (Po uruchomieniu klik “SmartScan”, zaznacz “Verify…”, klik “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
jessi
mapecisko
(Mapet 20)
5 Listopad 2009 10:44
#3
Za jakiś czas zrobię logi z podanych programów. w międzyczasie mam jeszcze pytanie tego herss.exe mam “zfixować” w HijackThis?
jessica
(jessica)
5 Listopad 2009 11:03
#4
Sfiksowanie w Hijacku to tylko wyłączenie go z Autostartu -ale to nie usunie pliku, ani pozostałych plików tej infekcji. Sfiksować oczywiście możesz , to niczemu nie zaszkodzi.
jessi
mapecisko
(Mapet 20)
5 Listopad 2009 11:39
#5
jessica
(jessica)
5 Listopad 2009 11:54
#6
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL PRC - [2008-04-14 01:12:29 | 00,069,120 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\AhnRpta.exe O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - No CLSID value found. O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Maciej\Local Settings\Temp\herss.exe () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main0.dll O32 - AutoRun File - [2009-11-05 12:30:54 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-05 12:30:56 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [FAT32] O33 - MountPoints2{27f1e2b1-246f-11de-8d33-000bcda76a82}\Shell\AutoRun\command - “” = F:\ukfbi3aw.exe – File not found O33 - MountPoints2{27f1e2b1-246f-11de-8d33-000bcda76a82}\Shell\open\Command - “” = F:\ukfbi3aw.exe – File not found O33 - MountPoints2{31cfeba9-bcf7-11de-8d97-000bcda76a82}\Shell\AutoRun\command - “” = E:\a2g21.exe – File not found O33 - MountPoints2{31cfeba9-bcf7-11de-8d97-000bcda76a82}\Shell\open\Command - “” = E:\a2g21.exe – File not found O33 - MountPoints2{334dc070-98b3-11de-8d81-000bcda76a82}\Shell\AutoRun\command - “” = E:\o9bxu.exe – File not found O33 - MountPoints2{334dc070-98b3-11de-8d81-000bcda76a82}\Shell\open\Command - “” = E:\o9bxu.exe – File not found O33 - MountPoints2{3f2ceef0-514a-11dd-8c96-806d6172696f}\Shell\AutoRun\command - “” = C:\a2g21.exe – [2009-10-30 17:15:54 | 00,113,614 | RHS- | M] () O33 - MountPoints2{3f2ceef0-514a-11dd-8c96-806d6172696f}\Shell\open\Command - “” = C:\a2g21.exe – [2009-10-30 17:15:54 | 00,113,614 | RHS- | M] () O33 - MountPoints2{a33bb030-90bc-11dd-8cd2-000bcda76a82}\Shell\AutoRun\command - “” = E:\ph.exe – File not found O33 - MountPoints2{a33bb030-90bc-11dd-8cd2-000bcda76a82}\Shell\open\Command - “” = E:\ph.exe – File not found :Files C:\WINDOWS\AhnRpta.exe C:\Documents and Settings\Maciej\Local Settings\Temp\cvasds0.dll C:\WINDOWS\system32\e8main0.dll C:\Documents and Settings\Maciej\Local Settings\Temp\herss.exe C:\autorun.inf F:\autorun.inf C:\a2g21.exe C:\uqgvf.exe C:\3n8awsyg.exe C:\hjvjte.exe C:\eexyv.exe C:\b00ijwpu.exe C:\wcgswa.exe C:\qbr2q.exe C:\nds0q.exe C:\se12ydam.exe C:\2sm66r.exe C:\s3ek.exe C:\mje12tni.exe C:\vlvtdflx.exe C:\r2g20.exe C:\f9o8o.exe C:\ctu8r.exe F:\a2g21.exe F:\uqgvf.exe F:\3n8awsyg.exe F:\hjvjte.exe F:\eexyv.exe F:\b00ijwpu.exe F:\wcgswa.exe F:\qbr2q.exe F:\nds0q.exe F:\se12ydam.exe F:\2sm66r.exe F:\s3ek.exe F:\mje12tni.exe F:\vlvtdflx.exe F:\r2g20.exe F:\f9o8o.exe F:\ctu8r.exe C:\WINDOWS\System32\nmdfgds1.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{33564D57-0000-0010-8000-00AA00389B71}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2516874A-8BF8-4FF9-865A-D7D5C67FFADE}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{E023F504-0C5A-4750-A1E7-A9046DEA8A21}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{E2E2DD38-D088-4134-82B7-F2BA38496583}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{FB5F1910-F110-11D2-BB9E-00C04F795683}] :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
OK, można już wykonać, dopisałam ze SRENGa.
mapecisko
(Mapet 20)
5 Listopad 2009 12:44
#7
dadag90
(dadag90)
5 Listopad 2009 12:54
#8
Sfixuj to w HiJack This.
O4 - HKLM..\Run: [AdaptecDirectCD] File not found
O4 - HKLM..\Run: [ATIPTA] File not found
O4 - HKLM..\Run: [CARPService] File not found
O4 - HKLM..\Run: [Cpqset] File not found
O4 - HKLM..\Run: [DataLayer] File not found
O4 - HKLM..\Run: [Display Settings] File not found
O4 - HKLM..\Run: [Easy-PrintToolBox] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [PCSuiteTrayApplication] File not found
O4 - HKLM..\Run: [PreloadApp] File not found
O4 - HKLM..\Run: [srmclean] File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\Run: [SynTPEnh] File not found
O4 - HKLM..\Run: [SynTPLpr] File not found
O4 - HKLM..\Run: [TkBellExe] File not found
O4 - HKLM..\Run: [WinampAgent] File not found
O4 - HKCU..\Run: [IPLA!] File not found
O4 - HKCU..\Run: [MSMSGS] File not found
O4 - HKCU..\Run: [PcSync] File not found
O4 - HKCU..\Run: [Picasa Media Detector] File not found
mapecisko
(Mapet 20)
5 Listopad 2009 12:56
#9
problem chyba jeszcze nie jest usunięty ponieważ użycie CPU jest cały czas na max.
jessica
(jessica)
5 Listopad 2009 13:02
#10
Nie wiem, co jest “grane”: OTL nie miał co usuwać, wszystko “not found”. Samo zniknęło?
Do usunięcia puste, bezplikowe klucze:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCSuiteTrayApplication"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"srmclean"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PreloadApp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Easy-PrintToolBox"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Display Settings"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DataLayer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CARPService"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
Użyj >Panda Vaccine - to trochę utrudni ponowną infekcję.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
EDIT:
Log jest czysty, ale możesz jeszcze, na wszelki wypadek, użyć >http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
jessi
mapecisko
(Mapet 20)
15 Listopad 2009 14:28
#11
Wielkie dzięki za pomoc. Pomogło