Win32/PSW.OnLineGames.NNU koń trojański i wiele innych

mapecisko · 5 Listopad 2009 10:06

dzisiaj dostałem za zadanie sformatować laptopa i wszystko by było pięknie gdyby działał mu czytnik płyt… więc postanowiłem powalczyć z tymi infekcjami Oto log z HijackThis : http://wklej.org/hash/e4e42f20a3/

jessica · 5 Listopad 2009 10:34

Onlinegames to infekcja z pendrive (pamięć przenośna), więc log z Hijacka jest tu nieprzydatny.

jessi

mapecisko · 5 Listopad 2009 10:44

Za jakiś czas zrobię logi z podanych programów. w międzyczasie mam jeszcze pytanie tego herss.exe mam “zfixować” w HijackThis?

jessica · 5 Listopad 2009 11:03

Sfiksowanie w Hijacku to tylko wyłączenie go z Autostartu -ale to nie usunie pliku, ani pozostałych plików tej infekcji. Sfiksować oczywiście możesz , to niczemu nie zaszkodzi.

jessi

mapecisko · 5 Listopad 2009 11:39

OTL : http://wklej.org/hash/109e131dcf/ , http://wklej.org/hash/5ad98a5625/

SRENG2 : http://wklej.org/hash/683e88706e/

jessica · 5 Listopad 2009 11:54

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL PRC - [2008-04-14 01:12:29 | 00,069,120 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\AhnRpta.exe O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - No CLSID value found. O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Maciej\Local Settings\Temp\herss.exe () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main0.dll O32 - AutoRun File - [2009-11-05 12:30:54 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-05 12:30:56 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [FAT32] O33 - MountPoints2{27f1e2b1-246f-11de-8d33-000bcda76a82}\Shell\AutoRun\command - “” = F:\ukfbi3aw.exe – File not found O33 - MountPoints2{27f1e2b1-246f-11de-8d33-000bcda76a82}\Shell\open\Command - “” = F:\ukfbi3aw.exe – File not found O33 - MountPoints2{31cfeba9-bcf7-11de-8d97-000bcda76a82}\Shell\AutoRun\command - “” = E:\a2g21.exe – File not found O33 - MountPoints2{31cfeba9-bcf7-11de-8d97-000bcda76a82}\Shell\open\Command - “” = E:\a2g21.exe – File not found O33 - MountPoints2{334dc070-98b3-11de-8d81-000bcda76a82}\Shell\AutoRun\command - “” = E:\o9bxu.exe – File not found O33 - MountPoints2{334dc070-98b3-11de-8d81-000bcda76a82}\Shell\open\Command - “” = E:\o9bxu.exe – File not found O33 - MountPoints2{3f2ceef0-514a-11dd-8c96-806d6172696f}\Shell\AutoRun\command - “” = C:\a2g21.exe – [2009-10-30 17:15:54 | 00,113,614 | RHS- | M] () O33 - MountPoints2{3f2ceef0-514a-11dd-8c96-806d6172696f}\Shell\open\Command - “” = C:\a2g21.exe – [2009-10-30 17:15:54 | 00,113,614 | RHS- | M] () O33 - MountPoints2{a33bb030-90bc-11dd-8cd2-000bcda76a82}\Shell\AutoRun\command - “” = E:\ph.exe – File not found O33 - MountPoints2{a33bb030-90bc-11dd-8cd2-000bcda76a82}\Shell\open\Command - “” = E:\ph.exe – File not found :Files C:\WINDOWS\AhnRpta.exe C:\Documents and Settings\Maciej\Local Settings\Temp\cvasds0.dll C:\WINDOWS\system32\e8main0.dll C:\Documents and Settings\Maciej\Local Settings\Temp\herss.exe C:\autorun.inf F:\autorun.inf C:\a2g21.exe C:\uqgvf.exe C:\3n8awsyg.exe C:\hjvjte.exe C:\eexyv.exe C:\b00ijwpu.exe C:\wcgswa.exe C:\qbr2q.exe C:\nds0q.exe C:\se12ydam.exe C:\2sm66r.exe C:\s3ek.exe C:\mje12tni.exe C:\vlvtdflx.exe C:\r2g20.exe C:\f9o8o.exe C:\ctu8r.exe F:\a2g21.exe F:\uqgvf.exe F:\3n8awsyg.exe F:\hjvjte.exe F:\eexyv.exe F:\b00ijwpu.exe F:\wcgswa.exe F:\qbr2q.exe F:\nds0q.exe F:\se12ydam.exe F:\2sm66r.exe F:\s3ek.exe F:\mje12tni.exe F:\vlvtdflx.exe F:\r2g20.exe F:\f9o8o.exe F:\ctu8r.exe C:\WINDOWS\System32\nmdfgds1.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{33564D57-0000-0010-8000-00AA00389B71}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2516874A-8BF8-4FF9-865A-D7D5C67FFADE}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{E023F504-0C5A-4750-A1E7-A9046DEA8A21}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{E2E2DD38-D088-4134-82B7-F2BA38496583}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{FB5F1910-F110-11D2-BB9E-00C04F795683}] :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi

OK, można już wykonać, dopisałam ze SRENGa.

mapecisko · 5 Listopad 2009 12:44

Z czyszczenia OTL :http://wklej.org/hash/8cdadcad5f/

Świeży OTL :http://wklej.org/hash/9577941caa/

dadag90 · 5 Listopad 2009 12:54

Sfixuj to w HiJack This.

O4 - HKLM..\Run: [AdaptecDirectCD] File not found

O4 - HKLM..\Run: [ATIPTA] File not found

O4 - HKLM..\Run: [CARPService] File not found

O4 - HKLM..\Run: [Cpqset] File not found

O4 - HKLM..\Run: [DataLayer] File not found

O4 - HKLM..\Run: [Display Settings] File not found

O4 - HKLM..\Run: [Easy-PrintToolBox] File not found

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O4 - HKLM..\Run: [PCSuiteTrayApplication] File not found

O4 - HKLM..\Run: [PreloadApp] File not found

O4 - HKLM..\Run: [srmclean] File not found

O4 - HKLM..\Run: [SunJavaUpdateSched] File not found

O4 - HKLM..\Run: [SynTPEnh] File not found

O4 - HKLM..\Run: [SynTPLpr] File not found

O4 - HKLM..\Run: [TkBellExe] File not found

O4 - HKLM..\Run: [WinampAgent] File not found

O4 - HKCU..\Run: [IPLA!] File not found

O4 - HKCU..\Run: [MSMSGS] File not found

O4 - HKCU..\Run: [PcSync] File not found

O4 - HKCU..\Run: [Picasa Media Detector] File not found

mapecisko · 5 Listopad 2009 12:56

problem chyba jeszcze nie jest usunięty ponieważ użycie CPU jest cały czas na max.

jessica · 5 Listopad 2009 13:02

Nie wiem, co jest “grane”: OTL nie miał co usuwać, wszystko “not found”. Samo zniknęło?

Do usunięcia puste, bezplikowe klucze:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCSuiteTrayApplication"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinampAgent"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TkBellExe"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"srmclean"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PreloadApp"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KernelFaultCheck"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Easy-PrintToolBox"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Display Settings"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DataLayer"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cpqset"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CARPService"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AdaptecDirectCD"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"MSMSGS"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Użyj >Panda Vaccine - to trochę utrudni ponowną infekcję.

W OTL kliknij na przycisk “CleanUp” - to go usunie.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

EDIT:

Log jest czysty, ale możesz jeszcze, na wszelki wypadek, użyć >http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

jessi

mapecisko · 15 Listopad 2009 14:28

Wielkie dzięki za pomoc. Pomogło