qwqwqw
26 Luty 2010 15:02
#1
Jak widzę po nowych tematach jakaś plaga! Wszystkim to samo…
Włączyłem sobie zwiastun na hataku i bach nagle Avast mi wykrywa coś w driversach w system32…
Logi w trybie normalnym udało mi sie tylko zrobić przy pomocy Rsita i GMER’a. OTL z trybu awaryjnego ale myśle że to nie problem:
RSIT: http://wklej.org/id/286241/
GMER: http://wklej.org/id/286240/
W OTL dałem w Processesi Modules “All”
OTL: http://wklej.org/id/286237/
OTL Extras: http://wklej.org/id/286236/
Proszę o pomoc. Nie zdzierżę formata mam za dużo danych na kompie
----------17:46--------
Ale mam trudne logi, nikt nie pomoże ;p
jessica
26 Luty 2010 17:47
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - Startup: D:\Documents and Settings\D\Menu Start\Programy\Autostart\winesm32.exe ( ) O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No CLSID value found. O4 - HKLM…\Run: [] File not found [2010-02-26 15:14:13 | 000,000,148 | ---- | M] () – D:\WINDOWS\System32\fjhdyfhsn.bat [2010-02-26 14:26:21 | 000,000,004 | ---- | C] () – D:\Documents and Settings\D\Dane aplikacji\avdrn.dat :Files D:\WINDOWS\system32\fjhdyfhsn.bat :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreeCall] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gizmo5] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WengoPhoneNG] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^D^Menu Start^Programy^Autostart^hamachi.lnk] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^D^Menu Start^Programy^Autostart^OpenOffice.org 2.4.lnk] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^D^Menu Start^Programy^Autostart^WinMySQLadmin.lnk] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
qwqwqw
26 Luty 2010 18:05
#3
Sorki dziwnie mi ta przeglądarka w awaryjnym działa:
Log innego usuwania OTL’em. Przed twoim skryptem: http://wklej.org/id/286410
Log po usuwaniu twoim skryptem: http://wklej.org/id/286412
Nowy log OTL: http://wklej.org/id/286413
Leon1
26 Luty 2010 18:16
#4
wszystkie logi są te same
qwqwqw
26 Luty 2010 18:22
#5
Log innego usuwania OTL’em. Przed twoim skryptem: http://wklej.org/id/286410
Log po usuwaniu twoim skryptem: http://wklej.org/id/286412
Nowy log OTL: http://wklej.org/id/286413
Puściłem aktualnie pełen skan Malwarebytes’a znalazł do tej pory 18 infekcji zamierzam je potem usunąć
jessica
26 Luty 2010 18:57
#6
Domyślam się, że z innego forum? I to akurat konkurencyjnego dla “Dobrych Programów”?
Wg mnie - jest czysto.
Usuń ręcznie folder C:\Qoobox .
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
jessi
Leon1
26 Luty 2010 19:00
#7
Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe
qwqwqw
26 Luty 2010 20:02
#8
Ok Combofix nie chciał działać dopóki nie skasowałem pliczków Malwarebytesem. Odblokował się wtedy pasek startu i mogłem wyłączyc na jakiś czas Avasta i nic sie nie zacięło. Combo coś tam pousuwał no i teraz wydaje sie że główny problem zniknął. Jednak komputerek muli się na początku przy włączaniu pulpitu. Oto logi ze wszystkiego ;d :
Avast nie wykrywa mi na starcie w trybie normalnym żadnych rootkitów itd, ale strasznie długo się włącza na samym starcie systemu. Przez trzeba czekać dobre kilka minut.
Zdarza się że po 10-15 minutach działania system po prostu staje. Jest coraz wolniej… i wolniej.
W logach można zobaczyć jak to wyglądało. Przy skanie OTL znalażl mi w folderze WINDOWS zainfekowanego firefox.exe ale trojanem jakimś. Zobaczcie w logach ktore dołączam.
Log ComboFix: http://wklej.org/id/286469/
Log RSIT: http://wklej.org/id/286471/
Log OTL: http://wklej.org/id/286495/
Log DDS: http://wklej.org/id/286486/
Log DDS- Attach: http://wklej.org/id/286488/
Log z Malwarebytes: http://wklej.org/id/286439/
Log/Report Avast’a: http://wklej.org/id/286500/
Dlaczego to usunięcie Combofix’a jest takie ważne ;p? Już któryś raz się z tym spotykam ;p
Dzięki za dalszą pomoc. Czekam na dalsze instrukcje! =]
jessica
26 Luty 2010 22:48
#9
Bo teraz nastała taka moda
Jako preteks służyć ma teza, że ComboFix potrafi uszkodzić System.
I to jest prawda.
Ale druga prawda jest taka, że OTL znacznie częściej uszkadza System, niż ComboFix. A mimo to, zgodnie z modą, dalej jest zalecane używanie OTL, zamiast ComboFixa.
Wklej do Notatnika :
File::
d:\documents and settings\test\Dane aplikacji\rbuwzv.dat
d:\windows\system32\config\systemprofile\Dane aplikacji\rbuwzv.dat
d:\program files\PlaySushi\PSText.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21608B66-026F-4DCB-9244-0DACA328DCED}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
