Witam !
Od kilku dni avast wykrywa mi takiego trojana najczęściej w katalogu C:\windows\system32\drivers
Są to zwykle pliki typu exe. zwykle 2-3 pliki zainfekowane
Oto logi z HJthis
Witam !
Od kilku dni avast wykrywa mi takiego trojana najczęściej w katalogu C:\windows\system32\drivers
Są to zwykle pliki typu exe. zwykle 2-3 pliki zainfekowane
Oto logi z HJthis
fix w hijackthis
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\drivers\hldrrr.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Hmm co tego hldrr bylem niemalże pewny ze to nie jest normalny plik.
Oto log z Combo
http://wklej.org/id/bca1d9dbe1
z tego wynika, że jest już ok, pomogło
Dziękuję bardzo
btw. sorry za offtopa ale mam jeszcze taki problem, którego mimo poszukiwań odpowiedzi na kilku forach nie udało mi sie rozwiązać. Otóż nie mam dźwięku na youtube, oraz niektórych flashowych stronach, a dokładniej dźwięk jest, ale niesamowicie cichy. Dowcip polega na tym, że jest tak od instalacji świeżego systemu. Wszystko co do tej pory znalazłem w necie na ten temat opierało się na tym, że dźwięku nie ma w ogóle, w systemie jest wyłączony schemat dźwiękowy i nie da sie go włączyć, a jest to wynikiem jakieś wirusa. U mnie przypuszczam problem jest innej natury. Wcześniej było ok - jakieś sugestie. Żeby ułatwić - w kompie zmienił się dysk twardy co było powodem przeinstalowania systemu. Reszta tak jak było.
Daj nowy log z Combofix
Może kodeki trzeba przeinstalować
witam.
potraktowałem hldrr.exe combo fixem ale nie jestem pewien czy trojan został całkowicie usunięty.
Mam program do mierzenia prędkości ściągania i wysyłania danych i ciągle coś wysyła albo odbiera (wcześniej tak nie było).
Czasami jeszcze wyskakuje okienko ZAMYKANIE SYSTEMU . prosze o pomoc
Daj log z hijackthis i combofix na forum
fix w hijackthis
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
D:\WINDOWS\System32\rqRHyaaa.dll
D:\WINDOWS\System32\mdm.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
http://www.wklej.org/id/ba713f19b4
W dniu 23.05.2008 , o godzinie 16:44 został dopisany post przez perek28
mam wrażenie że wirus nie został usunięty bo właśnie uruchomiło mi sie ZAMYKANIE SYSTEMU :?
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
D:\WINDOWS\system32\fada.exe
D:\WINDOWS\system32\o
D:\WINDOWS\system32\pmnkJbAS.dll
D:\WINDOWS\system32\efcCTMCT.dll
Driver::
SetupNTGLM7X
flys.q8pilots.net
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRHyaaa]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Log wyglada na czysty
Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
z tym virusem kasperski ściąga sie w tempie sparaliżowanego żółwia ale w pewnym momencie
nie wiem co sie stało PC Tools spyware doctor znalazł jakiś błędny wpis i usunął nie wiem czy chodziło o virusa ale teraz (prawie normalnie wszystko chodzi)
przeskanuje jeszcze kasperskym kompa i zobaczę rezultat
W dniu 23.05.2008 , o godzinie 20:33 został dopisany post przez perek28
oto raport z kasperskyego
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
http://wklej.org/id/1a93a2827c
oto raport: nie wiem chyba coś to dało ale Firefox teraz nie chce sie włączyć :?:
Przeskanuj Kasperskim i daj nowy raport na forum
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\asguard.exe
C:\xflhn.exe
C:\ybeb.exe
D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7OTV30W5\dwxnbsj[1].htm
D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7OTV30W5\mywehfoto[1].htm
D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A3IL09ON\cppthyzd[1].txt
D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\AFYFWDCX\tuhvzqdrv[1].htm
D:\Documents and Settings\pyrek\Ustawienia lokalne\Temp\E1C2.tmp
D:\Documents and Settings\pyrek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\JFNX50WX\wssl62_b[2].exe
D:\WINDOWS\system32\crehcjid.dll
D:\WINDOWS\system32\crypts.dll
D:\WINDOWS\Temp\254F.tmp
D:\WINDOWS\Temp\3DD7.tmp
Folder::
D:\WINDOWS\system32\158117
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Po tym pzreskanuj jeszcze raz Kapserskim i daj log an forum