Win32.worm.autostart potrzebna pomoc!

mardi_grass · 22 Styczeń 2008 00:09

Witam ad-aware wykrył mi win32.worm.autostart. Po każdorazowym usunięciu pojawia sie ponownie. Nie che grzebac w rejestrze bo nie znam sie na tym dlatego proszę o pomoc. Załączam highthisjack logfile http://wklej.org/id/d30f90b87f

dzięki za pomoc i przepraszam jeśli się pojawił już taki problem wcześniej na forum.

P.s. proszęo szybką pomoc Nóż na gardle

arekmalek · 22 Styczeń 2008 08:43

No to chyba to

Zafixuj w hijacku

Wklej do notatnika:

Zapisz jako -> CFScript.txt

Pobierz combofix

Przeciągnij CFScript na ikonkę combo

Rozpocznie się usuwanie, daj powstały log

mardi_grass · 22 Styczeń 2008 10:34

oto log po naprawch http://wklej.org/id/95ec526b76

Leon1 · 22 Styczeń 2008 13:32

wpis

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.sketchup.com/OnlineDoc/gsu6_win/Content/H-Principle_Tools/PriToo l-Select.htm#using%20multiple

usuń HijackThisem >> Fix checked

Przeskanuj system Combofix em http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 daj log na forum

mardi_grass · 22 Styczeń 2008 16:24

po ciężkiej przeprawie podaje loga z ComboFixa http://wklej.org/id/bd36734a43

Leon1 · 22 Styczeń 2008 16:34

Otwórz notatnik i wklej

File::

C:\xn1i9x.com

C:\m1t8ta.com

C:\juok3st.bat

C:\d.com

C:\tio8x6.cmd

H:\xn1i9x.com


Registry:: 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem log z usuwania

następnie nowy log HijackThis

mardi_grass · 22 Styczeń 2008 17:04

log cobofix z usuwania http://wklej.org/id/8f2894291c

log hijackthis http://wklej.org/id/31261fbe54

Leon1 · 22 Styczeń 2008 17:26

Logi wyglądają na czyste

Powyłączaj co nie co z uruchamiania masz trochę zbędników

to jest twoja lista do przeglądu

# O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

# O4 - HKLM\..\Run: [RemoteControl] "E:\PROGRAMY\Cyber link DVD solution\PowerDVD\PDVDServ.exe"

# O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

# O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

# O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

# O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

# O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

# O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

# O4 - HKLM\..\Run: [QuickTime Task] "E:\PROGRAMY\QuickTime\qttask.exe" -atboottime

# O4 - HKCU\..\Run: [Komunikator] E:\PROGRAMY\Tlen\tlen.exe

# O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

# O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

# O4 - Global Startup: Microsoft Office.lnk = E:\PROGRAMY\office\Office\OSA9.EXE

Porównaj z listą co można wyłączyć http://www.bezpieczenstwosystemow.pl/index.php?topic=116.0

mardi_grass · 22 Styczeń 2008 17:52

Wielkie dzięki

Gutek · 22 Styczeń 2008 20:14

Po tym nowy log