Win32.worm.autostart potrzebna pomoc!


(Mardi Grass) #1

Witam ad-aware wykrył mi win32.worm.autostart. Po każdorazowym usunięciu pojawia sie ponownie. Nie che grzebac w rejestrze bo nie znam sie na tym dlatego proszę o pomoc. Załączam highthisjack logfile http://wklej.org/id/d30f90b87f

dzięki za pomoc i przepraszam jeśli się pojawił już taki problem wcześniej na forum.

P.s. proszęo szybką pomoc Nóż na gardle :stuck_out_tongue:


(Arekmalek) #2

No to chyba to

Zafixuj w hijacku

Wklej do notatnika:

Zapisz jako -> CFScript.txt

Pobierz combofix

Przeciągnij CFScript na ikonkę combo

Rozpocznie się usuwanie, daj powstały log


(Mardi Grass) #3

oto log po naprawch http://wklej.org/id/95ec526b76


(Leon$) #4

wpis

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.sketchup.com/OnlineDoc/gsu6_win/Content/H-Principle_Tools/PriToo l-Select.htm#using%20multiple

usuń HijackThisem >> Fix checked

Przeskanuj system Combofix em http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 daj log na forum

:slight_smile:


(Mardi Grass) #5

po ciężkiej przeprawie podaje loga z ComboFixa http://wklej.org/id/bd36734a43


(Leon$) #6

Otwórz notatnik i wklej

File::

C:\xn1i9x.com

C:\m1t8ta.com

C:\juok3st.bat

C:\d.com

C:\tio8x6.cmd

H:\xn1i9x.com


Registry:: 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem log z usuwania

następnie nowy log HijackThis

:slight_smile:


(Mardi Grass) #7

log cobofix z usuwania http://wklej.org/id/8f2894291c

log hijackthis http://wklej.org/id/31261fbe54


(Leon$) #8

Logi wyglądają na czyste

Powyłączaj co nie co z uruchamiania masz trochę zbędników

to jest twoja lista do przeglądu

# O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

# O4 - HKLM\..\Run: [RemoteControl] "E:\PROGRAMY\Cyber link DVD solution\PowerDVD\PDVDServ.exe"

# O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

# O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

# O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

# O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

# O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

# O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

# O4 - HKLM\..\Run: [QuickTime Task] "E:\PROGRAMY\QuickTime\qttask.exe" -atboottime

# O4 - HKCU\..\Run: [Komunikator] E:\PROGRAMY\Tlen\tlen.exe

# O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

# O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

# O4 - Global Startup: Microsoft Office.lnk = E:\PROGRAMY\office\Office\OSA9.EXE

Porównaj z listą co można wyłączyć http://www.bezpieczenstwosystemow.pl/index.php?topic=116.0

:slight_smile:


(Mardi Grass) #9

Wielkie dzięki !!


(Gutek) #10

Po tym nowy log