WinAnitspyware, karina.dat i niewiem czy juz wyleczyłem

iFeniks · 19 Sierpień 2008 15:07

Witam

Jestem tu nowy, a zejerestrowałem się bo wczoraj nawaliło mi sie jakis syfów na kompa, poradzilem sobie jak mogłem jak umialem, ale nadal siedzą, tak mysle, jakieś gównienka. (instalowalem potem na koncie goscia, ad aware 2008, oraz nod32 pakiet i nimi skanowalem z prawami admina, bo na moim koncie to wczoraj byla masakra nic nie moglem odpalic, rozpiepszone menu Start, pulpit, ikony a wszedzie tylko dopisek ‘Virus alert!!!’, po tym wstepnym czysczeniu przywrócilem ustawienia windy do wczesniejszej daty, o dziwo mialem pkt przywracania dostepny jeden z tego miesiąca)

Przed napisaniem tego posta, sciagnąlem sobie w podpietego posta te 3 magiczne programiki Hijack, ComboFix i Silent Runners, zrobiłem na pulpicie katalog i tam je sciągnęlem, po czym próbuje odpalac w takiej kolejnosci i nic nie dziala, zadzialal silent runners to poczekalem na te solidnejsze skanowanie i wygenerował log taki:

http://www.wklej.org/dl/2f5b3e2dc5

następnie przeglądajac ten dzial, wyczytalem ze gdy sie nie che uruchomic tzreba jescze raz sciagnac dajac w nazwie -, tak tez zrobiłem z tymże zapisalem te wszystkie zabawki na innym dysku, odpaliłem Combo-Fixa i o dziwo zadzialal zrobilem wg instrukcji ale sie zdiwilem trohce że odrazu wziąl sie do działania, widzialem w logu pousuwal WinAntispyware2008, karine, i inne jakieś które nie kojarze, a oto log po Combofixie właśnie:

http://www.wklej.org/dl/0957e4dec4

także myśle ze już jest wyleczony, ale nie jestem pewien, po ponownych uruchomieniu sie kompa z działania Combofixa zauwazyłem odsłoniecie niektórych zjedzonych ikon na pulpicie i tak jakby menu start sie zresetowalo do domyslnbych ustawien (miałem porobione jako otwierane menu mój kompuer, panel sterowania, nie mialem moje obrazy itp) ale to moment roboty. Niewiem czy dobrze zrobilem odrazu odpalając Comboboxa w przyklejonym nie bylo napisane ze on zacznie sobie sam dzialac :?

Także niewiem czy jest sens robić teraz Hijacka, prosiłbym bym o fachową opinie co do logów, co do dalszych czynnosci to oczywiscie moge wykonać a jeżeli juz jest wszystko ok to WIELKIE SORKI za zarwacanie gitary i prosze o usunięcie tego posta coby nie zajmować miejsca na forum

pozdrawiam

huber2t · 19 Sierpień 2008 15:11

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\Documents and Settings\Tomek\Dane aplikacji\ohisi.pif

C:\WINDOWS\watudoriq._dl

C:\Documents and Settings\All Users\Dane aplikacji\pigyca.com

C:\Documents and Settings\All Users\Dane aplikacji\vidalej.dat

C:\Documents and Settings\Tomek\Dane aplikacji\ezuquxube.vbs

C:\WINDOWS\abozajizo.pif

C:\Documents and Settings\Tomek\Dane aplikacji\ohokykukyc.scr

C:\WINDOWS\ogosif.lib

C:\WINDOWS\system32\winstra2.exe

C:\Program Files\Common Files\uharajuguw.dll

C:\Program Files\Common Files\jeqip.dll

C:\Documents and Settings\All Users\Dane aplikacji\ytucuwuraf.exe

C:\WINDOWS\system32\tihez.dl

C:\Documents and Settings\Tomek\Dane aplikacji\xocili.exe

C:\WINDOWS\bohehixec.sys

C:\WINDOWS\isoq.ban

C:\WINDOWS\system32\olyqyvy.inf

C:\WINDOWS\xudozijice.com

C:\WINDOWS\yguq.vbs

C:\Documents and Settings\Tomek\Dane aplikacji\honeqe.vbs

C:\Documents and Settings\Tomek\Dane aplikacji\ebefaq.reg

C:\WINDOWS\isahesiko.db

C:\WINDOWS\system32\_scui.cpl

C:\WINDOWS\nirul.ban

C:\Documents and Settings\Tomek\Dane aplikacji\lisiguqah.pif

C:\WINDOWS\system32\amibyzav.reg

C:\WINDOWS\ozezyqezis.inf

C:\Program Files\Common Files\amewamed.com

C:\WINDOWS\epyvog.com

C:\Documents and Settings\All Users\Dane aplikacji\inukydeham.bat

C:\WINDOWS\ulufujywe.ban

C:\WINDOWS\ifyqa.vbs

C:\WINDOWS\foxyxowoq.scr

C:\Program Files\Common Files\ropizow.com

C:\WINDOWS\tqwolser.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

baldys16 · 19 Sierpień 2008 15:52

zrob scan tym:

http://forum.programosy.pl/program-szuk … 97108.html

podaj wynik na forum

iFeniks · 19 Sierpień 2008 16:08

dobra jest, super dzięki za szybką odpowiedź, widziałes u góry ze ja już sam odpalałem Combo fixa i zrobił mi z automatu to co chciał?

ale ok zrobiłem tak jak pisałeś i oto log po tych czynnościach

http://wklejto.pl/8338

jeśłi jescze czymś moge sprawdzić to to wykonam, tylko napisz, i tak ten sys już jest długo i nieźle zapusczony

ale nie mam czasu narazie na robienie formata i stawianie swiezego porzadkowanego sysa

jescze dodam jeden log ze wczoraj(znaczy dokłądnie to juz z dzisiaj o 1am), znalazlem jak laziłem po 2 dysku w poszukiwaniu lekarstw, w katalogu secutiry ten skrypcik silentrunners i odpalilem go na pale (bo taki katalog ) i utworzylem ten chyba krótszy log ale mozesz tez zerknąć, jaki burdel sie zrobił wczoraj mi

http://wklejto.pl/8343


zgodnie z prośbą log z FixIEDef:

[http://wklejto.pl/8344](http://wklejto.pl/8344)

A teraz, co w związku z tymi logami mogę jescze zrobić wg was?

huber2t · 19 Sierpień 2008 16:14

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\winstra1.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8672bd6f-1523-11dd-b995-000129d260fc}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

iFeniks · 19 Sierpień 2008 16:25

ale jesteście szybcy normalnie nie nadązam robić logów

prosze oto log z tej ostatniej operacji (klucz i plik)

http://wklejto.pl/8347

pozdr.

huber2t · 19 Sierpień 2008 16:27

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

iFeniks · 19 Sierpień 2008 18:04

ok ok dzięki dzięki

z tego wsyzstkiego zostało mi przeskanować Ccleaner’em i poczekac te pare godz. na ten log z Kasperczaka

po 42min dopiero 7% moze jutro już bedzie

//update

zatrzymalem tylko do dysku C: i raport jest:

http://wklejto.pl/8357

nie patrzcie na tego ‘ardamax’ to jakis stare badziewie sie ostało w dokumentach

poczyscilem troche autostart i rejestr ccleanerem wg wskazówek

super wielkie dzięki za pomoc w odrobaczeniu kompa :lol:

huber2t · 20 Sierpień 2008 02:38

Lepiej abyś usunął to:

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\cache4\opr02VF8

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

iFeniks · 20 Sierpień 2008 14:36

Witam witam

Zrobiłem tak jak prosiłes a to log z Avangera:

pozwolilem sobie wkleic go w quote bo jest w miare krótki

następnie dla spokojności zrobiłem log HiJackiem i Silent runners

HiJack:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:18:29, on 2008-08-20 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Radeon Omega Drivers\v3.8.252\ATI Tray Tools\atitray.exe C:\Program Files\SpeedFan\speedfan.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE W:\D PAGEFILE\security\HiJack-This 2.2\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.219.28.144:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo\IH_iexplore.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Program Files\ivo\Expressivo\IH_iexplore.dll O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions O4 - HKLM…\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice O4 - HKCU…\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: ATI Tray Tools.lnk = C:\Program Files\Radeon Omega Drivers\v3.8.252\ATI Tray Tools\atitray.exe O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe – End of file - 6397 bytes

i tutaj moje pytanko, za co odpowiadają te wpisy przy starcie odnoszące sie do CTFMON, widzialem na poradach wyzej ze to jest do wyłączenia,

SilentRunners: http://wklejto.pl/8434

po tym logu jak to wszystko u mnie wygląda? jakieś optymalizacje jescze proponujecie może ?

pozdr.

thx za wszystkie odp.

huber2t · 20 Sierpień 2008 14:44

fix w hijackthis

Poza tym ok

iFeniks · 20 Sierpień 2008 15:46

aha no tak, niezauważyłem, pusty wpis

już fixnięte

a w ogóle to brawo =D> za waszą misję tu na forum chłopaki

BIG respect