bolek31
(Rs4 1978)
6 Luty 2010 15:21
#1
po zainstalowaniu awasta a pozniej eseta( i odinstalowaniu awasta) i wykryciu wirusa komp sie restatuje w momencie uruchamiania aplikacji np odkurzacz lub Iplus . Awast i eset inie mogły usunać wirusa
oto log z programu hijack this : http://www.wklej.eu/index.php?id=522df69b3a
deFco247
(deFco247)
6 Luty 2010 15:24
#2
Nie wklejaj logów na wklej.eu, gdyż ta strona utrudnia przeglądanie tekstu.
Używaj wklej.org , wklej.to lub nopaste.pl .
Pokaż logi z narzędzi:
OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
System Repair Engineer
bolek31
(Rs4 1978)
6 Luty 2010 15:45
#3
deFco247
(deFco247)
6 Luty 2010 15:54
#4
Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
{E2E2DD38-D088-4134-82B7-F2BA38496583}
{FB5F1910-F110-11D2-BB9E-00C04F795683}
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2009-02-06 21:52:38 | 000,122,880 | ---- | M] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\winlogon.exe MOD - [2010-02-05 16:01:23 | 000,023,552 | ---- | M] () – C:\WINDOWS\system32\olemdb32.dll O4 - HKLM…\Run: [sMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe File not found O4 - HKCU…\Run: [Tok-Cirrhatus] C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\smss.exe ( ) O4 - Startup: C:\Documents and Settings\Paweł\Menu Start\Programy\Autostart\Empty.pif ( ) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2010-02-06 00:00:01 | 000,000,000 | —D | C] – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Bron.tok-4-6 [2010-02-05 00:00:01 | 000,000,000 | —D | C] – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Bron.tok-4-5 [2010-02-04 00:00:00 | 000,000,000 | —D | C] – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Bron.tok-4-4 [2010-02-03 16:11:18 | 000,000,000 | —D | C] – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2010-02-03 15:38:12 | 000,000,000 | —D | C] – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2010-02-03 15:25:42 | 000,000,000 | —D | C] – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Bron.tok-4-3 [2008-01-29 13:01:30 | 000,122,880 | ---- | C] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\winlogon.exe [2008-01-29 13:01:30 | 000,122,880 | ---- | C] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\smss.exe [2008-01-29 13:01:30 | 000,122,880 | ---- | C] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\services.exe [2008-01-29 13:01:30 | 000,122,880 | ---- | C] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\lsass.exe [2008-01-29 13:01:30 | 000,122,880 | ---- | C] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\inetinfo.exe [2008-01-29 13:01:30 | 000,122,880 | ---- | C] ( ) – C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\csrss.exe [2010-02-05 16:01:23 | 000,023,552 | ---- | M] () – C:\WINDOWS\System32\olemdb32.dll :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
bolek31
(Rs4 1978)
6 Luty 2010 16:15
#5
http://wklej.to/aJd3 OTL
dalej eset wyrzuca w pliku olemb32.dll wirusa
Gdzie jest log z usuwania bo nie moge go znaleźć (nie ma w folderze z programem sreng)
jaro65
(Batura1)
6 Luty 2010 16:40
#6
Po pierwsze Awast i Nod to anywirus jak masz już wirusa to tym narzędziem raczej go na 98% nie usuniesz;
kompa trzeba przeorać ComboFixem (przeczytaj instrukcję obsługi) a dopiero później bawić się z logami
– Dodane 06.02.2010 (So) 17:40 –
Po pierwsze Awast i Nod to anywirus jak masz już wirusa to tym narzędziem raczej go na 98% nie usuniesz;
kompa trzeba przeorać ComboFixem (przeczytaj instrukcję obsługi) a dopiero później bawić się z logami
bolek31
(Rs4 1978)
6 Luty 2010 17:37
#7
http://wklej.to/IWs7 LOG sreng
czy uzyc kombo fixa tak jak autor sugerował wyzej ?
deFco247
(deFco247)
6 Luty 2010 17:51
#8
Chyba jednak tak.
Tak na marginesie ów olemb32.dll to keylogger .
Pobierz Combofix , ale nie uruchamiaj.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
bolek31
(Rs4 1978)
6 Luty 2010 18:24
#9
deFco - zrobiłem wszystko tak jak wyżej napisane ale w trakcie kiedy combofix dziala wyskakuje komunikat ze nie udalo sie zainicjowac czegoś tam(nie nadążam przeczytać bo okno się zamyka) i restartuje się komputer i nie ma nigdzie loga. Co mam zrobić?
A i dalej wyskakuje okienko że wykryło tego keyloggera.
deFco247
(deFco247)
6 Luty 2010 18:40
#10
Pobierz go na nowo, tylko pod zmienioną nazwą z rozszerzeniem .com .
No i upewnij się, że:
bolek31
(Rs4 1978)
6 Luty 2010 19:12
#11
Zrobiłem jak napisane(tzn ściągnąłem i zmieniłem rozszerzenie na com) ale to i tak nic nie dało. Nadal przy tworeniu przez combofixa przywracania systemu(czy jakos tak) wyskakuje okno bledu i komputer sie restartuje. Wszystkie zabezpieczenia sa wylaczone(nawet odinstalowalem antywirusa). Wspomne jeszcze ze komputer restartuje sie w rownych momentach(np jak chce pobrac jakis plik to wtedy nastepuje restartowanie ale nie jest to restart “brutalny” tylko normalnie wyskakuje ekran ze trwa ponowne uruchamianie komputra). Z combofixem chyba nie wyjdzie. Chyba ze jeszcze jakos inaczej. A moze innym programem? Pomóżcie bo nie chce robić reinstalacji systemu…