Witam,
Odkryłem dzisiaj, że mój komputer jest zainfekowany. Normalnie nie robiłbym problemu, gdyby nie to, że został zainfekowany EXPLORER.EXE.
Wirus to: Worm.Detnat.e .
Wirus blokuje mi takie strony jak http://www.microsoft.com , http://www.avast.com , http://www.symantec.com i wszystkie inne związane z bezpieczeństwem.
Z tego co wyczytałem do tej pory na tym forum to potrzebny jest log z HiJackThis: http://www.wklejto.pl/74006
oraz z ComboFix, lecz przeczytałem, że ten program automatycznie próbuje usunąć szkodliwe pliki a ja potrzebuje teraz kompa (nie mam czasu na format dysku jakby co).
Mam wykonać skan Combofixem?
Czy mogę liczyć na pomoc?
pozdrawiam
andrzej654
– Dodane 07.08.2010 (So) 22:35 –
podaję jeszcze linka do log z OTL: http://www.wklejto.pl/74008
– Dodane 07.08.2010 (So) 22:37 –
wyskoczył jeszcze jeden z OTL: http://www.wklejto.pl/74009
jessica
(jessica)
8 Sierpień 2010 05:19
#2
Jest CONFICKER oraz jest infekcja pendrivowa.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL NetSvcs: hpfgoobpn - C:\WINDOWS\system32\rjnprb.dll () SRV - [2008-04-15 14:00:00 | 000,157,130 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\rjnprb.dll – (hpfgoobpn) O4 - HKCU…\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE () O4 - HKCU…\Run: [wsctf.exe] File not found O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE () O33 - MountPoints2{cc884fcc-a17c-11df-9dc2-003005c5b6a1}\Shell\AutoRun\command - “” = I:\EXPLORER.EXE – File not found O33 - MountPoints2{cc884fcc-a17c-11df-9dc2-003005c5b6a1}\Shell\explore\Command - “” = I:\EXPLORER.EXE – File not found O33 - MountPoints2{cc884fcc-a17c-11df-9dc2-003005c5b6a1}\Shell\open\Command - “” = I:\EXPLORER.EXE – File not found O33 - MountPoints2{cc884fcd-a17c-11df-9dc2-003005c5b6a1}\Shell\AutoRun\command - “” = K:\EXPLORER.EXE – File not found O33 - MountPoints2{cc884fcd-a17c-11df-9dc2-003005c5b6a1}\Shell\explore\Command - “” = K:\EXPLORER.EXE – File not found O33 - MountPoints2{cc884fcd-a17c-11df-9dc2-003005c5b6a1}\Shell\open\Command - “” = K:\EXPLORER.EXE – File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - C:\Program Files\DAEMON Tools Lite\DTLite.exe File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: wsctf.exe - hkey= - key= - File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “7595:TCP”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
pierwszy log po uruchomieniu komputera: http://www.wklejto.pl/74027
oraz log już ze skanowania: http://www.wklejto.pl/74028
jessica
(jessica)
8 Sierpień 2010 08:18
#4
Ten fałszywy “explorer.exe” się nie usunął.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Użyj USBFix, z opcji DELETION >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Pokaż log z tego usuwania.
Oraz nowy log z OTL i raport z usuwania.
jessi
log z OTL: http://www.wklejto.pl/74033
i już ściągam UsBFix
– Dodane 08.08.2010 (N) 10:55 –
pierwszy log z USBFix: http://www.wklejto.pl/74034
– Dodane 08.08.2010 (N) 10:57 –
i log z DELETION: http://www.wklejto.pl/74035
– Dodane 08.08.2010 (N) 11:00 –
nowy log z OTL: http://www.wklejto.pl/74036
jessica
(jessica)
8 Sierpień 2010 09:15
#6
Pojawił się duży problem, bo OTL nie chce usuwać tego fałszywego pliku, bo uznaje go za znajdującego się na jego “białej liście”.
A USBFix go wcale nie widzi.
000,084,701 | -HS- | C] (Microsoft Corporation) – C:\WINDOWS\System32\EXPLORER.EXE —>zły 001,035,264 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\explorer.exe >prawidłowy
Ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\EXPLORER.EXE
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Oraz nowy log z OTL.
jessi
jessica
(jessica)
8 Sierpień 2010 09:31
#8
Avenger sobie poradził z tym problemem, i w nowym logu OTL jest już OK.
Czy sam sobie ustawiłeś taką stronę startową?
Jeśli nie sam, to wykonasz to:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script .
jessi
nie ustawiałem takie strony startowej w IE. Korzystam z Google Chrome i czasami z Firefox’a (gdy ściągam coś z YouTube’a)
log z OTL po ponownym uruchomieniu kompa: http://www.wklejto.pl/74040
jessica
(jessica)
8 Sierpień 2010 10:19
#10
Skoro nie używasz IE, to chyba to usuwanie nie było konieczne.
Ale też w niczym na pewno nie zaszkodzi.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie Avenger.
jessi
zainstalowałem sobie Microsoft Security Essentials wykonałem szybkie skanowanie i nie wykrył mi żadnych zagrożeń.
ogólnie nie jestem zwolennikiem antywirusów (nie instalowałem żadnego od 5 lat) czasami tylko wykonam skan mks’em online, jednak teraz zostawię sobie tego antywirusa od microsoftu. podobno jest całkiem niezły. zobaczymy.
– Dodane 08.08.2010 (N) 12:39 –
ok Jessi
wygląda na to, że już po wszystkim.
zrobię jeszcze pełnego skana w “MSE”
strony wszystkie już działają (www.microsoft.com , www.avast.com , www.symantec.com i inne)
WIELKIE DZIĘKI!
pozdrawiam
andrzej654
bitt69
(Bitt69)
7 Luty 2011 14:53
#12
Witam.
Odswieze temat, poniewaz mam ten sam problem. Avast wykryl Denata w pliku Explorer.exe. Ponizej link do mojego OTL.
http://www.wklejto.pl/88859
Prosze o pomoc.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13170&l=dis IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU…\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE () O4 - HKCU…\Run: [wsctf.exe] File not found O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\EXPLORER.EXE () O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE () O33 - MountPoints2{0040a2ba-2b01-11e0-ac85-0013d4aaa0bc}\Shell - “” = AutoRun O33 - MountPoints2{0040a2ba-2b01-11e0-ac85-0013d4aaa0bc}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2{5e0b9858-265b-11e0-ac78-c96598c2507c}\Shell - “” = AutoRun O33 - MountPoints2{5e0b9858-265b-11e0-ac78-c96598c2507c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2{5e0b9859-265b-11e0-ac78-c96598c2507c}\Shell - “” = AutoRun O33 - MountPoints2{5e0b9859-265b-11e0-ac78-c96598c2507c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2{5e6d750e-2635-11e0-ac6e-bdb1a46d797c}\Shell\AutoRun\command - “” = G:\EXPLORER.EXE O33 - MountPoints2{5e6d750e-2635-11e0-ac6e-bdb1a46d797c}\Shell\explore\Command - “” = G:\EXPLORER.EXE O33 - MountPoints2{5e6d750e-2635-11e0-ac6e-bdb1a46d797c}\Shell\open\Command - “” = G:\EXPLORER.EXE O33 - MountPoints2{c9f4c6ff-2b13-11e0-ac86-0013d4aaa0bc}\Shell - “” = AutoRun O33 - MountPoints2{c9f4c6ff-2b13-11e0-ac86-0013d4aaa0bc}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn O33 - MountPoints2{d3ee3b24-268a-11e0-ac7f-0013d4aaa0bc}\Shell\AutoRun\command - “” = G:\EXPLORER.EXE O33 - MountPoints2{d3ee3b24-268a-11e0-ac7f-0013d4aaa0bc}\Shell\explore\Command - “” = G:\EXPLORER.EXE O33 - MountPoints2{d3ee3b24-268a-11e0-ac7f-0013d4aaa0bc}\Shell\open\Command - “” = G:\EXPLORER.EXE :Files C:\WINDOWS\System32\EXPLORER.EXE C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Pokaż go ora znowy log z OTL
bitt69
(Bitt69)
7 Luty 2011 15:20
#14
raport po restarcie: http://www.wklejto.pl/88862
a tu wykonany drugi log juz po uruchomieniu: http://www.wklejto.pl/88865
Wklej w OTL:
Po usuwaniu pokaz nowy log.
bitt69
(Bitt69)
7 Luty 2011 15:44
#16
Wklej w OTL
Natępnie po wykonaniu skryptu pobierz Avenger:
http://swandog46.geekstogo.com/avenger2/avenger.exe
wklej do niego tekst:
Files to delete:
C:\WINDOWS\System32\EXPLORER.EXE
Kliknij w “Execute” i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz zrób na koniec nowy log z OTL
bitt69
(Bitt69)
7 Luty 2011 17:37
#18
raport avenger: http://www.wklejto.pl/88879
log z OTL: http://www.wklejto.pl/88880
– Dodane 07.02.2011 (Pn) 18:47 –
generalnie juz na stronki mozna wejsc, wiec chyba podzialalo.
Te logi są pourywane Wstaw je w całości
bitt69
(Bitt69)
7 Luty 2011 18:19
#20
nie wiem czy to konieczne, bo juz wszystko chodzi normalnie, a wyglada to tak, ze ja tu z wami szukam odpowiedzi na problem, ktory dotyczy komputera znajomego i on mi wkleja logi na gg a ja wam tutaj zawila troszke sytuacja, ale chodzi juz mu wszystko, wiec jakby cos sie mialo wysypac, to odezwe sie ponownie. Serdeczne dzieki za pomoc.