Tirell
(Tirellek)
25 Maj 2010 17:47
#1
Witam
Mam 2 problemy.
Pierwszy to to ,że nie mogę zaznaczyć opcji “Pokaż ukryte pliki lub foldery”.
Drugi to problem z pingami… od około tygodnia mam ten problem.
Myślę ,że to z powodu jakiegoś robaczka :P.
Z góry dzięki za pomoc.
Log z OTL - http://wklej.to/59UI
deFco247
(deFco247)
25 Maj 2010 17:58
#2
Brak loga Extras.txt. Uzupełnij ten brak w następnym poście.
Po pierwsze do całkowitego usunięcia powinny pójść wszelakiej maści Elf-boty do Tibii, gdyż przez nie masz infekcję
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL MOD - [2010-05-25 18:40:46 | 000,074,240 | RHS- | M] () – C:\Documents and Settings\Mati\Ustawienia lokalne\Temp\dsoqq0.dll SRV - File not found [Auto | Stopped] – -- (QuestService Service) SRV - File not found [On_Demand | Stopped] – -- (FirebirdServerMAGIXInstance) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15561&l=dis IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - HKLM\software\mozilla\Firefox\Extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.2.0.2150\FF FF - HKLM\software\mozilla\Firefox\Extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.2.0.5360\FF FF - HKLM\software\mozilla\Firefox\Extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.2.0.2050\FF [2009-10-16 15:37:27 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Documents and Settings\Mati\Dane aplikacji\Mozilla\Firefox\Profiles\qn31c0ah.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-04-22 14:29:06 | 000,002,424 | ---- | M] () – C:\Documents and Settings\Mati\Dane aplikacji\Mozilla\Firefox\Profiles\qn31c0ah.default\searchplugins\askcom.xml [2009-07-04 16:43:17 | 000,000,523 | ---- | M] () – C:\Documents and Settings\Mati\Dane aplikacji\Mozilla\Firefox\Profiles\qn31c0ah.default\searchplugins\daemon-search.xml [2009-10-16 15:37:36 | 000,001,250 | ---- | M] () – C:\Documents and Settings\Mati\Dane aplikacji\Mozilla\Firefox\Profiles\qn31c0ah.default\searchplugins\winamp-search.xml O2 - BHO: (no name) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - No CLSID value found. O2 - BHO: (no name) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - No CLSID value found. O2 - BHO: (no name) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - No CLSID value found. O2 - BHO: (no name) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - No CLSID value found. O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O2 - BHO: (no name) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} - No CLSID value found. O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Mati\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU…\Run: [dso32] C:\Documents and Settings\Mati\Ustawienia lokalne\Temp\dsoqq.exe () O4 - Startup: C:\Documents and Settings\Mati\Menu Start\Programy\Autostart\vmon.exe () O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) O20 - HKLM Winlogon: Shell - (C:/windows/services.exe) - C:\windows\services.exe File not found O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - C:\Program Files\Common Files\logonInit.dll () O32 - AutoRun File - [2010-05-25 19:35:28 | 000,000,061 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-25 19:35:28 | 000,000,061 | RHS- | M] () - D:\autorun.inf – [NTFS] :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Files C:\cobn8w3.exe C:\f662sjd.exe C:\imghyva6.exe C:\pbyqfn.exe D:\cobn8w3.exe D:\f662sjd.exe D:\imghyva6.exe D:\pbyqfn.exe :Commands [emptytemp] [emptyflash] [clearallrestorepoints] [start explorer] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Z podłączonymi pendrive zastosuj USBFix z opcji 5 . Pokaż raport.
Tirell
(Tirellek)
25 Maj 2010 19:25
#3
Brakujący plik Extras - http://wklej.to/Wjo6
Niestety ale raportu z usuwania nie mam ponieważ myślałem że będzie on zapisany na dysku jak w przypadku plików OTL i Extras, ale było napisane że zabiło procesy także to chyba jest ok.
Nowy log z otl’a : http://wklej.to/fvSq
Czy do ostatniej operacji koniecznie musi być pendrive czy może być inne urządzenie USB(np mp3)?
deFco247
(deFco247)
25 Maj 2010 19:48
#4
Zabijane były procesy, a nie pliki. Raport z usuwania zawsze się znajduje w jednym z podfolderów folderu C:_OTL
Wszystko na czym są przenoszone pliki.
Wklej w OTL:
:OTL O20 - Winlogon\Notify\kbupdate: DllName - kbupdate.dll - C:\WINDOWS\System32\kbupdate.dll () [2010-05-25 17:40:39 | 000,000,000 | ---- | M] () – C:\Program Files\Common Files\userInit.dll [2010-04-02 21:30:29 | 000,007,680 | ---- | C] () – C:\WINDOWS\System32\drivers\nd.sys [2010-04-02 21:30:18 | 000,197,120 | ---- | C] () – C:\WINDOWS\System32\crt4.dll [2010-04-02 21:30:18 | 000,111,616 | ---- | C] () – C:\WINDOWS\System32\kbsnd32.dll [2010-04-02 21:30:18 | 000,111,104 | ---- | C] () – C:\WINDOWS\System32\kbddta.dll [2010-04-02 21:30:18 | 000,098,304 | ---- | C] () – C:\WINDOWS\System32\kbdatat4.dll :Commands [Reboot]
Run Fix i restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Tirell
(Tirellek)
25 Maj 2010 20:13
#5
mi trojany wyglądają na obecność Vundo
użyj VundoFix
deFco247
(deFco247)
26 Maj 2010 17:42
#7
klopers33 , infekcja ta jest praktycznie niespotykana w dniach dzisiejszych. Poza tym Vundofix i tak już nie działa na tą infekcję.
Tirell , w logach brak już jakichkolwiek infekcji.
W OTL kliknij CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Konieczne zaktualizuj następujące:
XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)