Zainfekowany system 'temp2.exe'

arek83cs · 6 Kwiecień 2010 09:35

Witam

Proszę o sprawdzenie loga z hijackthis

Po uruchomieniu systemu wyskakuje komunikat o błedzie z plikiem ‘temp2.exe’.

Skanowałem kilkoma antywirami i spybotem-SD, które znalazły wiele innych infekcji, np plik ‘svchost.exe’ bezpośrednio w katalogu c:\windows, z tego co wiem powinien być w system32.

Zrobić skan combofixem?

Proszę o pomoc

deFco247 · 6 Kwiecień 2010 09:59

Para HijackThis + Combofix już jest od dawna nieaktualna.

Obecnie się używa OTL i z niego należy wstawiać logi.

Przestawiasz w nim Processes i Modules na All, Extra Registry na Use Safelist oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

arek83cs · 6 Kwiecień 2010 10:28

OTL.txt

http://wklejto.pl/62920

Extras.txt

http://wklejto.pl/62921

W OTL zaznaczyłem również opcję ‘LOP Check’ i ‘purity Check’.

deFco247 · 6 Kwiecień 2010 10:47

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes killallprocesses :OTL MOD - [2010-04-06 11:19:47 | 000,079,872 | RHS- | M] () – C:\Documents and Settings\Pracownik1\Ustawienia lokalne\Temp\cvasds0.dll MOD - [2005-04-07 20:48:42 | 000,060,474 | ---- | M] () – C:\WINDOWS\system32\e8main1.dll IE - HKCU…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\3.bin\MWSSRCAS.DLL (MyWebSearch.com) FF - prefs.js…extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js…keyword.URL: “http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZRfox000&fl=0&ptb=LViz9uZC69Ds2PWFYF_e0Q&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=kwd&searchfor=” [2009-05-25 11:08:07 | 000,009,941 | ---- | M] () – C:\Documents and Settings\Pracownik1\Dane aplikacji\Mozilla\Firefox\Profiles\61kv20rp.default\searchplugins\mywebsearch.xml O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\3.bin\MWSSRCAS.DLL (MyWebSearch.com) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKCU…\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com) O4 - HKLM…\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com) O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Pracownik1\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe File not found F3 - HKCU WinNT: Load - (C:\WINDOWS\svchost.exe) - C:\WINDOWS\svchost.exe () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () O32 - AutoRun File - [2010-04-06 12:13:15 | 000,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] [2010-04-06 11:19:45 | 000,035,346 | ---- | M] () – C:\WINDOWS\System32\temp1.exe [2010-04-06 11:19:45 | 000,002,085 | ---- | M] () – C:\WINDOWS\System32\temp2.exe [2009-06-24 09:44:32 | 000,103,936 | RHS- | C] () – C:\WINDOWS\System32\nmdfgds1.dll [2009-06-24 09:43:51 | 000,103,936 | RHS- | C] () – C:\WINDOWS\System32\nmdfgds0.dll [2010-01-29 14:06:05 | 000,100,864 | RHS- | M] () – C:\0fpdq2dw.exe [2009-11-05 15:25:18 | 000,114,602 | RHS- | M] () – C:\1a1dndah.exe [2010-02-01 09:27:10 | 000,090,624 | RHS- | M] () – C:\1hqup.exe [2009-08-05 09:44:01 | 000,106,110 | RHS- | M] () – C:\22yj2fy1.exe [2009-12-08 16:23:48 | 000,120,468 | RHS- | M] () – C:\2buirw.exe [2009-12-07 08:58:46 | 000,115,347 | RHS- | M] () – C:\2id9.exe [2010-03-08 13:02:35 | 000,127,488 | RHS- | M] () – C:\2u923g01.exe [2010-03-12 08:51:27 | 000,114,176 | RHS- | M] () – C:\3dcs9.exe [2009-07-03 14:12:21 | 000,107,546 | RHS- | M] () – C:\3j2h0tf.bat [2009-11-13 08:55:33 | 000,115,016 | RHS- | M] () – C:\6ruaqx.exe [2010-01-12 09:20:56 | 000,118,784 | RHS- | M] () – C:\8xcrbho6.exe [2009-11-02 15:45:29 | 000,115,127 | RHS- | M] () – C:\9b9w3.exe [2010-02-03 16:10:34 | 000,094,208 | RHS- | M] () – C:\9d6tpg.exe [2009-12-23 09:37:57 | 000,120,409 | RHS- | M] () – C:\9ffp.exe [2010-01-21 09:31:22 | 000,118,272 | RHS- | M] () – C:\9fo3ar0j.exe [2009-11-17 14:36:40 | 000,114,180 | RHS- | M] () – C:\9g86.exe [2010-02-11 08:49:27 | 000,091,648 | RHS- | M] () – C:\9qqigqwf.exe [2009-08-13 09:09:05 | 000,104,662 | RHS- | M] () – C:\9u.exe [2009-07-08 10:41:17 | 000,111,248 | RHS- | M] () – C:\9vlgaqms.cmd [2010-01-18 09:19:08 | 000,115,712 | RHS- | M] () – C:\9xf8.exe [2010-03-25 09:43:24 | 000,125,440 | RHS- | M] () – C:\bbjl2g.exe [2010-01-25 15:41:39 | 000,097,792 | RHS- | M] () – C:\c2e.exe [2010-01-27 09:30:13 | 000,100,864 | RHS- | M] () – C:\df.exe [2010-01-07 09:09:08 | 000,118,784 | RHS- | M] () – C:\e9naq.exe [2010-03-10 11:44:07 | 000,121,856 | RHS- | M] () – C:\ey.exe [2010-01-08 09:31:09 | 000,121,344 | RHS- | M] () – C:\f2kmj.exe [2010-03-04 16:01:24 | 000,114,688 | RHS- | M] () – C:\fk.exe [2009-11-10 15:37:34 | 000,112,695 | RHS- | M] () – C:\g12g.exe [2010-03-17 10:09:19 | 000,133,632 | RHS- | M] () – C:\ggpw.exe [2009-02-28 12:35:04 | 000,108,843 | RHS- | M] () – C:\gi2ky.exe [2010-01-04 09:11:23 | 000,120,320 | RHS- | M] () – C:\h0.exe [2009-11-23 08:52:23 | 000,115,372 | RHS- | M] () – C:\i9bwjpqc.exe [2009-12-28 09:33:12 | 000,106,496 | RHS- | M] () – C:\imghyva6.exe [2010-03-24 08:55:33 | 000,128,512 | RHS- | M] () – C:\ji83j.exe [2009-12-16 16:21:54 | 000,119,986 | RHS- | M] () – C:\k0maw.exe [2010-03-02 09:49:12 | 000,096,768 | RHS- | M] () – C:\k1d.exe [2009-12-04 16:07:48 | 000,113,233 | RHS- | M] () – C:\k8jc.exe [2010-01-13 09:22:14 | 000,125,440 | RHS- | M] () – C:\kmj.exe [2009-11-20 08:52:22 | 000,114,469 | RHS- | M] () – C:\lphfa.exe [2009-07-29 14:28:14 | 000,108,530 | RHS- | M] () – C:\mb9x.exe [2009-12-02 10:26:07 | 000,115,905 | RHS- | M] () – C:\mbdm.exe [2009-12-04 09:10:51 | 000,113,792 | RHS- | M] () – C:\mbvd.exe [2010-04-01 08:26:14 | 000,115,712 | RHS- | M] () – C:\mi9al8rs.exe [2009-06-24 09:44:30 | 000,108,679 | RHS- | M] () – C:\ml.com [2010-01-29 17:26:31 | 000,097,280 | RHS- | M] () – C:\mvmdh.exe [2009-11-04 08:55:09 | 000,111,826 | RHS- | M] () – C:\mwfubaob.exe [2010-03-15 12:28:00 | 000,116,736 | RHS- | M] () – C:\nhx.exe [2009-12-10 08:52:29 | 000,119,009 | RHS- | M] () – C:\nqdymj.exe [2009-12-21 09:58:18 | 000,120,315 | RHS- | M] () – C:\nx.exe [2009-12-22 08:56:19 | 000,121,316 | RHS- | M] () – C:\nymdik.exe [2010-02-17 09:19:59 | 000,096,256 | RHS- | M] () – C:\p3vwxx.exe [2009-11-12 08:53:51 | 000,113,817 | RHS- | M] () – C:\pbudsara.exe [2010-04-02 14:10:37 | 000,116,224 | RHS- | M] () – C:\pbyqfn.exe [2010-01-22 15:17:08 | 000,096,768 | RHS- | M] () – C:\qkm.exe [2010-03-01 10:47:03 | 000,097,792 | RHS- | M] () – C:\s1.exe [2010-04-01 09:35:35 | 000,115,712 | RHS- | M] () – C:\sdfqh.exe [2009-11-04 15:36:06 | 000,114,304 | RHS- | M] () – C:\srgo.exe [2010-01-19 09:20:47 | 000,123,392 | RHS- | M] () – C:\sywyrl0q.exe [2009-12-17 09:04:26 | 000,119,627 | RHS- | M] () – C:\t8g.exe [2010-02-23 09:45:19 | 000,096,768 | RHS- | M] () – C:\tgt.exe [2009-11-10 08:56:06 | 000,114,778 | RHS- | M] () – C:\vk0w.exe [2009-08-11 08:55:29 | 000,106,711 | RHS- | M] () – C:\wbj.exe [2009-12-29 10:13:11 | 000,098,816 | RHS- | M] () – C:\wisf1.exe [2010-02-08 09:39:08 | 000,091,648 | RHS- | M] () – C:\ws.exe [2009-11-24 09:00:29 | 000,113,508 | RHS- | M] () – C:\wu1n.exe [2009-12-08 08:56:01 | 000,118,048 | RHS- | M] () – C:\xmor.exe [2010-01-29 15:38:35 | 000,100,864 | RHS- | M] () – C:\y.exe [2010-04-06 08:12:40 | 000,115,712 | RHS- | M] () – C:\ysyjq1bs.exe :Files C:\RECYCLER C:\Program Files\MyWebSearch :Commands [emptytemp] [Reboot]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

arek83cs · 6 Kwiecień 2010 11:08

Dzięki za pomoc Wygląda na to, że już jest dobrze

Po restarcie nie wyskakuje już to okno z ‘temp2.exe’ ;]

Ponadto floppy zaprzestał migania diodą (tak jakby czytał A) pomimo iż nie było dyskietki w napędzie.

Log z usuwania

http://wklejto.pl/62929

Nowy log

http://wklejto.pl/62931

deFco247 · 6 Kwiecień 2010 11:44

W logu jest już czysto.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Zabezpiecz się przed infekcjami z pendrive: Flash Disinfector lub Panda USB Vaccine.

No i obowiązkowe aktualizacje nie tylko systemu:

XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

Usuń stare wersje Javy i zaktualizuj ją za pomocą JavaRa.

arek83cs · 7 Kwiecień 2010 07:21

Dopiero dziś wykonałem kolejne kroki ;/

Java…

Skan Malwarebytes

http://wklejto.pl/63052

Potem CCleaner… wg instrukcji

Na koniec CleanUP w OTL (zastanawiam się, czy nie zawaliłem sprawy, bo tak późno)

Zaraz ściągam SP3 i IE8

deFco247 · 7 Kwiecień 2010 12:10

Lepiej by było jakbyś wykonywał kroki w takiej kolejności jak podałem, ale mniejsza z tym…

Znalezione obiekty usunąłeś?

arek83cs · 7 Kwiecień 2010 12:14

Usunąłem, zainstalowałem pozostałe aktualizacje.

Przeskanowałem jeszcze raz Malwarebytes i nic nie znalazł ;]

Dzięki jeszcze raz za pomoc