Yerbaka utworzono 22 maja 2010 utworzono 22 maja 2010 Witam załapałem tego wirusa , zainstalowalem malwarebytes i zrobiłem skan oto log: [log]Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Wersja bazy: 4131 Windows 5.1.2600 Dodatek Service Pack 2 Internet Explorer 6.0.2900.2180 22.05.2010 21:12:11 mbam-log-2010-05-22 (21-12-11).txt Typ skanowania: Pełne skanowanie (G:\|H:\|) Przeskanowano obiektów: 141511 Upłynęło: 49 minut(y), 49 sekund(y) Zainfekowanych procesów w pamięci: 2 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 4 Zainfekowanych wartości rejestru: 5 Zainfekowane informacje rejestru systemowego: 1 Zainfekowanych folderów: 0 Zainfekowanych plików: 12 Zainfekowanych procesów w pamięci: G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143\gotnewupdate005002.exe (Malware.Packer.Gen) -> No action taken. G:\WINDOWS\system32\EXPLORER.EXE (Password.Stealer) -> No action taken. Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{34191832-b958-4ee8-9d1c-93f9916fccc5} (Trojan.BHO.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{34191832-b958-4ee8-9d1c-93f9916fccc5} (Trojan.BHO.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{34191832-b958-4ee8-9d1c-93f9916fccc5} (Trojan.Boxxe) -> No action taken. HKEY_CURRENT_USER\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} (Adware.DoubleD) -> No action taken. Zainfekowanych wartości rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\81m1zorj (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\81m1zorj (Trojan.FakeAlert.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gotnewupdate005002.exe (Malware.Packer.Gen) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer.exe (Password.Stealer) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsctf.exe (Trojan.Agent) -> No action taken. Zainfekowane informacje rejestru systemowego: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: G:\WINDOWS\system32\avifil.dll (Trojan.BHO.H) -> No action taken. G:\WINDOWS\system32\81m1zorj.exe (Trojan.FakeAlert.H) -> No action taken. G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143\gotnewupdate005002.exe (Malware.Packer.Gen) -> No action taken. G:\WINDOWS\system32\EXPLORER.EXE (Password.Stealer) -> No action taken. G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143\hookdll.dll (Rogue.AntimalwareDoctor) -> No action taken. G:\Documents and Settings\abc 1\Ustawienia lokalne\Temp\Coreg.dll (Trojan.Boxxe) -> No action taken. G:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K1E3W1YJ\hxak[1].png (Worm.Conficker) -> No action taken. G:\WINDOWS\system32\tmcetlle.dll (Worm.Conficker) -> No action taken. G:\WINDOWS\irunin.bmp (Malware.Trace) -> No action taken. G:\WINDOWS\irunin.dat (Malware.Trace) -> No action taken. G:\WINDOWS\irunin.ini (Malware.Trace) -> No action taken. G:\WINDOWS\irunin.lng (Malware.Trace) -> No action taken.[/log] czy komputer już jest oczyszczony czy muszę coś jeszcze zrobić? pozdrawiam [color="#ff0000"]//przenoszę do subforum Logi do sprawdzenia //raaz[/color]
Tomek01 komentarz 22 maja 2010 komentarz 22 maja 2010 Jak może być już czysty jak nie podjąłeś działań usuwania w trakcie skanu. [b]No action taken.[/b] Załącz logi OTL i RSIT.
Yerbaka komentarz 22 maja 2010 Autor komentarz 22 maja 2010 (edytowane) Rsit: http://wklej.org/id/338454/ http://wklej.org/id/338455/ OTL : http://wklej.org/id/338457/ http://wklej.org/id/338460/ mam nadzieje, że wszystko dobrze wkleiłem i nic nie pomieszałem pozdrawiam
Tomek01 komentarz 22 maja 2010 komentarz 22 maja 2010 (edytowane) Jest infekcja z pendrive'a. Zastosuj [b][color=#0000CD][url=http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe]Flash Disinfector[/url][/color][/b], najlepiej z podpiętym pendrive'm. Do notatnika systemowego wklej taki tekst, (bez frazy kod): [code]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "G:\WINDOWS\system32\81m1zorj.exe"=- [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}] [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}] [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}] [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}] [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce02bee0-1da5-11df-ab05-000b6a1668d6}] [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}][/code] Plik zapisz jako/zmień rozszerzenie na wszystkie pliki/zapisz jako fix.reg/dwuklikiem dodajesz do rejestru. Pobierz [b][url=http://www.instalki.pl/programy/download/antyspyware/get.php?file=avenger]Avenger[/url][/b] W polu input script here wklej taki tekst (bez frazy kod): [code]Files to delete: D:\EXPLORER.EXE C:\EXPLORER.EXE Folders to delete: G:\Documents and Settings\abc 1\Ustawienia lokalne\Dane aplikacji\.#[/code] Klikasz execute, komputer uruchamia się ponownie. Do [url="http://jpshortstuff.247fixes.com/SystemLook.exe"][b]System Look[/b][/url] [code]:file G:\WINDOWS\system32\svchost.exe :filefind svchost* [/code] Wciśnij look, pokaz co wyskoczy. Następnie pełny skan Mbam i usuwaj wszystko w trybie skanu. Załącz raport. Załączasz raport z Avengera, nowe logi OTL, RSIT i log z Silent Runners.
Yerbaka komentarz 22 maja 2010 Autor komentarz 22 maja 2010 (edytowane) "Jest infekcja z pendrive'a." co to oznacza? dawno nie podłączałem jakiejkolwiek pamięci zewnętrznej bo to chyba o nią chodzi prawda? no ale zastosuję się do rad, jak narazie dziekuję bardzo:)
Tomek01 komentarz 23 maja 2010 komentarz 23 maja 2010 To oznacza dokładnie to, że masz wirusa z pamięci USB. Nie musiało się to stać w tej chwili. Czekam na wykonanie zaleconych czynności.
Yerbaka komentarz 27 czerwca 2010 Autor komentarz 27 czerwca 2010 [i]Do notatnika systemowego wklej taki tekst, (bez frazy kod)[/i] jak to się robi?
Gość komentarz 27 czerwca 2010 komentarz 27 czerwca 2010 (edytowane) inaczej: podepnij peny itd zastosuj flasha -> http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe nastepnie po zastosowaniu: [b]1.[/b] Uruchom [b]OTL[/b] i w oknie [b]Custom Scans/Fixes[/b] wklej to: [quote] :OTL MsConfig - StartUpReg: [b]WinampAgent[/b] - hkey= - key= - H:\Program Files\Winamp\winampa.exe File not found O33 - MountPoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}\Shell\AutoRun\command - "" = F:\EXPLORER.EXE -- File not found O33 - MountPoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}\Shell\explore\Command - "" = F:\ O33 - MountPoints2\{0b2ab83a-455b-11df-94fb-000b6a1668d6}\Shell\open\Command - "" = F:\EXPLORER.EXE -- File not found O33 - MountPoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}\Shell\AutoRun\command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}\Shell\explore\Command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{19d1b872-4b04-11df-9514-000b6a1668d6}\Shell\open\Command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}\Shell\AutoRun\command - "" = G:\WINDOWS\explorer.exe -- [2006.03.02 14:00:00 | 001,033,728 | ---- | M] (Microsoft Corporation) O33 - MountPoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}\Shell\explore\Command - "" = G:\WINDOWS\explorer.exe -- [2006.03.02 14:00:00 | 001,033,728 | ---- | M] (Microsoft Corporation) O33 - MountPoints2\{2f97de3a-3f55-11df-94db-000b6a1668d6}\Shell\open\Command - "" = G:\WINDOWS\explorer.exe -- [2006.03.02 14:00:00 | 001,033,728 | ---- | M] (Microsoft Corporation) O33 - MountPoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}\Shell\AutoRun\command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}\Shell\explore\Command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{42af2be6-3f33-11df-94da-000b6a1668d6}\Shell\open\Command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{8ddaa33a-ab65-11de-bda0-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{8ddaa33a-ab65-11de-bda0-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found O33 - MountPoints2\{ce02bee0-1da5-11df-ab05-000b6a1668d6}\Shell - "" = AutoRun O33 - MountPoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}\Shell\AutoRun\command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}\Shell\explore\Command - "" = C:\EXPLORER.EXE -- File not found O33 - MountPoints2\{e9551a8a-4f73-11df-952b-000b6a1668d6}\Shell\open\Command - "" = C:\EXPLORER.EXE -- File not found O4 - HKLM..\Run: [Resume copy] G:\WINDOWS\COPYFSTQ.EXE () @Alternate Data Stream - 99 bytes -> G:\Documents and Settings\All Users\Dane aplikacji\TEMP:EF6E4E62 :Files G:\Documents and Settings\abc 1\Dane aplikacji\8C45D3D14241EF154A54486EE5BFF143 G:\WINDOWS\system32\tmcetlle.dll G:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K1E3W1YJ G:\Documents and Settings\abc 1\Ustawienia lokalne\Temp G:\WINDOWS\system32\EXPLORER.EXE :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot] [/quote] Kliknij w [b][color=red]Run Fix[/b][/color]. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom [b]OTL[/b] ponownie, tym razem kliknij "[b][color=blue]Run Scan[/b][/color]". Pokaż nowy log OTL.txt oraz raport z usuwania. [b]2.[/b] pokaż log z GMERA -> http://www.forumpc.pl/index.php?showtopic=116175&st=0&p=810100&#entry810100
Yerbaka komentarz 28 czerwca 2010 Autor komentarz 28 czerwca 2010 log po usuwaniu : http://wklej.org/id/357323/ log po scanie : http://wklej.org/id/357324/ logi z gamera wrzucę później
Yerbaka komentarz 28 czerwca 2010 Autor komentarz 28 czerwca 2010 log gamer: http://wklej.org/id/357466/ log2 z gamera nie odnalazł żadnych modyfikacji
Gość komentarz 28 czerwca 2010 komentarz 28 czerwca 2010 (edytowane) jest ok! mozesz jeszcze raz przeskanowac mbamem
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.