x-kom hosting

Proszę O Sprawdzenie Loga

pusti
utworzono
utworzono

Log z RSIT:

http://www.wklej.org/id/554465/

Info z RSIT:

http://www.wklej.org/id/554466/

Log z GMER:

http://www.wklej.org/id/554470/

I Mam Jeszcze Log z HiJack This:

http://www.wklej.org/id/554451/

Proszę o POMOC !!!

wirusolog
komentarz
komentarz (edytowane)

Jest tu ogrmona infekcja. W takim razie użyj i pokaż log z [url=http://www.forumpc.pl/index.php?showtopic=153621][b][color=blue][u]ComboFixa[/url][/b][/color][/u].

pusti
komentarz
komentarz (edytowane)

Dziękuje za poświęcony czas.

Niestety combofix jak go wlaczam cos tam wypakuje i restaruje mi komputer:)

Nie wiem czy dam rade zrobic loga z combofixa :)

Czekam na odp.

wirusolog
komentarz
komentarz

Pobierz ComboFixa ze zmienioną nazwą -> [url=http://www.speedyshare.com/files/29218404/123.com][b][color=blue][u]123.com[/url][/b][/color][/u].
Po pobraniu startujesz do Trybu Awaryjnego (wcisksz F8 przed ładowaniem się systemu) wybierasz z listy ,,Tryb Awaryjny" i ENTER.
Czekasz, aż się załaduje Tryb Awaryjny i odpalasz tam ComboFixa ([b]123.com[/b])
Jeżeli nie dasz rady to dasz logi z [url=http://www.itxassociates.com/OT-Tools/OTL.scr][b][color=blue][u]OTL.scr[/url][/b][/color][/u]

pusti
komentarz
komentarz (edytowane)

Trybu Awaryjnego tez nie potrafie wlaczyc. Restartuje mi sie komputer.

Zmienialem nazwe i tez mnie wywala.

Sprubuje jeszcze tego OTL.

OTL:

http://www.wklej.org/id/554945/

OTL Extras :

http://www.wklej.org/id/554947/

wirusolog
komentarz
komentarz

Daje na początek usuwanie infekcji, potem zajmiemy się komsetyką i rzeczami z nimi związane.

[hr]

[b]1.[/b] Uruchom OTL i w oknie [b]Własne opcje skanowania/Skrypt[/b] wklej następujący tekst:

[code]:OTL
O4 - HKU\S-1-5-21-1078081533-1004336348-839522115-1003..\Run: [Xhpopl] C:\Documents and Settings\Pusti\Dane aplikacji\Xhpopl.exe File not found
O4 - HKU\S-1-5-21-1078081533-1004336348-839522115-1003..\Run: [Microsoft MainUpdates] C:\Documents and Settings\Pusti\Dane aplikacji\E-73473-3674-74335\msnrsmsn.exe (Microsoft)
O4 - HKU\S-1-5-21-1078081533-1004336348-839522115-1003..\Run: [R4B1ZAOPF5] C:\Documents and Settings\Pusti\Ustawienia lokalne\Temp\Frr.exe ()
O4 - HKU\S-1-5-21-1078081533-1004336348-839522115-1003..\Run: [CPU Config] C:\Documents and Settings\Pusti\Ustawienia lokalne\Temp\udpconmain.exe (Microsoft)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [Machine Debug Manager] C:\WINDOWS\system32\MDM32.exe (Microsoft)

:Files
C:\Documents and Settings\Pusti\Dane aplikacji\E-73473-3674-74335
C:\Documents and Settings\Pusti\Dane aplikacji\FD.exe
C:\Documents and Settings\Pusti\Dane aplikacji\5D.exe
C:\Documents and Settings\Pusti\Dane aplikacji\182.exe
C:\Documents and Settings\Pusti\Dane aplikacji\E.exe
C:\Documents and Settings\Pusti\Dane aplikacji\21.exe
C:\Documents and Settings\Pusti\Dane aplikacji\3.exe
C:\Documents and Settings\Pusti\Dane aplikacji\20.exe
C:\Documents and Settings\Pusti\Dane aplikacji\A.exe
C:\Documents and Settings\Pusti\Dane aplikacji\7.exe
C:\sandbox
C:\cwsandbox
C:\Program Files\Wireshark
C:\Documents and Settings\Pusti\Dane aplikacji\6.exe
C:\Documents and Settings\Pusti\Dane aplikacji\2.exe
C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-1004336348-839522115-1003UA.job
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\QXYCRWRZB.job
C:\WINDOWS\System32\c_20261V.dll
C:\WINDOWS\Ftijua.exe
C:\Documents and Settings\Pusti\Dane aplikacji\20D.exe
C:\Documents and Settings\Pusti\Dane aplikacji\209.exe
C:\Documents and Settings\Pusti\Dane aplikacji\208.exe
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-1004336348-839522115-1003Core1cc2416da792b5a.job
C:\WINDOWS\System32\solidlocalmon.dll
C:\WINDOWS\System32\solidlocalui.dll

:Commands
[emptyflash]
[emptytemp][/code]
Kliknij w [b]Wykonaj skrypt[/b]. Zatwierdź restart komputera.

[b]2.[/b] Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję [b]Skanuj[/b]. Pokazujesz nowe logi z OTL + raport z usuwania.

pusti
komentarz
komentarz (edytowane)

http://www.wklej.org/id/555025/ - raport

http://www.wklej.org/id/555030/ - nowy LOG

wirusolog
komentarz
komentarz (edytowane)

[b]1.[/b] Uruchom OTL i w oknie [b]Własne opcje skanowania/Skrypt[/b] wklej następujący tekst:

[code]:OTL
O4 - HKLM..\Run: [Machine Debug Manager] File not found
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
[2011-05-10 22:05:06 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Pusti\Dane aplikacji\Mozilla\Firefox\Profiles\rl0120g8.default\extensions\vshare@toolbar
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - prefs.js..extensions.enabledItems: {DB9127A2-3381-41ec-82B3-1B6ED4C6F29A}:1.1
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

:Files
C:\Documents and Settings\Pusti\Dane aplikacji\Xhpopl.exe
C:\Documents and Settings\Pusti\Dane aplikacji\1A.exe
C:\Documents and Settings\Pusti\Pulpit\abc451.com
C:\WINDOWS\Ftijue.exe
C:\Documents and Settings\Pusti\Dane aplikacji\191.exe
C:\WINDOWS\Ftijud.exe
C:\Documents and Settings\Pusti\Pulpit\ComboFix.exe
C:\32788R22FWJFW
C:\Documents and Settings\Pusti\Pulpit\123.exe
C:\WINDOWS\Ftijuc.exe
C:\Qoobox
C:\WINDOWS\Ftijub.exe
C:\Program Files\SweetIM

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\MDM32.exe" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\Pusti\USTAWI~1\Temp\Rar$EX00.546\R_studio_4_serial_number_maker.exe" =-
"C:\DOCUME~1\Pusti\USTAWI~1\Temp\Rar$EX04.812\R_studio_4_serial_number_maker.exe" =-
"C:\Documents and Settings\Pusti\Pulpit\R_studio_4_serial_number_maker.exe" =-
"C:\Documents and Settings\Pusti\Dane aplikacji\E-73473-3674-74335\msnrsmsn.exe" =-
"C:\WINDOWS\system32\MDM32.exe" =-
"C:\Documents and Settings\Pusti\Moje dokumenty\Downloads\SweetImSetup.exe" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{97B4DF0B-7499-455F-AFBA-F70F64D6D86A}" =-
"{A1194237-547A-461d-BD44-B97B1574A7DA}" =-

:Commands
[purity]
[emptytemp][/code]
Kliknij w [b]Wykonaj skrypt[/b]. Zatwierdź restart komputera.

[b]2.[/b] Ściągnij [url=http://www.teamxscript.org/too/AD-R.exe][b][color=blue][u]Ad-Remover[/url][/b][/color][/u] i wciśnij w nim [b]Clean[/b]
Pokaż raport z tego narzędzia.

[b]3.[/b] Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję [b]Skanuj[/b]. Pokazujesz nowe logi z OTL + raport z usuwania.

[b]4.[/b] Pozamykaj robaczywe porty przy pomocy WWDC
-> [url=http://www.hotfix.pl/obsluga-programu-windows-worms-doors-cleaner-a77.htm][b][color=blue][u]PORADNIK[/url][/b][/color][/u]
-> [url=http://cybertrash.pl/downloads/wwdc.exe][b][color=blue][u]Link z którego można ściągnąć[/url][/b][/u][/color]

pusti
komentarz
komentarz (edytowane)

http://www.wklej.org/id/555041/ - Ad-remover

http://www.wklej.org/id/555043/ - raport

http://www.wklej.org/id/555046/ - no i LOG

wirusolog
komentarz
komentarz

Ściągnij teraz ComboFixa i spróbój dać z niego log (uruchamiaj go w Trybie Normalnym).

pusti
komentarz
komentarz

http://www.wklej.org/id/555052/ - LOG ComboFix

wirusolog
komentarz
komentarz

To już będzie ostatni skrypt OTL i kroki końcowe.

[hr]

[b]1.[/b] Uruchom OTL i w oknie [b]Własne opcje skanowania/Skrypt[/b] wklej następujący tekst:

[code]:OTL
O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.)
O2 - BHO: (no name) - {1631550F-191D-4826-B069-D9439253D926} - No CLSID value found.
[2011-06-29 10:46:47 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Pusti\Dane aplikacji\Mozilla\Firefox\Profiles\rl0120g8.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2011-06-29 10:49:07 | 000,000,000 | ---D | M] (PriceGong) -- C:\Documents and Settings\Pusti\Dane aplikacji\Mozilla\Firefox\Profiles\rl0120g8.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
SRV - [2011-06-27 10:26:47 | 002,033,656 | ---- | M] (R-Tools Technology Inc.) [On_Demand | Stopped] -- C:\WINDOWS\System32\_rs_agent.exe -- (R-Studio Agent)
[2011-02-23 16:23:26 | 000,001,326 | ---- | M] ()(C:\Documents and Settings\Pusti\Pulpit\??????.lnk) -- C:\Documents and Settings\Pusti\Pulpit\快车下载目录.lnk
[2011-02-23 16:23:26 | 000,001,326 | ---- | C] ()(C:\Documents and Settings\Pusti\Pulpit\??????.lnk) -- C:\Documents and Settings\Pusti\Pulpit\快车下载目录.lnk

:Files
C:\WINDOWS\System32\secustat.dat
C:\WINDOWS\System32\secushr.dat

:Services
gupdate
gupdatem

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"NeroCheck"=-
[/code]
Kliknij w [b]Wykonaj Skrypt[/b]. Pojawi się notatnik - nie dawaj mi go / możesz go zamknąć.

[b]2.[/b] Odinstaluj prawidłowo ComboFix'a:
Start>>>Uruchom>>>wklep tam to:
[b]"c:\documents and settings\Pusti\Moje dokumenty\Downloads\ComboFix.exe" /uninstall[/b]
wciśnij ENTER. ComboFix zostanie odinstalowany.

[b]3.[/b] Uruchom Ad-Remover i wciśnij w nim [b]UNINSTALL[/b].

[b]4.[/b] W OTL wciśnij przycisk [b]Sprzątanie[/b].

[b]5.[/b] Aktualizacja zabezpieczeń:
[quote]
[b]Windows XP Professional Edition Dodatek Service Pack 2[/b] (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer [b](Version = 6.0.2900.2180)[/b]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = [b]Java(TM) 6 Update 24[/b]
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = [b]OpenOffice.org 3.2[/b]
"Adobe Flash Player Plugin" = [b]Adobe Flash Player 10 Plugin[/b]
"KLiteCodecPack_is1" = [b]K-Lite Codec Pack 3.8.5 Full[/b]
"Mozilla Firefox 4.0.1 (x86 pl)" = [b]Mozilla Firefox 4.0.1 (x86 pl)[/b]

AV: avast! antivirus [b]4.8.1368[/b] [VPS 110327-0]
[/quote]
[list]
[*]Stary Lisek, do aktualizacji [url="http://www.mozilla-europe.org/pl/firefox/"][color="#0000FF"][b]Firefox 5.0[/b][/color][/url].
[*]Do aktualizacji 32-bitowa wersja [url="http://www.oracle.com/technetwork/java/javase/downloads/index.html"][color="#0000FF"][b]Java 6 Update 26 (JRE)[/b][/color][/url] (Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").
[*]Nie jest tu widoczna wersja Flash, na wszelki wypadek podsuwam do aktualizacji [url="http://get.adobe.com/flashplayer/"][color="#0000FF"][b]Adobe Flash Player 10.3.181.34[/b][/color][/url]. Jeśli ma się odbyć aktualizacja w Firefox oraz Internet Explorer, stronę należy otworzyć dwa razy w każdej z przeglądarek z osobna. Nie dotyczy Google Chrome (ma własny wbudowany Flash). I Google Chrome - też nie widzę czy to aktualna wersja.
[*]Jest tu bardzo dziurawy system jak i przeglądarka, więc do aktualizacji [url=http://www.microsoft.com/downloads/pl-pl/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e][b][color=blue][u]Windows XP Service Pack 3[/url][/b][/color][/u] + [url=http://www.microsoft.com/downloads/pl-pl/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b][b][color=blue][u]Internet Explorer 8[/url][/b][/color][/u].
[*]OpenOffice jest już w wersji [url=http://download.openoffice.org/index.html][b][color=blue][u]3.30[/url][/b][/color][/u].
[*]Posiadasz starą wersję Avasta, więc on też do aktualzacji na wersję [url=http://pobierz.pl/programy/windows/bezpieczenstwo/programy-antywirusowe/Avast][b][color=blue][u]Avast 6.0[/url][/b][/color][/u].
[*]Kodeki tak samo, aktualizacja do wersji [url=http://www.dobreprogramy.pl/KLite-Codec-Pack,Program,Windows,13137.html][b][color=blue][u]7.20[/url][/b][/color][/u].[/list]

[b]6.[/b] Do wyczyszczenia punkty przywracania systemu: [url=http://www.searchengines.pl/Czyszczenie-punktow-przywracania-systemu-t141981.html][b][color="#0000FF"][u]LINK[/url][/b][/color][/u]

[b]7.[/b] Zalecam [b]pełne skanowanie[/b] [url=http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button][b][color="#0000FF"][u]MBAM[/url][/b][/color][/u] (po instalacji zaaktualizuj ręczne baze wirusów, usuń to co znajdzie i wklej raport końcowy).

pusti
komentarz
komentarz (edytowane)

http://www.wklej.org/id/555089/ - LOG

wirusolog
komentarz
komentarz (edytowane)

Miało być chyba pełne skanowanie + nie widzę przeprowadzonych aktualizacji / chodzi mi system + przeglądarkę.

pusti
komentarz
komentarz (edytowane)

Mój Błąd..... Przepraszam !!!

Zaraz Postaram Się Wrzucić.

Jedynie IE nie aktualizowałem.


http://www.wklej.org/id/555234/ - Mam nadzieje ze teraz dobrze.

wirusolog
komentarz
komentarz

Teraz ze strony MBAM jest OK.

[quote name='pusti' timestamp='1309461910' post='1290067']
Jedynie IE nie aktualizowałem.[/quote]
IE również jest ważnym elementem do aktualizacji, bez względu na używanie alternatyw. Z jego silnika korzystają w trybie cichym różne funkcje systemu.

To chyba na tyle z mojej strony.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.