MisczU Napisano Wrzesień 6, 2010 Zgłoś Share Napisano Wrzesień 6, 2010 Witam. Od wczoraj mam pewien problem z wchodzeniem na partycje przez mój komputer. Gdy próbuję włączyć dysk podwójnym kliknięciem wyskakuje mi pytanie "Jakiego programu użyć aby uruchomić?". Na forach czytałem że jest to problem związany z robakiem który mógł się do mnie dostać za pomocą jakiegoś dysku USB lub Pendrivea. Podobno da sie tego robaka usunąć za pomocą jakichś logów od combofix'a, ale całkowicie nie mam pojęcia jak się za to zabrać. Pomożecie? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 6, 2010 Zgłoś Share Napisano Wrzesień 6, 2010 Przeskanuj komputer programem Malwarebytes' Anti-Malware, pozwól mu naprawić to, co znajdzie i daj log powstały po zakończeniu skanowania. Ponadto daj logi z OTL wygenerowane na domyślnych ustawieniach. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Wrzesień 6, 2010 Autor Zgłoś Share Napisano Wrzesień 6, 2010 To pierwsze zrozumiałem ale co to są logi z OTL wygenerowane w domyślnych ustawieniach?? Link do komentarza Udostępnij na innych stronach More sharing options...
Tabula Napisano Wrzesień 6, 2010 Zgłoś Share Napisano Wrzesień 6, 2010 Są to logi wygenerowane programem OTL, do ściągnięcia stąd Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 6, 2010 Zgłoś Share Napisano Wrzesień 6, 2010 OTL to program, do którego link masz w mojej sygnaturce. Ściągnij go na Pulpit, uruchom i kliknij skanuj. Otworzą się logi w notatniku, wrzuć je na forum jako załącznik do posta, lub na wklej.org i daj na forum linka. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Wrzesień 7, 2010 Autor Zgłoś Share Napisano Wrzesień 7, 2010 Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Wersja bazy: 4562 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 8.0.6001.18702 2010-09-07 15:11:40 mbam-log-2010-09-07 (15-11-40).txt Typ skanowania: Szybkie skanowanie Przeskanowano obiektów: 167149 Upłynęło: 5 minut(y), 18 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 8 Zainfekowanych wartości rejestru: 5 Zainfekowane informacje rejestru systemowego: 1 Zainfekowanych folderów: 0 Zainfekowanych plików: 6 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CLASSES_ROOT\CLSID\{6247ad89-7244-49ea-b72d-7dc57e59a306} (Adware.Shopper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6247ad89-7244-49ea-b72d-7dc57e59a306} (Adware.Shopper) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.norton2009reset (Trojan.Hacktool) -> No action taken. HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken. Zainfekowanych wartości rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\api32 (Spyware.OnlineGames) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> No action taken. Zainfekowane informacje rejestru systemowego: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: C:\Program Files\P2P_Torrent\tbP2P0.dll (Adware.Shopper) -> No action taken. C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\herss.exe (Spyware.OnlineGames) -> No action taken. C:\Program Files\Norton2009Reset.exe (Trojan.Hacktool) -> No action taken. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken. C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\apiqq0.dll (Spyware.OnlineGames) -> No action taken. C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\apiqq.exe (Spyware.OnlineGames) -> No action taken. To są logi z Malwarebytes anti-malware. Co robić z zainfekowanymi plikami??? Usuwać czy Ignorować, bo nie wiem czy usunięcie jakiegoś bardziej nie zaszkodzi. Logi z OTL wrzucę za chwilę. To są logi z OTL (chyba )OTL.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 7, 2010 Zgłoś Share Napisano Wrzesień 7, 2010 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives autorun.inf /alldrives opdux.exe /alldrives :OTL O4 - HKU\S-1-5-21-515967899-57989841-839522115-1005..\Run: [api32] C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\apiqq.exe File not found O4 - HKU\S-1-5-21-515967899-57989841-839522115-1005..\Run: [cdoosoft] C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-515967899-57989841-839522115-1005..\Run: [CubeDesktop] File not found O33 - MountPoints2\{6d1bb50b-b5ad-11df-9aa6-00241d8de5f5}\Shell\AutoRun\command - "" = I:\opdux.exe -- File not found O33 - MountPoints2\{6d1bb50b-b5ad-11df-9aa6-00241d8de5f5}\Shell\open\Command - "" = I:\opdux.exe -- File not found O33 - MountPoints2\{eec5e480-0e60-11df-989e-806d6172696f}\Shell\AutoRun\command - "" = H:\opdux.exe -- File not found O33 - MountPoints2\{eec5e480-0e60-11df-989e-806d6172696f}\Shell\open\Command - "" = H:\opdux.exe -- File not found O33 - MountPoints2\{f2f05195-927f-11de-bdd1-806d6172696f}\Shell\AutoRun\command - "" = opdux.exe O33 - MountPoints2\{f2f05195-927f-11de-bdd1-806d6172696f}\Shell\open\Command - "" = opdux.exe O33 - MountPoints2\{f2f05196-927f-11de-bdd1-806d6172696f}\Shell\AutoRun\command - "" = opdux.exe O33 - MountPoints2\{f2f05196-927f-11de-bdd1-806d6172696f}\Shell\open\Command - "" = opdux.exe O33 - MountPoints2\{f2f05197-927f-11de-bdd1-806d6172696f}\Shell\AutoRun\command - "" = opdux.exe O33 - MountPoints2\{f2f05197-927f-11de-bdd1-806d6172696f}\Shell\open\Command - "" = opdux.exe :Commands [emptyflash] [emptytemp] i kliknij Uruchom skrypt. Po restarcie otrzymasz log. 2. Wykonaj pełne skanowanie programem Malwarebytes' Anti-Malware. 3. Wygeneruj nowy log w OTL. 4. Ściągnij i uruchom program Defogger. Za jego pomocą wyłącz emulację napędów. 5. Ściągnij program GMER i wygeneruj za jego pomocą log, tak jak jest to opisane w tym poście. Po zrobieniu wszystkiego zamieść logi powstałe w krokach 1, 2, 3 oraz 5. Poza tym otrzymujesz ostrzeżenie za piractwo. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Wrzesień 7, 2010 Autor Zgłoś Share Napisano Wrzesień 7, 2010 Z punktu 1 All processes killed ========== FILES ========== C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\Dc1 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1006 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc7 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc6\Oblivion folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc6 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc5\OF Dragon Rising\Łącza folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc5\OF Dragon Rising folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc5 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc4\Split Second folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc4 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc2\NBA 2K10 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\Dc2 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. Folder move failed. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dc2 scheduled to be moved on reboot. Folder move failed. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dc12 scheduled to be moved on reboot. Folder move failed. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dc10 scheduled to be moved on reboot. Folder move failed. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dc1 scheduled to be moved on reboot. Folder move failed. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 scheduled to be moved on reboot. C:\RECYCLER folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\Dd5 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\Dd4 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\Dd3\Różne folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\Dd3 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1006 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dd3 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dd21 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004\Dd2 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003 folder moved successfully. D:\RECYCLER\S-1-5-21-1659004503-764733703-725345543-1003 folder moved successfully. D:\RECYCLER folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1006 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\De27 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005\De21 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003 folder moved successfully. E:\RECYCLER\S-1-5-21-1659004503-764733703-725345543-1003 folder moved successfully. E:\RECYCLER folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1006 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003\Dh5 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003\Dh3 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003\Dh2.A folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003\Dh1 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1003 folder moved successfully. H:\RECYCLER\S-1-5-21-1659004503-764733703-725345543-1003 folder moved successfully. H:\RECYCLER folder moved successfully. C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. E:\autorun.inf moved successfully. H:\autorun.inf moved successfully. Logi z punktu 2 Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Wersja bazy: 4562 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 8.0.6001.18702 2010-09-07 18:15:42 mbam-log-2010-09-07 (18-15-42).txt Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|H:\|) Przeskanowano obiektów: 97585 Upłynęło: 1 godzin(y), 9 minut(y), 20 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 12 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP183\A0056917.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0057229.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0057258.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0058256.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0058288.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0058308.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0058324.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP187\A0058352.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP188\A0058525.exe (Spyware.OnlineGames) -> No action taken. C:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP189\A0058597.exe (Spyware.OnlineGames) -> No action taken. C:\Documents and Settings\Janek\Moje dokumenty\Pobieranie\ac3filter_1_63b[www.instalki.pl].exe (Rogue.Installer) -> No action taken. C:\Documents and Settings\Janek\Ustawienia lokalne\Temp\install_flash_player.exe (Trojan.Downloader) -> No action taken. Logi z punktu 3 (załącznik) Punktu 3 i 4 nie wykonywałem gdyż wszystko działa już jak należy a poza tym to dla mnie czarna magia jak narazie, a nie chce niczego sknocić.OTL.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Wrzesień 7, 2010 Zgłoś Share Napisano Wrzesień 7, 2010 Te logi, które dostarczyłeś wyglądają dobrze. Wolałbym zobaczyć jeszcze log z GMERa, ale jak już uważasz. Jeśli wszystko działa dobrze, to uruchom OTL raz jeszcze i kliknij opcję Sprzątanie. Wyczyści to system z resztek po działaniu OTL. Zaktualizuj oprogramowanie, które masz zainstalowane do najnowszych wersji (na pewno masz nieaktualną Javę oraz Adobe Readera, bo to widzę, warto sprawdzić jednak jeszcze Flash Playera). Następnie wyłącz na chwilę przywracanie systemu, włącz je ponownie i ustaw nowy punkt przywracania. No i napisz jak to wszystko teraz działa. Link do komentarza Udostępnij na innych stronach More sharing options...
