Aktualizacje na programosy.pl:
EverNote • Qimage • Cypheros TS-Doctor • GridinSoft Anti-Malware • Loaris Trojan Remover • Monkey′s Audio • Mozilla Firefox • Atlantis Word Processor • Machinery HDR Effects
-
- Ogłoszenie:
Win32:rootkit-gen oraz s1.exe!?
7 posty(ów) • Strona 1 z 1
Win32:rootkit-gen oraz s1.exe!?
przez eez 01 Mar 2010, 09:25
Płyta główna Asrock P67 Pro3 I Procesor Intel Core i5 2500K 3.3 GHz BOX I Pamięć Goodram DDR3 2x4096MB 1333MHz CL9.0 BOX I Dysk SATA Seagate Barracuda 2TB I Zasilacz OCZ 700MXSP I Grafika Radek 6870 XFX BE DH 1GB I Monitor LCD LG 23" I Windows 7 Ultimate
- eez
- ~user
- Posty: 326
- Dołączenie: 04 Lut 2008, 10:24
- Miejscowość: ŁDZ
- Pochwały: 3
Win32:rootkit-gen oraz s1.exe!?
przez wojtas 01 Mar 2010, 11:04
Pamiętaj że wg zasad wstawiania logów brakuje jeszcze loga z GMERA
infekcja z pendriva ... sformatuj go najlepiej lub te urządzenie na którym przyniosłeś te wirusy... dopiero potem:
Uruchom OTL i w oknie Custom Scans/Fixes wklej :
Kliknij w Run Fix. I potwierdz reset kompa .
Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera
infekcja z pendriva ... sformatuj go najlepiej lub te urządzenie na którym przyniosłeś te wirusy... dopiero potem:
Uruchom OTL i w oknie Custom Scans/Fixes wklej :
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1682929
IE - HKCU\..\URLSearchHook: {0b876028-b388-4f6d-922f-f52faec8535f} - C:\Program Files\WeFiBar\tbWeFi.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
O2 - BHO: (WeFiBar Toolbar) - {0b876028-b388-4f6d-922f-f52faec8535f} - C:\Program Files\WeFiBar\tbWeFi.dll (Conduit Ltd.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (WeFiBar Toolbar) - {0b876028-b388-4f6d-922f-f52faec8535f} - C:\Program Files\WeFiBar\tbWeFi.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Nygus\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O32 - AutoRun File - [2010-03-01 08:21:20 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-03-01 08:21:20 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-03-01 08:21:20 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{bcc84605-c738-11de-b5b8-00500448b1b7}\Shell\AutoRun\command - "" = H:\p3vwxx.exe -- File not found
O33 - MountPoints2\{bcc84605-c738-11de-b5b8-00500448b1b7}\Shell\open\Command - "" = H:\p3vwxx.exe -- File not found
:Files
C:\Documents and Settings\Nygus\Ustawienia lokalne\Temp\cvasds1.dll
C:\Documents and Settings\Nygus\Dane aplikacji\Mozilla\Firefox\Profiles\maf0yuuf.default\extensions\{ee1a404c-5714-451f-9365-a94936993d19}
C:\Program Files\pdfforge Toolbar
C:\Program Files\WeFiBar
C:\Documents and Settings\Nygus\Ustawienia lokalne\Dane aplikacji\WeFiBar
C:\Program Files\Conduit
C:\Documents and Settings\Nygus\Ustawienia lokalne\Dane aplikacji\Conduit
C:\s1.exe
C:\autorun.inf
d:\s1.exe
d:\autorun.inf
e:\s1.exe
e:\autorun.inf
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
Kliknij w Run Fix. I potwierdz reset kompa .
Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Win32:rootkit-gen oraz s1.exe!?
przez eez 01 Mar 2010, 14:01
sry za te logi
ale mam kłopot
możesz mi napisać jak powinien zachowywać się OTL bo gdy naciskam run fix to program się zawiesza tj brak odpowiedzi
poza tym zaktualizowałem avasta i teraz wykrywa mi tego wirusa s1.exe co 10 sekund po jego wykasowaniu jeszcze spróbuje z tym OTL ale nie daje rady????
no i ciągle to samo od godziny OTL nie reaguje??
kolejny problem to taki że wykryło mi nowe wirusy np win32onlinegames i to na wszystkich dyskach po kolei po około 10 wirusów i na dodatek chcąc teraz wejśc na jakiś dysk wyskakuje mi okno abym wybrał program do otwarcia tego pliku co jest???
nie wiem co się dzieje programy nie chca odpowiadać - zacząłem skanować malwaebytes a ten pokazał
da sie coś zrobić żeby pozbyć się tego badziewia???
hm wrzucam kolejny log OTL na takich ustawieniach programu
przed chwila skończyłem skanowanie avastem nic nie wykrył ale pozostaje problem:
tego że nie moge wejść bezpośrednio do dysków
i taki problem że nie moge odinstalować avasta ;o
ale mam kłopot
możesz mi napisać jak powinien zachowywać się OTL bo gdy naciskam run fix to program się zawiesza tj brak odpowiedzi
poza tym zaktualizowałem avasta i teraz wykrywa mi tego wirusa s1.exe co 10 sekund po jego wykasowaniu jeszcze spróbuje z tym OTL ale nie daje rady????
no i ciągle to samo od godziny OTL nie reaguje??
kolejny problem to taki że wykryło mi nowe wirusy np win32onlinegames i to na wszystkich dyskach po kolei po około 10 wirusów i na dodatek chcąc teraz wejśc na jakiś dysk wyskakuje mi okno abym wybrał program do otwarcia tego pliku co jest???
nie wiem co się dzieje programy nie chca odpowiadać - zacząłem skanować malwaebytes a ten pokazał
da sie coś zrobić żeby pozbyć się tego badziewia???
hm wrzucam kolejny log OTL na takich ustawieniach programu
przed chwila skończyłem skanowanie avastem nic nie wykrył ale pozostaje problem:
tego że nie moge wejść bezpośrednio do dysków
i taki problem że nie moge odinstalować avasta ;o
Płyta główna Asrock P67 Pro3 I Procesor Intel Core i5 2500K 3.3 GHz BOX I Pamięć Goodram DDR3 2x4096MB 1333MHz CL9.0 BOX I Dysk SATA Seagate Barracuda 2TB I Zasilacz OCZ 700MXSP I Grafika Radek 6870 XFX BE DH 1GB I Monitor LCD LG 23" I Windows 7 Ultimate
- eez
- ~user
- Posty: 326
- Dołączenie: 04 Lut 2008, 10:24
- Miejscowość: ŁDZ
- Pochwały: 3
-
Win32:rootkit-gen oraz s1.exe!?
przez wojtas 01 Mar 2010, 19:45
Daj loga z combofixa ale przed jego użyciem wykasuj jeśli masz programy emulujące napędy
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Win32:rootkit-gen oraz s1.exe!?
przez eez 01 Mar 2010, 21:06
oto log z combofixa ;]
i co ty na to? i zaczeło normalnie wchodzić w dyski ;] to już coś ;]
i co ty na to? i zaczeło normalnie wchodzić w dyski ;] to już coś ;]
Płyta główna Asrock P67 Pro3 I Procesor Intel Core i5 2500K 3.3 GHz BOX I Pamięć Goodram DDR3 2x4096MB 1333MHz CL9.0 BOX I Dysk SATA Seagate Barracuda 2TB I Zasilacz OCZ 700MXSP I Grafika Radek 6870 XFX BE DH 1GB I Monitor LCD LG 23" I Windows 7 Ultimate
- eez
- ~user
- Posty: 326
- Dołączenie: 04 Lut 2008, 10:24
- Miejscowość: ŁDZ
- Pochwały: 3
-
Win32:rootkit-gen oraz s1.exe!?
przez wojtas 01 Mar 2010, 21:11
Otworz notatnik i wklej w nim to:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Czynności końcowe :
1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
Folder::
c:\program files\pdfforge Toolbar
C:\_OTL
c:\program files\Conduit
c:\documents and settings\Nygus\Ustawienia lokalne\Dane aplikacji\WeFiBar
c:\documents and settings\Nygus\Ustawienia lokalne\Dane aplikacji\Conduit
c:\program files\WeFiBar
c:\documents and settings\Nygus\Dane aplikacji\Search Settings
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Czynności końcowe :
1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Win32:rootkit-gen oraz s1.exe!?
przez eez 02 Mar 2010, 16:41
miałem trochę problemów bo coś się zacięło w Malwarebytes Anti-Malware choć coś tam wykrył ale ogólnie czystko niestety będę dalej temat drążył bo jeszcze muszę uwolnić lapka od tego robaka więc będę pisał niedługo a na razie wielkie dz za pomoc ;] pozdro
Płyta główna Asrock P67 Pro3 I Procesor Intel Core i5 2500K 3.3 GHz BOX I Pamięć Goodram DDR3 2x4096MB 1333MHz CL9.0 BOX I Dysk SATA Seagate Barracuda 2TB I Zasilacz OCZ 700MXSP I Grafika Radek 6870 XFX BE DH 1GB I Monitor LCD LG 23" I Windows 7 Ultimate
- eez
- ~user
- Posty: 326
- Dołączenie: 04 Lut 2008, 10:24
- Miejscowość: ŁDZ
- Pochwały: 3
-
7 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 9 gości