• Ogłoszenie:

Heur.w32

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Heur.w32

Postprzez adekbp 06 Sty 2010, 17:54

reklama
Witam.
Przeskanowałem kompauter mks_vir i znalazło mi wirusy heur.w32, bodajże było ich 19, oczywiście nie mogłem ich wyleczyć, ani usunąć. Zauważyłem że muli mi kompa, i znikneły mi z "Mój Komputer" dyski wymienne.

http://wklej.org/id/257854/ liczę na pomoc, jak cos zrobilem zle proszę napisać co poprawić. Pozdrawiam
adekbp
~user
 
Posty: 6
Dołączenie: 06 Sty 2010, 15:59



Heur.w32

Postprzez wojtas 06 Sty 2010, 20:34

Sformatuj pendriva swojego albo dysk przenośny bo tam masz wirusa...

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Adus\Ustawienia lokalne\Temp\herss.exe ()
O4 - Startup: C:\Documents and Settings\Adus\Menu Start\Programy\Autostart\79F279.lnk = C:\WINDOWS\system32\ADF53F\79F279.EXE ()
O32 - AutoRun File - [2010-01-06 16:46:17 | 00,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-01-06 16:46:17 | 00,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{10550560-e71a-11dd-acf5-806d6172696f}\Shell\AutoRun\command - "" = D:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\{10550560-e71a-11dd-acf5-806d6172696f}\Shell\open\Command - "" = D:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\{10550562-e71a-11dd-acf5-806d6172696f}\Shell\AutoRun\command - "" = C:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\{10550562-e71a-11dd-acf5-806d6172696f}\Shell\open\Command - "" = C:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\{1d55bcf8-05bb-11de-b3f3-000e8e0236d5}\Shell - "" = AutoRun
O33 - MountPoints2\{3c199066-ba78-11de-b6f8-001a4dfe230a}\Shell\AutoRun\command - "" = J:\nds0q.exe -- File not found
O33 - MountPoints2\{3c199066-ba78-11de-b6f8-001a4dfe230a}\Shell\open\Command - "" = J:\nds0q.exe -- File not found
O33 - MountPoints2\{6c260448-8048-11de-b617-001a4dfe230a}\Shell\AutoRun\command - "" = J:\2nuk.com -- File not found
O33 - MountPoints2\{6c260448-8048-11de-b617-001a4dfe230a}\Shell\open\Command - "" = J:\2nuk.com -- File not found
O33 - MountPoints2\{9ac47781-60a9-11de-b57d-001a4dfe230a}\Shell\AutoRun\command - "" = J:\k8jc.exe -- File not found
O33 - MountPoints2\{9ac47781-60a9-11de-b57d-001a4dfe230a}\Shell\open\Command - "" = J:\k8jc.exe -- File not found
O33 - MountPoints2\{b687f6c3-bca2-11de-b6fd-001a4dfe230a}\Shell\AutoRun\command - "" = J:\mwfubaob.exe -- File not found
O33 - MountPoints2\{b687f6c3-bca2-11de-b6fd-001a4dfe230a}\Shell\open\Command - "" = J:\
O33 - MountPoints2\{bd9d1fc2-a830-11de-b6aa-001a4dfe230a}\Shell - "" = AutoRun
O33 - MountPoints2\{bd9d1fc2-a830-11de-b6aa-001a4dfe230a}\Shell\1\Command - "" = J:\Recycle.exe -- File not found
O33 - MountPoints2\{bd9d1fc2-a830-11de-b6aa-001a4dfe230a}\Shell\2\Command - "" = J:\Recycle.exe -- File not found
O33 - MountPoints2\{ee0a5154-3033-11de-b4b0-000e8e0236d5}\Shell - "" = AutoRun
O33 - MountPoints2\{f85c0e48-16db-11de-b444-000e8e0236d5}\Shell - "" = AutoRun
O33 - MountPoints2\C\Shell\AutoRun\command - "" = C:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\C\Shell\open\Command - "" = C:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()
O33 - MountPoints2\D\Shell\open\Command - "" = D:\e9naq.exe -- [2010-01-06 13:09:49 | 00,118,272 | RHS- | M] ()

:Files
C:\Documents and Settings\Adus\Dane aplikacji\Mozilla\Firefox\Profiles\0hs5ff9h.default\extensions\toolbar@ask.com
C:\Documents and Settings\Adus\Dane aplikacji\Mozilla\Firefox\Profiles\0hs5ff9h.default\searchplugins\winampsearch.xml
C:\WINDOWS\system32\ADF53F
C:\Program Files\Winamp Toolbar
C:\Program Files\Ask.com
C:\Documents and Settings\Adus\Ustawienia lokalne\Temp\herss.exe
C:\e9naq.exe
D:\e9naq.exe
C:\autorun.inf
D:\autorun.inf
C:\anoataly.exe
D:\anoataly.exe
C:\3exi.exe
D:\3exi.exe
C:\wisf1.exe
D:\wisf1.exe
C:\imghyva6.exe
D:\imghyva6.exe
C:\u16sqrqn.exe
D:\u16sqrqn.exe
C:\nx.exe
D:\nx.exe
C:\yu3.exe
C:\t8g.exe
C:\k0maw.exe
d:\yu3.exe
d:\t8g.exe
d:\k0maw.exe
C:\nqdymj.exe
D:\nqdymj.exe
C:\xmor.exe
D:\xmor.exe

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]


Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Heur.w32

Postprzez adekbp 06 Sty 2010, 21:54

http://wklej.org/id/258145/ to mi wyskoczyło odrazu po resecie.
http://wklej.org/id/258159/ a tutaj po resarcie kompa i wybraniu opcji run scan


a tak apropo, przez tego wirusa znikneły mi dyski wymienne, znaczy nie czyta mi kart pamięci umieszczonych w kompie. może wiecie co jest tego przyczyną? nic napewno się nie odłaaczyło, bo jak wkladam karte do slota to zaświeca się kontrolka, wiec napewno jest podlączona, ale pozatym nic sie nie dzieje, nie wykrywa karty. tutaj daje zrzut ekranu.

edit: zapomniałem dodac linka do zrzutu, oto on: http://w425.wrzuta.pl/obraz/aSLTgvyqc3Z/bez_tytulu
adekbp
~user
 
Posty: 6
Dołączenie: 06 Sty 2010, 15:59



Heur.w32

Postprzez wojtas 06 Sty 2010, 23:27

Podepnij ta kartę.. Daj loga z combofixa ale zainstaluj wraz z nim konsolę odzyskiwania ( instrukcja programu )

Autor postu otrzymał pochwałę
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Heur.w32

Postprzez adekbp 07 Sty 2010, 00:05

oto log z combofixa:

http://wklej.org/id/258352/, co dalej :D?
adekbp
~user
 
Posty: 6
Dołączenie: 06 Sty 2010, 15:59



Heur.w32

Postprzez wojtas 07 Sty 2010, 17:29

Otworz notatnik i wklej w nim to:

File::
C:\2id9.exe
C:\k8jc.exe
C:\mbvd.exe
C:\cs6phv6d.exe
C:\wu1n.exe
C:\b00ijwpu.exe
d:\2id9.exe
d:\k8jc.exe
d:\mbvd.exe
d:\cs6phv6d.exe
d:\wu1n.exe
d:\b00ijwpu.exe

Folder::
c:\documents and settings\Adus\Ustawienia lokalne\Dane aplikacji\AskToolbar
c:\windows\system32\ED0097
C:\_OTL

Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Adus^Menu Start^Programy^Autostart^79F279.lnk]
[-HKEY_LOCAL_MACHINE\~\startupfolder\C:^Documents and Settings^Adus^Menu Start^Programy^Autostart^79F279.lnk]



>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->Image
Rozpocznie się usuwanie i powstanie log daj go.
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Heur.w32

Postprzez adekbp 07 Sty 2010, 18:04

http://wklej.org/id/258955/ and next;D?
adekbp
~user
 
Posty: 6
Dołączenie: 06 Sty 2010, 15:59



Heur.w32

Postprzez wojtas 07 Sty 2010, 18:34

Otworz notatnik i wklej w nim to:

File::
C:\e9naq.exe
D:\e9naq.exe

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""



>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->Image

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (usuń co znajdzie ) i daj raport ze skanu

Zabezpiecz się przed infekcją z pendriva
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Heur.w32

Postprzez adekbp 12 Sty 2010, 18:00

http://wklej.to/RpOP podaje na tej stronie, ze wzgłedu kłopotów techniczych strony wklej.org
adekbp
~user
 
Posty: 6
Dołączenie: 06 Sty 2010, 15:59



Heur.w32

Postprzez wojtas 13 Sty 2010, 16:10

usuń wszystko co znalazł.
Image
Awatar użytkownika
wojtas
*mod
 
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656



Heur.w32

Postprzez adekbp 15 Sty 2010, 10:43

no ok. wydaje się że wszystko ok :) WIELKIE dzięki.
adekbp
~user
 
Posty: 6
Dołączenie: 06 Sty 2010, 15:59




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 9 gości