wirus C:\autorun.inf

Matimoski · #1 (**permalink**) 02.11.2009, 23:42

Witam.
Mam mały problem ponieważ jakiś głupi wirus mi się wpakował na komputer i przez cały czas na nodzie wyskakuje mi raport o zagrożeniu na dysku c, d
Proszę o pomoc ponieważ jest to bardzo denerwujące jak wyskakuje to okienko

Win32:Sality · #2 (**permalink**) 02.11.2009, 23:44

Cytat:

Napisał Matimoski

jest to bardzo denerwujące

Współczjemy Ci wszyscy.

Może jakieś logi? OTL + Gmer?

Spoiler

Matimoski · #3 (**permalink**) 03.11.2009, 10:11

To jest log z OTL :
http://www.wklej.org/id/193601/

a z GMER będzie trochę później bo trochę czasu się to skanuje :/
skan
http://wklej.org/id/194235/

Ptrk05 · #4 (**permalink**) 03.11.2009, 11:02

Gdy skończy Gmer:

W OTL w Custom Scan/Fixes:

Kod:

:OTL
PRC - C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
PRC - [2009-07-20 20:16:15 | 00,223,744 | ---- | M] () -- C:\WINDOWS\system32\dlg.exe
MOD - [2009-11-02 20:53:00 | 00,076,264 | RHS- | M] () -- C:\Documents and Settings\M&P\Ustawienia lokalne\Temp\cvasds0.dll
SRV - [2009-07-20 20:16:15 | 00,223,744 | ---- | M] () -- C:\WINDOWS\system32\dlg.exe -- (dlgx1)
IE - HKU\S-1-5-21-329068152-1715567821-839522115-1003\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-329068152-1715567821-839522115-1003\..\Toolbar\ShellBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-329068152-1715567821-839522115-1003\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-329068152-1715567821-839522115-1003..\Run: [cdoosoft] C:\Documents and Settings\M&P\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2009-11-02 22:55:31 | 00,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-11-02 22:55:31 | 00,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{d0295a2f-843c-11de-9c9e-001485df1c5d}\Shell\AutoRun\command - "" = se12ydam.exe
O33 - MountPoints2\{d0295a2f-843c-11de-9c9e-001485df1c5d}\Shell\open\Command - "" = se12ydam.exe
@Alternate Data Stream - 122 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D06A4C76

:Files
c:\windows\system32\dlg.dll 
c:\windows\system32\dlg.exe
C:\9b9w3.exe
D:\9b9w3.exe
D:\b00ijwpu.exe
D:\hjvjte.exe
D:\nds0q.exe
D:\rg9g9bgq.exe
D:\se12ydam.exe
D:\wcgswa.exe
C:\Program Files\free-downloads.net

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[purity]
[clearrestorepoints]
[emptytemp]
[start explorer]
[reboot]

I klikasz Run Fix.

Potem pokaż nowe logi.

Matimoski · #5 (**permalink**) 03.11.2009, 18:13

ok, wkleiłem to do OTLa i teraz jakie logi mam dać ?
po restarcie kompa wyskoczyły mi jakieś logi OTLa to o te logi chodzi ?

Ptrk05 · #6 (**permalink**) 03.11.2009, 18:26

Ten co wyskoczył + nowe.

Matimoski · #7 (**permalink**) 03.11.2009, 18:38

To wyskoczyło po restarcie kompa:
http://wklej.org/id/194266/

A to nowe logi:

http://wklej.org/id/194270/

Ptrk05 · #8 (**permalink**) 03.11.2009, 18:50

W OTL w Custom Scan/Fixes:

Kod:

:OTL
PRC - C:\WINDOWS\Explorer.EXE (Microsoft Corporation)

:Files
C:\WINDOWS\System32\dlg.dlltemp
C:\WINDOWS\System32\dlg.dllt
C:\mwfubaob.exe

:Commands
[reboot]

I klikasz Run Fix.

Przeskanuj pliki:

Cytat:

C:\WINDOWS\System32\c6c94b0.dll
C:\WINDOWS\System32\1b81180.dll

na http://www.virusscan.jotti.org/ i pokaż raporty.

Do tego zrób pełne skanowanie Malwarebytes' Anti-Malware.

Pobierz i użyj Flash Disinfectora

Matimoski · #9 (**permalink**) 03.11.2009, 19:08

Nie może odnaleźć tych plików

C:\WINDOWS\System32\c6c94b0.dll
C:\WINDOWS\System32\1b81180.dll

uzi22 · #10 (**permalink**) 03.11.2009, 19:08

ściągnij program ComboFix.exe i wszystko ci naprawi bez żadnego bawienia się

Szybka odpowiedź
Po Twoich działaniach wystąpiły następujące błędy

OK
Weryfikacja obrazka Wiadomość: Kliknij jedną z ikon szybkiej odpowiedzi w postach powyżej w celu aktywacji tego okna. Opcje Zacytować wiadomość podczas odpowiedzi? Dodawanie szybkiej odpowiedzi - Proszę czekać!

Narzędzia wątku	Przeszukaj ten temat
Wersja do druku Wyślij na email	Przeszukaj ten temat: Zaawansowane wyszukiwanie
Wygląd
Wygląd liniowy Wygląd mieszany Wygląd wątkowy

Podobne wątki
Temat	Autor wątku	Forum	Odpowiedzi	Ostatni post/autor
WIRUS/Y Autorun.inf na dyskach i penie oraz kto wie co jeszcze HELP	Aciu1988	bezpieczeństwo i anonimowość	3	25.06.2009 21:04
Wirus start.exe autorun.inf	vilu88	Logi do sprawdzenia	8	11.06.2009 10:45
wirus autorun.inf	chmielu19	bezpieczeństwo i anonimowość	1	09.06.2009 19:33
Wirus autorun.inf	Rafal2iomuss	Logi do sprawdzenia	13	28.11.2008 00:17
Wirus, autorun.inf, dysk flash	gekon001	bezpieczeństwo i anonimowość	5	11.01.2008 21:48