Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.
itemscope itemtype="https://schema.org/QAPage"

"Security Warning" wirus. Prosze o pomoc z logiem

preezess 09 Lut 2011 19:00 2206 9
  • "Security Warning" wirus. Prosze o pomoc z logiem

    #1
    Poziom 9  

    witam.
    Wlasnie przed chwilą kolega podrzucił mi swojego zawirusowanego lapka. Myślałem, że dam radę lecz sam jednak nie dam rady :) Problemem jest taki oto trojan(?) :)

    Security Warning: application cannot be execued. The fild rundll32.exe is infected. Do you want to activate your antivirus software now?

    Ten txt wyskakuje co chwilę, przeglądarka nie działa. Strona domyślna - porno.com

    zrobić log w OTL z jakimiś wlasnymi parametrami czy standardowego ?

    0 9
  • #2
    Spec od komputerów

    Zrob skan przy pomocy mbam oraz cureit, usun infekcje i dopiero daj logi (oba!) z OTL. Nic w OTL nie zmieniaj.

    0
  • #4
    Spec od komputerów

    Daj logi w ZALACZNIKU, z wrzuty zostaly usuniete. Nie wiem skad Ci przyszlo do glowy zeby je tam wrzucac.

    0
  • #5
    Poziom 9  

    Przepraszam :) to tak jakoś z przyzwyczajenia. Jestem studentem i prowadzę forum swojego roku.

    Oto załączniki

    0
  • #8
    Spec od komputerów

    Odinstaluj: AOL Toolbar

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml?n=77C...ptnrS=ZCxdm490YYPL&ptb=4UoONgtFawR9tLqCSizcnQ
    FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptnrS=ZCxdm490YYPL&ptb=4UoONgtFawR9tLqCSizcnQ&n=77d00a9c"
    O2 - BHO: (AOL Toolbar BHO) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
    O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found
    O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
    O3 - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
    O4 - HKU\S-1-5-21-672858850-2207351692-2649075970-1000..\Run: [inetserv] C:\Users\dorota\AppData\Local\inetserv.exe ()
    O33 - MountPoints2\{be3f34b4-be70-11df-a58b-0027132c986e}\Shell - "" = AutoRun
    O33 - MountPoints2\{be3f34b4-be70-11df-a58b-0027132c986e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{be3f34b7-be70-11df-a58b-0027132c986e}\Shell - "" = AutoRun
    O33 - MountPoints2\{be3f34b7-be70-11df-a58b-0027132c986e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{efdbc002-cf7a-11df-8fbe-0027132c986e}\Shell - "" = AutoRun
    O33 - MountPoints2\{efdbc002-cf7a-11df-8fbe-0027132c986e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{f841943a-bd0d-11df-9869-0027132c986e}\Shell - "" = AutoRun
    O33 - MountPoints2\{f841943a-bd0d-11df-9869-0027132c986e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{f8419441-bd0d-11df-9869-0027132c986e}\Shell - "" = AutoRun
    O33 - MountPoints2\{f8419441-bd0d-11df-9869-0027132c986e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    [2011-01-20 21:26:34 | 000,000,000 | ---D | C] -- C:\Users\dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tool
    [2011-01-20 21:16:26 | 000,000,000 | ---D | C] -- C:\ProgramData\hPdAh13011
    [2011-01-22 23:14:20 | 000,000,094 | ---- | M] () -- C:\Users\dorota\AppData\Roaming\35232
    [2011-01-22 23:14:18 | 000,122,880 | ---- | M] (Google Inc.) -- C:\Users\dorota\AppData\Roaming\9362.exe
    [2011-01-22 22:55:17 | 000,059,414 | ---- | M] () -- C:\Users\dorota\AppData\Local\inetserv.exe
    [2009-09-17 21:35:43 | 000,000,109 | ---- | C] () -- C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
    [2009-09-17 21:31:16 | 000,000,110 | ---- | C] () -- C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
    [2009-09-17 21:29:21 | 000,000,105 | ---- | C] () -- C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
    [2009-09-17 21:28:34 | 000,000,107 | ---- | C] () -- C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
    [2009-08-25 01:15:38 | 000,000,105 | ---- | C] () -- C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
    [2009-08-25 01:15:31 | 000,000,032 | ---- | C] () -- C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
    [2009-08-25 01:15:16 | 000,000,032 | ---- | C] () -- C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
    [2009-08-25 01:14:54 | 000,000,032 | ---- | C] () -- C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
    [2009-08-25 01:14:15 | 000,000,032 | ---- | C] () -- C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
    [2011-02-09 19:21:52 | 000,000,000 | ---D | M] -- C:\Users\dorota\AppData\Roaming\orbf33lbeqeowvirf3tykovqlymhppd2
    [2011-02-02 15:48:18 | 000,000,000 | ---D | M] -- C:\Users\dorota\AppData\Roaming\x131bqxkpl2vwvdgnbndjhhxirmthahu2
    [2011-02-03 12:27:51 | 000,000,000 | ---D | M] -- C:\Users\dorota\AppData\Roaming\x1eo3dwuqqhymyaappcjkypttbuogvvk2
    [2011-02-09 19:21:52 | 000,000,000 | ---D | M] -- C:\Users\dorota\AppData\Roaming\xgmpmkhlziesmjgc3yw3gieynoewaedq2

    :Files
    C:\Users\Public\nvsvc32.exe
    C:\Users\dorota\AppData\Local\Temp*.html

    Po wykonaniu daj nowy log z OTL.

    0
  • #9
    Poziom 9  

    oto nowy log. komunikat przestał wyskakiwać. zmieniłem do tego ustawienia proxy gdyż nie chciała mi działać przeglądarka

    0
  • #10
    Spec od komputerów

    W IE dalej masz ustawione proxy:
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8992

    Do tego zostal jeszcze ten katalog z losowa nazwa:
    C:\ProgramData\hPdAh13011

    Jak chcesz to mozna to usunac skryptem:

    :OTL
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
    IE - HKU\S-1-5-21-672858850-2207351692-2649075970-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8992

    :Files
    C:\ProgramData\hPdAh13011

    :Commands
    [emptytemp]



    Uzyj SecurityCheck: http://screen317.spywareinfoforum.org/SecurityCheck.exe i sprawdz do czego musisz zainstalowac aktualizacje.

    Po wszystkim wybierz w OTL Sprzatanie.

    0