Forum PCLab.pl: Trojan Agent - jak usunąć? - Forum PCLab.pl

Skocz do zawartości


Otwarty

Ikona Najnowsze pliki

  • (5 Stron)
  • +
  • 1
  • 2
  • 3
  • Ostania »
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Trojan Agent - jak usunąć? Oceń temat: -----

#1 Użytkownik jest niedostępny   Kapitan Brad Bellick Ikona

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 358
  • Dołączył: Wed, 07 Lis 07

Napisany 16 Styczeń 2009 - 22:30

Siemka ostatnio gdy skanowałem malwarebytem anti-malware to wyszukalo mi jakiegos trojana na kompie o nazwie Trojan Agent. Zawsze jakis czas po usunieciu pojawial sie ponowne.
Oto log z hijacka:

Cytuj

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:07, on 2009-01-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Vuze\Azureus.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 5622 bytes



A to z malwarebyte Anti-Malware

Cytuj

Malwarebytes' Anti-Malware 1.31
Wersja bazy definicji: 1610
Windows 5.1.2600 Dodatek Service Pack 2

2009-01-16 22:21:05
mbam-log-2009-01-16 (22-21-05).txt

Typ skanowania: Szybkie skanowanie
Przeskanowane obiekty: 49798
Upłynęło: 1 minute(s), 44 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 1
Zainfekowane pliki rejestru: 1
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.

Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Ten post był edytowany przez Kapitan Brad Bellick dnia: 16 Styczeń 2009 - 22:32


#2 Użytkownik jest niedostępny   glauks Ikona

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 8566
  • Dołączył: Wed, 06 Gru 06

Napisany 17 Styczeń 2009 - 02:32

C:\WINDOWS\AhnRpta.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

klucz run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

kliknij prawym na cdoosoft w prawym panelu i usuń

zeby wejśc do rejestru wpisz regedit do uruchom

#3 Użytkownik jest niedostępny   Kapitan Brad Bellick Ikona

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 358
  • Dołączył: Wed, 07 Lis 07

Napisany 17 Styczeń 2009 - 15:57

usunąłem tego cdoosofta w regedit, ale tego juz nie moglem znalezc w hijacku O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

i czy to:
C:\WINDOWS\AhnRpta.exe
mam usunąć ręcznie?

#4 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 17 Styczeń 2009 - 16:06

To infekcja z pendrive, plik możesz usunąć ręcznie.
Jeżeli chcesz to możesz pokazac log z ComboFix
Log umieść tutaj i podaj link.

#5 Użytkownik jest niedostępny   Kapitan Brad Bellick Ikona

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 358
  • Dołączył: Wed, 07 Lis 07

Napisany 17 Styczeń 2009 - 21:21

ok tu log z combifix : LiNK

A jeśli chodzi o C:\WINDOWS\AhnRpta.exe
to niemoglem usunac recznie?? Uzyc do tego unlockera i tak skasowac?

a tego olhrwef.exe nie udalo mi sie znalezc :(

#6 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 17 Styczeń 2009 - 21:35

Wklej do notatnika:

File::
c:\windows\AhnRpta.exe
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b09d96f-da67-11dd-9f45-001a4d52674b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e51b0db0-ddc7-11dd-9f52-001a4d52674b}]

Plik zapisz pod nazwą: CFScript.txt
Teraz plik przeciągnij i upuść na ikonę ComboFix:
Dodaj obrazek

Pokaż log który powstanie podczas usuwania.

#7 Użytkownik jest niedostępny   Kapitan Brad Bellick Ikona

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 358
  • Dołączył: Wed, 07 Lis 07

Napisany 18 Styczeń 2009 - 12:56

LINK

#8 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 18 Styczeń 2009 - 13:32

Wygląda że wszystko zostało usunięte.
Dla pewności sprawdź czy na dysku są te pliki:
c:\windows\system32\afmain1.dll
c:\windows\AhnRpta.exe

Wklej do notatnika:
Windows Registry Editor Version 5.00 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.
Skasuj kwarantannę od ComboFix - C:\Qoobox
Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

Ten post był edytowany przez tehawanka dnia: 18 Styczeń 2009 - 13:33


#9 Użytkownik jest niedostępny   aparacikk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Pn, 19 Sty 09

Napisany 19 Styczeń 2009 - 12:20

Witam , mam ten sam problem

Tutaj jest log z combofixa LINK
Z góry dzięki

#10 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 19 Styczeń 2009 - 14:35

Wklej do notatnika:
File::
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
C:\ve.exe
c:\windows\system32\olhrwef.exe
c:\windows\AhnRpta.exe
C:\m9ma.exe
c:\windows\system32\afmain0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vamsoft]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4ac707-8051-11dd-95f5-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3643b84-c43a-11dd-8daa-4d6564696130}]

Plik zapisz pod nazwą: CFScript.txt
Teraz plik przeciągnij i upuść na ikonę ComboFix:
Dodaj obrazek
Pokaż log który powstanie podczas usuwania.

Ten post był edytowany przez tehawanka dnia: 19 Styczeń 2009 - 14:58


#11 Użytkownik jest niedostępny   aparacikk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Pn, 19 Sty 09

Napisany 19 Styczeń 2009 - 18:03

LINK

dzięki bardzo

#12 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 19 Styczeń 2009 - 18:19

W właściwościach pliku sprawdź producenta i przeskanuj tutaj:
c:\windows\system32\drivers\nrwmh.sys

Skasuj kwarantannę od ComboFix - C:\Qoobox
Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

Ten post był edytowany przez tehawanka dnia: 19 Styczeń 2009 - 18:24


#13 Użytkownik jest niedostępny   aparacikk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Pn, 19 Sty 09

Napisany 20 Styczeń 2009 - 14:12

LINK

zrobiłem tak jak mówiłeś, został kamsoft.exe i olhrwef.exe. kamsofta jakoś usunąłem ale tego nie dam rady. A tego pliku co miałem sprawdzić producenta nie mam :P
Na pulpicie cały czas mi sie tworzy skrót do IE. A pliki kamsoft.exe, vamsoft.exe i ten ahr....exe mam zablokowane w Zone Alarm Pro bo nie mogłem usunąć nie wiem tylko czemu one i tak się właczają tylko ze po jakimś czasie znikają.

Ten post był edytowany przez aparacikk dnia: 20 Styczeń 2009 - 14:16


#14 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 20 Styczeń 2009 - 17:25

Kolejny raz podłączyłeś zainfekowany pendrive lub inne urządzenie z pamięcią typu flash.
Musisz samodzielnie wyczyścić te dyski, ja w logu widzę tylko pliki na dysku systemowym.
W opcjach folderów ustaw pokazywanie plików ukrytych i systemowych, następnie z tych dysków usuń wszystkie dziwne pliki .exe, .com, bat
Dodatkowo podłącz pendrive i użyj Flash_Disinfector
Póżniej utwórz nowy CFScript:
File::
C:\gy.exe
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
C:\m9ma.exe
c:\windows\system32\nmdfgds0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]

Pokaż nowy log.

#15 Użytkownik jest niedostępny   aparacikk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Pn, 19 Sty 09

Napisany 20 Styczeń 2009 - 23:20

A ten wirus dziala tak ze tylk ojak podlaczysz pendrive to odrazu sie wgrywa? I jest taka mozliwosc ze np. sie komp zawiesza i restartuje sie odrazu??

#16 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 21 Styczeń 2009 - 17:48

Jeżeli włączone jest autoodtwarzanie to infekcja następuje automatycznie.
Dodatkowo trojan tworzy na pendrive plik autorun, gdy dwukrotnie klikniesz na ikonie od pendrive równiez dochodzi do infekcji.
Trojany z pendrive raczej nie powodują restartu komputera.

#17 Użytkownik jest niedostępny   p1sk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Wt, 27 Sty 09

Napisany 27 Styczeń 2009 - 02:32

hej,

nowy jestem, niestety też mam problem z olhrwef.exe
nmdfgds0.dll udało mi się usunąć ręcznie nmdfgds1.dll już nie

log z combofix


poniżej to co wskazał wcześniej nod32

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan
C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan
C:\WINDOWS\system32\nmdfgds0.dll - Win32/PSW.OnLineGames.ODJ trojan
C:\WINDOWS\system32\nmdfgds1.dll - Win32/PSW.OnLineGames.ODJ trojan
C:\WINDOWS\system32\olhrwef.exe - Win32/PSW.OnLineGames.NMY trojan
F:\uvsqfgwd.cmd - Win32/PSW.OnLineGames.NMY trojan

dodatkowo pen'a potraktowałem flash disinfector'em

z góry dzięki za sprawdzenie log'a i wskazówki

zdravim
p1sk

Ten post był edytowany przez p1sk dnia: 27 Styczeń 2009 - 02:51


#18 Użytkownik jest niedostępny   p1sk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Wt, 27 Sty 09

Napisany 27 Styczeń 2009 - 16:47

hmmm czegoś nie rozumiem....

czekając na odpowiedź na mojego posta postanowiłem ponownie uruchomić combofix

oto jaki uzyskałem rezultat

zdziwiło mnie to:

- - - - USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe



oraz brak nmdfgds1.dll

może mi ktoś to wytłumaczyć?
myślałem żeby stworzyć CFScript na wzór odpowiedzi tehawanka ale stwierdziłem że mogę coś namieszać więc zrezygnowałem - ale nowy log mnie troche zdziwił....
co gorsza nod dalej wykrywa pozycje
C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan
C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan
Pozdrawiam
piotrek

Ten post był edytowany przez p1sk dnia: 27 Styczeń 2009 - 19:57


#19 Użytkownik jest niedostępny   tehawanka Ikona

  • Niedostępny
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 6867
  • Dołączył: Pn, 21 Lip 08

Napisany 27 Styczeń 2009 - 20:38

Utwórz taki CFScript:
File::
C:\aaw7boot.cmd
c:\windows\system32\nmdfgds1.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c6-d256-11dc-9fd9-0016d42b1120}]


System Volume Information opróżnij poprzez chwilowe wyłączenie przywracania systemu:
Start >>> Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

#20 Użytkownik jest niedostępny   p1sk Ikona

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 4
  • Dołączył: Wt, 27 Sty 09

Napisany 28 Styczeń 2009 - 10:04

dzięki

efekt ponownego sprawdzenia combofix'em



pozdrawiam
piotrek

  • (5 Stron)
  • +
  • 1
  • 2
  • 3
  • Ostania »
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych