Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Kapitan Brad Bellick

Trojan Agent - jak usunąć?

Rekomendowane odpowiedzi

Siemka ostatnio gdy skanowałem malwarebytem anti-malware to wyszukalo mi jakiegos trojana na kompie o nazwie Trojan Agent. Zawsze jakis czas po usunieciu pojawial sie ponowne.

Oto log z hijacka:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:29:07, on 2009-01-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\AhnRpta.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Vuze\Azureus.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

 

--

End of file - 5622 bytes

 

 

A to z malwarebyte Anti-Malware

 

Malwarebytes' Anti-Malware 1.31

Wersja bazy definicji: 1610

Windows 5.1.2600 Dodatek Service Pack 2

 

2009-01-16 22:21:05

mbam-log-2009-01-16 (22-21-05).txt

 

Typ skanowania: Szybkie skanowanie

Przeskanowane obiekty: 49798

Upłynęło: 1 minute(s), 44 second(s)

 

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 1

Zainfekowane foldery: 0

Zainfekowane pliki: 1

 

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

 

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

 

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

 

Zainfekowane wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.

 

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Zainfekowane foldery:

(Nie wykryto groźnych plików)

 

Zainfekowane pliki:

C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

C:\WINDOWS\AhnRpta.exe

 

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

 

klucz run

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

kliknij prawym na cdoosoft w prawym panelu i usuń

 

zeby wejśc do rejestru wpisz regedit do uruchom

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

usunąłem tego cdoosofta w regedit, ale tego juz nie moglem znalezc w hijacku O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

 

i czy to:

C:\WINDOWS\AhnRpta.exe

mam usunąć ręcznie?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wklej do notatnika:

 

File::
c:\windows\AhnRpta.exe
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b09d96f-da67-11dd-9f45-001a4d52674b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e51b0db0-ddc7-11dd-9f52-001a4d52674b}]

Plik zapisz pod nazwą: CFScript.txt

Teraz plik przeciągnij i upuść na ikonę ComboFix:

0fbd1728e2c4ddb06e7af8fb4855b7.gif

 

Pokaż log który powstanie podczas usuwania.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wygląda że wszystko zostało usunięte.

Dla pewności sprawdź czy na dysku są te pliki:

c:\windows\system32\afmain1.dll
c:\windows\AhnRpta.exe

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wklej do notatnika:

File::
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
C:\ve.exe
c:\windows\system32\olhrwef.exe
c:\windows\AhnRpta.exe
C:\m9ma.exe
c:\windows\system32\afmain0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vamsoft]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4ac707-8051-11dd-95f5-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3643b84-c43a-11dd-8daa-4d6564696130}]

Plik zapisz pod nazwą: CFScript.txt

Teraz plik przeciągnij i upuść na ikonę ComboFix:

2qk54p1.gif

Pokaż log który powstanie podczas usuwania.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

W właściwościach pliku sprawdź producenta i przeskanuj tutaj:

c:\windows\system32\drivers\nrwmh.sys

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

LINK

 

zrobiłem tak jak mówiłeś, został kamsoft.exe i olhrwef.exe. kamsofta jakoś usunąłem ale tego nie dam rady. A tego pliku co miałem sprawdzić producenta nie mam :P

Na pulpicie cały czas mi sie tworzy skrót do IE. A pliki kamsoft.exe, vamsoft.exe i ten ahr....exe mam zablokowane w Zone Alarm Pro bo nie mogłem usunąć nie wiem tylko czemu one i tak się właczają tylko ze po jakimś czasie znikają.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kolejny raz podłączyłeś zainfekowany pendrive lub inne urządzenie z pamięcią typu flash.

Musisz samodzielnie wyczyścić te dyski, ja w logu widzę tylko pliki na dysku systemowym.

W opcjach folderów ustaw pokazywanie plików ukrytych i systemowych, następnie z tych dysków usuń wszystkie dziwne pliki .exe, .com, bat

Dodatkowo podłącz pendrive i użyj Flash_Disinfector

Póżniej utwórz nowy CFScript:

File::
C:\gy.exe
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
C:\m9ma.exe
c:\windows\system32\nmdfgds0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]

Pokaż nowy log.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

A ten wirus dziala tak ze tylk ojak podlaczysz pendrive to odrazu sie wgrywa? I jest taka mozliwosc ze np. sie komp zawiesza i restartuje sie odrazu??

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeżeli włączone jest autoodtwarzanie to infekcja następuje automatycznie.

Dodatkowo trojan tworzy na pendrive plik autorun, gdy dwukrotnie klikniesz na ikonie od pendrive równiez dochodzi do infekcji.

Trojany z pendrive raczej nie powodują restartu komputera.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

hej,

 

nowy jestem, niestety też mam problem z olhrwef.exe

nmdfgds0.dll udało mi się usunąć ręcznie nmdfgds1.dll już nie

 

log z combofix

 

 

poniżej to co wskazał wcześniej nod32

 

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\WINDOWS\system32\nmdfgds0.dll - Win32/PSW.OnLineGames.ODJ trojan

C:\WINDOWS\system32\nmdfgds1.dll - Win32/PSW.OnLineGames.ODJ trojan

C:\WINDOWS\system32\olhrwef.exe - Win32/PSW.OnLineGames.NMY trojan

F:\uvsqfgwd.cmd - Win32/PSW.OnLineGames.NMY trojan

 

dodatkowo pen'a potraktowałem flash disinfector'em

 

z góry dzięki za sprawdzenie log'a i wskazówki

 

zdravim

p1sk

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

hmmm czegoś nie rozumiem....

 

czekając na odpowiedź na mojego posta postanowiłem ponownie uruchomić combofix

 

oto jaki uzyskałem rezultat

 

zdziwiło mnie to:

 

- - - - USUNIĘTO PUSTE WPISY - - - -

 

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

 

 

oraz brak nmdfgds1.dll

 

może mi ktoś to wytłumaczyć?

myślałem żeby stworzyć CFScript na wzór odpowiedzi tehawanka ale stwierdziłem że mogę coś namieszać więc zrezygnowałem - ale nowy log mnie troche zdziwił....

co gorsza nod dalej wykrywa pozycje

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan

Pozdrawiam

piotrek

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Utwórz taki CFScript:

File::
C:\aaw7boot.cmd
c:\windows\system32\nmdfgds1.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c6-d256-11dc-9fd9-0016d42b1120}]

 

System Volume Information opróżnij poprzez chwilowe wyłączenie przywracania systemu:

Start >>> Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c3-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c8-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Nowy log nie jest potrzebny.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c3-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c8-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Nowy log nie jest potrzebny.

 

 

wielkie dzięki

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam

Mam podobny problem z olhrwef.exe.

 

Tutaj jest link do log'a HiJackThis: http://wklejto.pl/25283

 

Tutaj do log'a z ComboFix: http://wklejto.pl/25284

 

Jestem w 90% pewny co trzeba wpisać w plik FIX.REG jednak wolę sam nie mieszać bo nie znam się na tym.

Prosiłbym kogoś obeznanego o podanie kodu, który trzeba tam wpisać (super byłoby też gdyby było tam zaznaczone, które wpisy co usuwają żeby wiedzieć na przyszłość).

 

Zacząłem przeglądać oba te logi bo nawet mnie to zainteresowało i ciekawi mnie co oznaczają poszczególne literki: drahsc---w <- w log'u ComboFix, jest to przy każdym folderze, wygląda mi to na jakieś atrybuty tych plików? A jeśli nie chce się nikomu objaśniać to poprosiłbym jedynie o pomoc w naprawieniu tego :)

Pozdrawiam

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wklej do notatnika:

File::
E:\hl80c6b1.com
e:\windows\system32\olhrwef.exe
F:\hl80c6b1.com

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-

Plik zapisz pod nazwą: CFScript

Teraz plik przeciągnij i upuść na ikonę ComboFix:

2qk54p1.gif

Pokaż log który powstanie podczas usuwania.

Dodatkowo podłącz pendrive i użyj Flash_Disinfector

 

D = Folder

A = Archiwalny

S = Systemowy

H = Ukryty

R = Tylko do odczytu

N = Brak atrybutów

C = Skompresowane (kompresja NTFS)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Log: http://wklejto.pl/25297

 

Pendrive'a już wcześniej czyściłem tym programem.

 

Bardzo dziękuję za pomoc :)

HiJackThis nie pokazuje już olhrwef.exe

Pozdrawiam

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • Crashowanie od czasu do czasu (driver timeout lub czarny ekran z możliwym recoverem od minuty do ~pięciu )  na kartach AMD to norma była dla wielu osób przez jakieś ostatnie 2 lata, bo AMD ma problem z kompatylnością z praktycznie nikomu niepotrzebną funkcją windowsa, która jest domyślnie włączona (MPO ). Starczy tylko ściągnąć i uruchomić plik wyłączający MPO, który przygotowała nvidia, bo kiedyś też takie problemy ta marka miała (zresztą czasem słychać, że u niektórych na starszych kartach nvidii wciąż jest ten problem ) https://nvidia.custhelp.com/app/answers/detail/a_id/5157/~/after-upSpam wyslij raport-to-nvidia-game-ready-driver-461.09-or-newer%2C-some-desktop-apps Niektórzy piszą, że AMD jakiś czas temu już ten problem ogarnęło, ale nie jestem przekonany (przynajmniej parę miesięcy temu wciąż widziałem narzekania niektórych ), osobiście mam wyłączone MPO i nie widzę potrzeby go włączać i sprawdzać czy naprawdę AMD w końcu to ogarnęło. Generalnie to najlepiej po zakupie karty mieć komp włączony codziennie jak najdłużej i jak są problemy to robić zwrot, bo niestety wadliwe karty istnieją.
    • GTX1660Ti?    https://allegro.pl/oferta/karta-graficzna-msi-geforce-gtx-1660-ti-gaming-x-6gb-gddr6-192bit-15323722718
    • Chyba se kpisz, typie. Ryczałt ma śmiesznie niski podatek i ZUS. Co ma powiedzieć ktoś na liniówce albo skali xD
    • Witam: Na sprzedaż wymienione w tytule części: https://www.olx.pl/d/oferta/rtx-2070-super-msi-gaming-x-trio-CID99-IDZ8WU7.html?bs=olx_pro_listing  900zł https://www.olx.pl/d/oferta/zasilacz-seasonic-gx-550w-plus-gold6lat-gwarancji-CID99-IDZ8WXl.html?bs=olx_pro_listing 300zł Części w pełni sprawne, bez usterek sprzedaję bo zmieniam platformę z am4>am5, i 2070s>4080s  Chętnie odpowiem na wszelkie pytania odnośnie zakupu.
    • A ja to miałem na GTX 1060, potem dalej to samo na GTX 1660Ti, a na RX 6700 całkowity spokój od roku. Też mam powiedzieć nigdy więcej Nvidi ? Oba GTX-y w pełni sprawne. Temat jest niepewny. Czytałem że problemy takie mogą występować w przypadku niektórych monitorów i nie ze wszystkimi kartami bez związku czy to zielone czy czerwone. Dawno to było ale chodziło chyba o tryby odświeżania. Moja iiyama pokazuje w windzie 3 - 50Hz, 59,940 Hz i 60 Hz. Podobno jak się samo przestawi karta traci sygnał i "widzę ciemność". Podejrzenia padały na jakiś bug w systemie który ujawnia się w określonych sytuacjach. U mnie na rozwiązanie problemu trafiłem całkowicie przypadkowo. Po kolejnym czarnym ekranie zrobiłem reset, logowanie w ciemno bo dalej nic nie było widać i wtedy zadzwonił telefon. Rozmawiałem chyba ze 20 min i jak wróciłem do komputera obraz się normalnie wyświetlał. Potem kilka razy jak się zwiesił tak czekałem po resecie i obraz powracał po 10-15 min. Co to za cholerstwo nie doszedłem, a jak kupiłem Radka problem od roku nie występuje. 
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...