Trojan Agent - jak usunąć?

[Kapitan Brad Bellick 0]

Siemka ostatnio gdy skanowałem malwarebytem anti-malware to wyszukalo mi jakiegos trojana na kompie o nazwie Trojan Agent. Zawsze jakis czas po usunieciu pojawial sie ponowne.

Oto log z hijacka:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:29:07, on 2009-01-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\AhnRpta.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Vuze\Azureus.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

 

--

End of file - 5622 bytes

 

 

A to z malwarebyte Anti-Malware

 

Malwarebytes' Anti-Malware 1.31

Wersja bazy definicji: 1610

Windows 5.1.2600 Dodatek Service Pack 2

 

2009-01-16 22:21:05

mbam-log-2009-01-16 (22-21-05).txt

 

Typ skanowania: Szybkie skanowanie

Przeskanowane obiekty: 49798

Upłynęło: 1 minute(s), 44 second(s)

 

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 1

Zainfekowane foldery: 0

Zainfekowane pliki: 1

 

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

 

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

 

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

 

Zainfekowane wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.

 

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Zainfekowane foldery:

(Nie wykryto groźnych plików)

 

Zainfekowane pliki:

C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[glauks 419]

C:\WINDOWS\AhnRpta.exe

 

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

 

klucz run

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

kliknij prawym na cdoosoft w prawym panelu i usuń

 

zeby wejśc do rejestru wpisz regedit do uruchom

[Kapitan Brad Bellick 0]

usunąłem tego cdoosofta w regedit, ale tego juz nie moglem znalezc w hijacku O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

 

i czy to:

C:\WINDOWS\AhnRpta.exe

mam usunąć ręcznie?

[tehawanka 0]

To infekcja z pendrive, plik możesz usunąć ręcznie.

Jeżeli chcesz to możesz pokazac log z ComboFix

Log umieść tutaj i podaj link.

[Kapitan Brad Bellick 0]

ok tu log z combifix : LiNK

 

A jeśli chodzi o C:\WINDOWS\AhnRpta.exe

to niemoglem usunac recznie?? Uzyc do tego unlockera i tak skasowac?

 

a tego olhrwef.exe nie udalo mi sie znalezc

[tehawanka 0]

Wklej do notatnika:

 

File::
c:\windows\AhnRpta.exe
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b09d96f-da67-11dd-9f45-001a4d52674b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e51b0db0-ddc7-11dd-9f52-001a4d52674b}]

Plik zapisz pod nazwą: CFScript.txt

Teraz plik przeciągnij i upuść na ikonę ComboFix:

 

Pokaż log który powstanie podczas usuwania.

[Kapitan Brad Bellick 0]

LINK

[tehawanka 0]

Wygląda że wszystko zostało usunięte.

Dla pewności sprawdź czy na dysku są te pliki:

c:\windows\system32\afmain1.dll
c:\windows\AhnRpta.exe

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

[aparacikk 0]

Witam , mam ten sam problem

 

Tutaj jest log z combofixa LINK

Z góry dzięki

[tehawanka 0]

Wklej do notatnika:

File::
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
C:\ve.exe
c:\windows\system32\olhrwef.exe
c:\windows\AhnRpta.exe
C:\m9ma.exe
c:\windows\system32\afmain0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vamsoft]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4ac707-8051-11dd-95f5-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3643b84-c43a-11dd-8daa-4d6564696130}]

Plik zapisz pod nazwą: CFScript.txt

Teraz plik przeciągnij i upuść na ikonę ComboFix:

Pokaż log który powstanie podczas usuwania.

[aparacikk 0]

LINK

 

dzięki bardzo

[tehawanka 0]

W właściwościach pliku sprawdź producenta i przeskanuj tutaj:

c:\windows\system32\drivers\nrwmh.sys

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

[aparacikk 0]

LINK

 

zrobiłem tak jak mówiłeś, został kamsoft.exe i olhrwef.exe. kamsofta jakoś usunąłem ale tego nie dam rady. A tego pliku co miałem sprawdzić producenta nie mam

Na pulpicie cały czas mi sie tworzy skrót do IE. A pliki kamsoft.exe, vamsoft.exe i ten ahr....exe mam zablokowane w Zone Alarm Pro bo nie mogłem usunąć nie wiem tylko czemu one i tak się właczają tylko ze po jakimś czasie znikają.

[tehawanka 0]

Kolejny raz podłączyłeś zainfekowany pendrive lub inne urządzenie z pamięcią typu flash.

Musisz samodzielnie wyczyścić te dyski, ja w logu widzę tylko pliki na dysku systemowym.

W opcjach folderów ustaw pokazywanie plików ukrytych i systemowych, następnie z tych dysków usuń wszystkie dziwne pliki .exe, .com, bat

Dodatkowo podłącz pendrive i użyj Flash_Disinfector

Póżniej utwórz nowy CFScript:

File::
C:\gy.exe
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
C:\m9ma.exe
c:\windows\system32\nmdfgds0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]

Pokaż nowy log.

[aparacikk 0]

A ten wirus dziala tak ze tylk ojak podlaczysz pendrive to odrazu sie wgrywa? I jest taka mozliwosc ze np. sie komp zawiesza i restartuje sie odrazu??

[tehawanka 0]

Jeżeli włączone jest autoodtwarzanie to infekcja następuje automatycznie.

Dodatkowo trojan tworzy na pendrive plik autorun, gdy dwukrotnie klikniesz na ikonie od pendrive równiez dochodzi do infekcji.

Trojany z pendrive raczej nie powodują restartu komputera.

[p1sk 0]

hej,

 

nowy jestem, niestety też mam problem z olhrwef.exe

nmdfgds0.dll udało mi się usunąć ręcznie nmdfgds1.dll już nie

 

log z combofix

 

 

poniżej to co wskazał wcześniej nod32

 

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\WINDOWS\system32\nmdfgds0.dll - Win32/PSW.OnLineGames.ODJ trojan

C:\WINDOWS\system32\nmdfgds1.dll - Win32/PSW.OnLineGames.ODJ trojan

C:\WINDOWS\system32\olhrwef.exe - Win32/PSW.OnLineGames.NMY trojan

F:\uvsqfgwd.cmd - Win32/PSW.OnLineGames.NMY trojan

 

dodatkowo pen'a potraktowałem flash disinfector'em

 

z góry dzięki za sprawdzenie log'a i wskazówki

 

zdravim

p1sk

[p1sk 0]

hmmm czegoś nie rozumiem....

 

czekając na odpowiedź na mojego posta postanowiłem ponownie uruchomić combofix

 

oto jaki uzyskałem rezultat

 

zdziwiło mnie to:

 

- - - - USUNIĘTO PUSTE WPISY - - - -

 

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

 

 

oraz brak nmdfgds1.dll

 

może mi ktoś to wytłumaczyć?

myślałem żeby stworzyć CFScript na wzór odpowiedzi tehawanka ale stwierdziłem że mogę coś namieszać więc zrezygnowałem - ale nowy log mnie troche zdziwił....

co gorsza nod dalej wykrywa pozycje

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan

Pozdrawiam

piotrek

[tehawanka 0]

Utwórz taki CFScript:

File::
C:\aaw7boot.cmd
c:\windows\system32\nmdfgds1.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c6-d256-11dc-9fd9-0016d42b1120}]

 

System Volume Information opróżnij poprzez chwilowe wyłączenie przywracania systemu:

Start >>> Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

[p1sk 0]

dzięki

 

efekt ponownego sprawdzenia combofix'em

 

 

 

pozdrawiam

piotrek

[tehawanka 0]

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c3-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c8-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Nowy log nie jest potrzebny.

[p1sk 0]

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c3-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c8-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Nowy log nie jest potrzebny.

 

 

wielkie dzięki

[Guttek 0]

Witam

Mam podobny problem z olhrwef.exe.

 

Tutaj jest link do log'a HiJackThis: http://wklejto.pl/25283

 

Tutaj do log'a z ComboFix: http://wklejto.pl/25284

 

Jestem w 90% pewny co trzeba wpisać w plik FIX.REG jednak wolę sam nie mieszać bo nie znam się na tym.

Prosiłbym kogoś obeznanego o podanie kodu, który trzeba tam wpisać (super byłoby też gdyby było tam zaznaczone, które wpisy co usuwają żeby wiedzieć na przyszłość).

 

Zacząłem przeglądać oba te logi bo nawet mnie to zainteresowało i ciekawi mnie co oznaczają poszczególne literki: drahsc---w <- w log'u ComboFix, jest to przy każdym folderze, wygląda mi to na jakieś atrybuty tych plików? A jeśli nie chce się nikomu objaśniać to poprosiłbym jedynie o pomoc w naprawieniu tego

Pozdrawiam

[tehawanka 0]

Wklej do notatnika:

File::
E:\hl80c6b1.com
e:\windows\system32\olhrwef.exe
F:\hl80c6b1.com

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-

Plik zapisz pod nazwą: CFScript

Teraz plik przeciągnij i upuść na ikonę ComboFix:

Pokaż log który powstanie podczas usuwania.

Dodatkowo podłącz pendrive i użyj Flash_Disinfector

 

D = Folder

A = Archiwalny

S = Systemowy

H = Ukryty

R = Tylko do odczytu

N = Brak atrybutów

C = Skompresowane (kompresja NTFS)

[Guttek 0]

Log: http://wklejto.pl/25297

 

Pendrive'a już wcześniej czyściłem tym programem.

 

Bardzo dziękuję za pomoc

HiJackThis nie pokazuje już olhrwef.exe

Pozdrawiam