Trojan Agent - jak usunąć?

Kapitan Brad Bellick · 16 Stycznia 2009

Siemka ostatnio gdy skanowałem malwarebytem anti-malware to wyszukalo mi jakiegos trojana na kompie o nazwie Trojan Agent. Zawsze jakis czas po usunieciu pojawial sie ponowne.

Oto log z hijacka:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:07, on 2009-01-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Vuze\Azureus.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 5622 bytes

A to z malwarebyte Anti-Malware

Malwarebytes' Anti-Malware 1.31
Wersja bazy definicji: 1610
Windows 5.1.2600 Dodatek Service Pack 2

2009-01-16 22:21:05
mbam-log-2009-01-16 (22-21-05).txt

Typ skanowania: Szybkie skanowanie
Przeskanowane obiekty: 49798
Upłynęło: 1 minute(s), 44 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 1
Zainfekowane pliki rejestru: 1
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.

Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> Quarantined and deleted successfully.

glauks · 17 Stycznia 2009

C:\WINDOWS\AhnRpta.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

klucz run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

kliknij prawym na cdoosoft w prawym panelu i usuń

zeby wejśc do rejestru wpisz regedit do uruchom

Kapitan Brad Bellick · 17 Stycznia 2009

usunąłem tego cdoosofta w regedit, ale tego juz nie moglem znalezc w hijacku O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

i czy to:

C:\WINDOWS\AhnRpta.exe

mam usunąć ręcznie?

tehawanka · 17 Stycznia 2009

To infekcja z pendrive, plik możesz usunąć ręcznie.

Jeżeli chcesz to możesz pokazac log z ComboFix

Log umieść tutaj i podaj link.

Kapitan Brad Bellick · 17 Stycznia 2009

ok tu log z combifix : LiNK

A jeśli chodzi o C:\WINDOWS\AhnRpta.exe

to niemoglem usunac recznie?? Uzyc do tego unlockera i tak skasowac?

a tego olhrwef.exe nie udalo mi sie znalezc

tehawanka · 17 Stycznia 2009

Wklej do notatnika:

File::
c:\windows\AhnRpta.exe
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b09d96f-da67-11dd-9f45-001a4d52674b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e51b0db0-ddc7-11dd-9f52-001a4d52674b}]

Plik zapisz pod nazwą: CFScript.txt

Teraz plik przeciągnij i upuść na ikonę ComboFix:

Pokaż log który powstanie podczas usuwania.

Kapitan Brad Bellick · 18 Stycznia 2009

LINK

tehawanka · 18 Stycznia 2009

Wygląda że wszystko zostało usunięte.

Dla pewności sprawdź czy na dysku są te pliki:

c:\windows\system32\afmain1.dll
c:\windows\AhnRpta.exe

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

aparacikk · 19 Stycznia 2009

Witam , mam ten sam problem

Tutaj jest log z combofixa LINK

Z góry dzięki

tehawanka · 19 Stycznia 2009

Wklej do notatnika:

File::
C:\x2csvg.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
C:\ve.exe
c:\windows\system32\olhrwef.exe
c:\windows\AhnRpta.exe
C:\m9ma.exe
c:\windows\system32\afmain0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vamsoft]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4ac707-8051-11dd-95f5-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3643b84-c43a-11dd-8daa-4d6564696130}]

Plik zapisz pod nazwą: CFScript.txt

Teraz plik przeciągnij i upuść na ikonę ComboFix:

Pokaż log który powstanie podczas usuwania.

aparacikk · 19 Stycznia 2009

LINK

dzięki bardzo

tehawanka · 19 Stycznia 2009

W właściwościach pliku sprawdź producenta i przeskanuj tutaj:

c:\windows\system32\drivers\nrwmh.sys

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu i opróżnij foldery Temp i Temporary - ATF Cleaner

aparacikk · 20 Stycznia 2009

LINK

zrobiłem tak jak mówiłeś, został kamsoft.exe i olhrwef.exe. kamsofta jakoś usunąłem ale tego nie dam rady. A tego pliku co miałem sprawdzić producenta nie mam

Na pulpicie cały czas mi sie tworzy skrót do IE. A pliki kamsoft.exe, vamsoft.exe i ten ahr....exe mam zablokowane w Zone Alarm Pro bo nie mogłem usunąć nie wiem tylko czemu one i tak się właczają tylko ze po jakimś czasie znikają.

tehawanka · 20 Stycznia 2009

Kolejny raz podłączyłeś zainfekowany pendrive lub inne urządzenie z pamięcią typu flash.

Musisz samodzielnie wyczyścić te dyski, ja w logu widzę tylko pliki na dysku systemowym.

W opcjach folderów ustaw pokazywanie plików ukrytych i systemowych, następnie z tych dysków usuń wszystkie dziwne pliki .exe, .com, bat

Dodatkowo podłącz pendrive i użyj Flash_Disinfector

Póżniej utwórz nowy CFScript:

File::
C:\gy.exe
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
C:\m9ma.exe
c:\windows\system32\nmdfgds0.dll

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e890b70-86ea-11dd-b5f7-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55bcd678-8878-11dd-b5f9-4d6564696130}]

Pokaż nowy log.

aparacikk · 20 Stycznia 2009

A ten wirus dziala tak ze tylk ojak podlaczysz pendrive to odrazu sie wgrywa? I jest taka mozliwosc ze np. sie komp zawiesza i restartuje sie odrazu??

tehawanka · 21 Stycznia 2009

Jeżeli włączone jest autoodtwarzanie to infekcja następuje automatycznie.

Dodatkowo trojan tworzy na pendrive plik autorun, gdy dwukrotnie klikniesz na ikonie od pendrive równiez dochodzi do infekcji.

Trojany z pendrive raczej nie powodują restartu komputera.

p1sk · 27 Stycznia 2009

hej,

nowy jestem, niestety też mam problem z olhrwef.exe

nmdfgds0.dll udało mi się usunąć ręcznie nmdfgds1.dll już nie

log z combofix

poniżej to co wskazał wcześniej nod32

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\WINDOWS\system32\nmdfgds0.dll - Win32/PSW.OnLineGames.ODJ trojan

C:\WINDOWS\system32\nmdfgds1.dll - Win32/PSW.OnLineGames.ODJ trojan

C:\WINDOWS\system32\olhrwef.exe - Win32/PSW.OnLineGames.NMY trojan

F:\uvsqfgwd.cmd - Win32/PSW.OnLineGames.NMY trojan

dodatkowo pen'a potraktowałem flash disinfector'em

z góry dzięki za sprawdzenie log'a i wskazówki

zdravim

p1sk

p1sk · 27 Stycznia 2009

hmmm czegoś nie rozumiem....

czekając na odpowiedź na mojego posta postanowiłem ponownie uruchomić combofix

oto jaki uzyskałem rezultat

zdziwiło mnie to:

- - - - USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

oraz brak nmdfgds1.dll

może mi ktoś to wytłumaczyć?

myślałem żeby stworzyć CFScript na wzór odpowiedzi tehawanka ale stwierdziłem że mogę coś namieszać więc zrezygnowałem - ale nowy log mnie troche zdziwił....

co gorsza nod dalej wykrywa pozycje

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0052488.cmd - Win32/PSW.OnLineGames.NMY trojan

C:\System Volume Information\_restore{AABBD8C1-B111-4CCD-9F54-D37A7BF21A83}\RP359\A0053479.cmd - Win32/PSW.OnLineGames.NMY trojan

Pozdrawiam

piotrek

tehawanka · 27 Stycznia 2009

Utwórz taki CFScript:

File::
C:\aaw7boot.cmd
c:\windows\system32\nmdfgds1.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c6-d256-11dc-9fd9-0016d42b1120}]

System Volume Information opróżnij poprzez chwilowe wyłączenie przywracania systemu:

Start >>> Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

p1sk · 28 Stycznia 2009

dzięki

efekt ponownego sprawdzenia combofix'em

pozdrawiam

piotrek

tehawanka · 28 Stycznia 2009

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c3-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c8-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Nowy log nie jest potrzebny.

p1sk · 29 Stycznia 2009

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c0-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c3-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c7-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20e262c8-d256-11dc-9fd9-0016d42b1120}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d5d115a-2ee2-11dd-a08a-0016d42b1120}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Nowy log nie jest potrzebny.

wielkie dzięki

Guttek · 6 Lutego 2009

Witam

Mam podobny problem z olhrwef.exe.

Tutaj jest link do log'a HiJackThis: http://wklejto.pl/25283

Tutaj do log'a z ComboFix: http://wklejto.pl/25284

Jestem w 90% pewny co trzeba wpisać w plik FIX.REG jednak wolę sam nie mieszać bo nie znam się na tym.

Prosiłbym kogoś obeznanego o podanie kodu, który trzeba tam wpisać (super byłoby też gdyby było tam zaznaczone, które wpisy co usuwają żeby wiedzieć na przyszłość).

Zacząłem przeglądać oba te logi bo nawet mnie to zainteresowało i ciekawi mnie co oznaczają poszczególne literki: drahsc---w <- w log'u ComboFix, jest to przy każdym folderze, wygląda mi to na jakieś atrybuty tych plików? A jeśli nie chce się nikomu objaśniać to poprosiłbym jedynie o pomoc w naprawieniu tego

Pozdrawiam

tehawanka · 6 Lutego 2009

Wklej do notatnika:

File::
E:\hl80c6b1.com
e:\windows\system32\olhrwef.exe
F:\hl80c6b1.com

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-

Plik zapisz pod nazwą: CFScript

Teraz plik przeciągnij i upuść na ikonę ComboFix:

Pokaż log który powstanie podczas usuwania.

Dodatkowo podłącz pendrive i użyj Flash_Disinfector

D = Folder

A = Archiwalny

S = Systemowy

H = Ukryty

R = Tylko do odczytu

N = Brak atrybutów

C = Skompresowane (kompresja NTFS)

Guttek · 6 Lutego 2009

Log: http://wklejto.pl/25297

Pendrive'a już wcześniej czyściłem tym programem.

Bardzo dziękuję za pomoc

HiJackThis nie pokazuje już olhrwef.exe

Pozdrawiam

Temat został przeniesiony do archiwum

Trojan Agent - jak usunąć?

Rekomendowane odpowiedzi

Kapitan Brad Bellick 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

glauks 419

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Kapitan Brad Bellick 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Kapitan Brad Bellick 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Kapitan Brad Bellick 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

aparacikk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

aparacikk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

aparacikk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

aparacikk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

p1sk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

p1sk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

tehawanka 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

p1sk 0