ji38j.exe + kilka innych logi OTL

[apln]

Witam,

mam problem z plikiem ji38j.exe + herss.exe oraz plikami gxyoer.exe juayei.exe liaroe.exe soundman.exe viuoqu.exe - 5 ostatnich tworzy się w katalogu - pomimo usuwania - Documents and Settings/mojanazwausera . Wszystkie pojawiły się po podłączeniu pendrive'a.

Extras:
http://wklej.eu/index.php?id=d7c00ac17d

oraz OTL:

https://wklej.to/fbPS

Pierwszy raz wklejam logi, myślę, że dobrze. Proszę o pomoc.

Michał.

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:Processes
killallprocesses

:OTL
MOD - [2010-03-23 17:37:13 | 000,080,384 | RHS- | M] () -- C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\cvasds0.dll
SRV - [2010-03-22 22:08:12 | 000,160,256 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\System32\soundman.exe ()
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKCU..\Run: [gxyoer] C:\Documents and Settings\Michał\gxyoer.exe ()
O4 - HKCU..\Run: [juayei] C:\Documents and Settings\Michał\juayei.exe ()
O4 - HKCU..\Run: [liaroe] C:\Documents and Settings\Michał\liaroe.exe ()
O4 - HKCU..\Run: [viuoqu] C:\Documents and Settings\Michał\viuoqu.exe ()
O4 - HKCU..\Run: [YVIBBBHA8C] c:\Documents and Settings\Michał\Ustawienia lokalne\Temp\aw1 .exe ()
O32 - AutoRun File - [2010-03-23 17:47:49 | 000,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-03-23 17:43:14 | 000,000,057 | ---- | M] () - C:\autorun.inf.vir -- [ NTFS ]
O32 - AutoRun File - [2010-03-23 17:47:50 | 000,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-03-23 17:43:41 | 000,000,057 | ---- | M] () - D:\autorun.inf.vir -- [ NTFS ]
O33 - MountPoints2\{5b61c96c-3367-11df-9fa7-00110963278c}\Shell\AutoRun\command - "" = E:\ji83j.exe -- File not found
O33 - MountPoints2\{5b61c96c-3367-11df-9fa7-00110963278c}\Shell\open\Command - "" = E:\ji83j.exe -- File not found
O33 - MountPoints2\{d21ffcf2-32c9-11df-9fa5-00110963278c}\Shell - "" = AutoRun

:Files
C:\WINDOWS\system32\soundman.exe
C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\aw1 .exe
C:\WINDOWS\Apapib.exe
C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\cvasds0.dll
C:\WINDOWS\system32\sshnas21.dll
C:\Documents and Settings\Michał\soundman.exe
C:\ji83j.exe
D:\ji83j.exe
C:\ji83j.exe.vir
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\System32\svchost.bat
C:\Documents and Settings\Michał\juayei .exe
C:\Documents and Settings\Michał\gxyoer .exe
C:\WINDOWS\Apapia.exe
C:\Documents and Settings\Michał\liaroe .exe
C:\autorun.inf.vir
C:\WINDOWS\etvaun.EXE

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL + log z GMER

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

[apln]

Dziękuję za szybką poradę.

https://wklej.to/l02A - z usuwania

https://wklej.to/PMly - nowy log z OTL

https://wklej.to/89U8 https://wklej.to/ZZsa -log z GMER


Trojan scanner zwraca mi uwagę, że ten plik jest malwarem - c:\program files\internet explorer\wmpscfgs.exe. - usunąłem z poziomu total comandera, nie wiem czy dobrze zrobiłem.
Pamięci przenośne wyleczę, dzięki

[mateo8898]

Użyj Combofix i daj log z niego (podczas pobierania i skanu wyłącz wszelkie programy zabezpieczające)
Na czas skanu Combofixem podepnij także zainfekowane pamięci przenośne to zostaną przy okazji wyczyszczone z syfu.

[apln]

http://wklej.to/pQXJ

bez podpiętych pamięci, bo zostały w samochodzie.

[mateo8898]

Jest tu także syf infekujący pliki w autostarcie. Trojan Remover do odinstalowania bo i tak jest zainfekowany. Inne programy, które nie będą działać także będą do przeinstalowania.

Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\Common Files\Adobe\ARM\1.0\adobearm .exe
c:\program files\Tlen.pl\tlen  .exe
c:\program files\Tlen.pl\tlen .exe
c:\program files\Trojan Remover\trjscan .exe
c:\WINDOWS\tasks\At*.job

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Komunikator"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
"TrojanScanner"=-
"Adobe_Reader"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Tlen.pl\\tlen.exe"=-
"c:\\Program Files\\Tlen.pl\\tlen .exe"=-
"c:\\Program Files\\Tlen.pl\\tlen  .exe"=-

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[apln]

http://wklej.to/kov7

Wyskoczył jeden błąd, że aplikacja (c-cośtam) zostanie zamknięta. Tlena już przeinstalowałem, trojan removera wywaliłem.

Wciąż jest "wmpscfgs.exe"

[mateo8898]

Więcej nic nie widzę.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz http://www.instalki.pl/programy/downloa ... _8_XP.html

Zainstaluj tą poprawkę http://download.microsoft.com/download/ ... 86-PLK.exe