błagam o pomoc, mój symantec nie daje sobie z nim rady
phantom81
z combo
http://www.wklej.eu/index.php?id=a76b30ae68
z hi jacka
http://www.wklej.eu/index.php?id=8ac7669a18
nie mogę usunąć infostealer gampass
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
20 posty(ów)
• Strona 1 z 2 • 1, 2
nie mogę usunąć infostealer gampass
przez phantom81 » 23 Lis 2009, 12:25
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez mateo8898 » 23 Lis 2009, 15:41
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Podałeś log z OTL a nie z Combofixa ale to nic 
Uruchom HijackThis
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Następnie pobierz Combofix, przeskanuj system i daj log (podczas pobierania i skanu wyłącz wszelkie antywirusy i firewalle)
Logi podawaj na wklejorg lub wklejto bo wklej.eu ucina logi
Uruchom HijackThis
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked- Kod: Zaznacz wszystko
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
MOD - [2009-11-23 10:44:48 | 00,027,558 | ---- | M] () -- C:\WINDOWS\system32\kb823104448.dll
MOD - [2009-11-23 10:42:24 | 00,011,816 | ---- | M] () -- C:\WINDOWS\system32\kb1023104225.dll
MOD - [2009-11-23 10:41:22 | 00,014,549 | ---- | M] () -- C:\WINDOWS\system32\kb523104123.dll
MOD - [2009-11-23 10:41:13 | 00,012,830 | ---- | M] () -- C:\WINDOWS\system32\kb923104114.dll
MOD - [2009-11-23 10:40:30 | 00,014,541 | ---- | M] () -- C:\WINDOWS\system32\kb023104030.dll
MOD - [2009-11-23 10:40:02 | 00,014,465 | ---- | M] () -- C:\WINDOWS\system32\kb62310402.dll
MOD - [2009-11-23 10:39:49 | 00,013,844 | ---- | M] () -- C:\WINDOWS\system32\kb123103950.dll
MOD - [2009-11-23 10:35:56 | 00,022,098 | ---- | M] () -- C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf
MOD - [2009-11-23 10:35:28 | 00,020,563 | ---- | M] () -- C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf
MOD - [2009-11-23 10:35:20 | 00,053,760 | ---- | M] () -- C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf
MOD - [2009-11-23 10:35:11 | 00,221,271 | ---- | M] () -- C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf
MOD - [2009-11-23 10:34:25 | 00,220,268 | ---- | M] () -- C:\WINDOWS\system32\2EF0D734.dll
MOD - [2009-11-23 10:34:07 | 00,023,115 | ---- | M] () -- C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
MOD - [2009-11-23 10:33:07 | 00,018,010 | ---- | M] () -- C:\WINDOWS\Fonts\A97CRaCB.fon
MOD - [2009-11-23 10:32:56 | 00,020,059 | ---- | M] () -- C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
MOD - [2009-11-23 10:32:41 | 00,021,102 | ---- | M] () -- C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
MOD - [2009-11-23 10:32:30 | 00,019,562 | ---- | M] () -- C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf
MOD - [2009-11-23 10:32:18 | 00,225,900 | ---- | M] () -- C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
MOD - [2009-11-23 09:49:10 | 00,018,944 | ---- | M] () -- C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
MOD - [2009-11-23 09:49:00 | 00,020,480 | ---- | M] () -- C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
MOD - [2009-11-23 09:48:40 | 00,020,568 | ---- | M] () -- C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
SRV - [2009-11-23 10:44:32 | 00,068,096 | ---- | M] () -- C:\WINDOWS\system32\wmitpfs.dll -- (wmitpfs)
SRV - [2009-11-23 09:47:20 | 00,019,456 | ---- | M] () -- C:\WINDOWS\system32\6to4.dll -- (6to4)
DRV - [2009-11-23 10:29:45 | 00,003,328 | -HS- | M] () -- C:\WINDOWS\system32\drivers\WmiSvc.sys -- (WmiSvc)
O27 - HKLM IFEO\agentsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\apvxdwin.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avengine.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avltmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avp32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avtask.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\bdwizreg.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\boxmod.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccapp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccevtmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccregvfy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccsetmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\DrvAnti.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Đ޸´ą¤ľß.: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\extdb.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\frameworkservice.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\frwstub.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\guardfield.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\iparmor.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kaccore.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kasmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kav32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kavsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kavsvcui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kislnchr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\knownsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kregex.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvfw.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvmonxp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvol.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvprescan.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvwsc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvxp.kxp: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcdash.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcdetect.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mctskshd.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcvsescn.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mghtml.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\naprdmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\navapsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\navapw32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\navw32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nod32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nod32krn.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nod32kui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\npfmntor.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\oasclnt.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\pavsrv51.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\pfw.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\psctrls.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\psimreal.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\psimsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\qqdoctormain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ras.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ravmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ravstub.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwcfg.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwproxy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwsrv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rsmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rssafety.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\safebank.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\safeboxtray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\scan32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\secnotifier.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\SetupLD.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\shstat.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\smartup.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\sndsrvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\spbbcsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\symlcsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\tbmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\uihost.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ulibcfg.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\updaterui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\uplive.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vcr32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vcrmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vptray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vstskmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\webproxy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\xcommsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\xnlscn.exe: Debugger - ntsd -d (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {05EDDA35-1E5B-4A77-8F68-99AB967CF632} - C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf ()
O28 - HKLM ShellExecuteHooks: {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} - C:\WINDOWS\system32\122B901E.dll ()
O28 - HKLM ShellExecuteHooks: {1719B301-B494-4185-9379-242461F9CF02} - C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf ()
O28 - HKLM ShellExecuteHooks: {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} - C:\WINDOWS\system32\ndxq9awMc.dll ()
O28 - HKLM ShellExecuteHooks: {2EF0D734-21FD-4225-A1A2-BCD296182AAF} - C:\WINDOWS\system32\2EF0D734.dll ()
O28 - HKLM ShellExecuteHooks: {3AA5906B-77C9-452F-BA11-3FA905236728} - C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf ()
O28 - HKLM ShellExecuteHooks: {3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE} - C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf ()
O28 - HKLM ShellExecuteHooks: {51716C09-6B08-4CCF-B526-718E912C0573} - C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll ()
O28 - HKLM ShellExecuteHooks: {526EB425-7F56-4773-8D70-B8E45AA8E2B6} - C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur ()
O28 - HKLM ShellExecuteHooks: {653AF1C9-91C1-49A1-89E6-5638858397D0} - C:\WINDOWS\system32\hv29AFBjE3zxAaK.inf ()
O28 - HKLM ShellExecuteHooks: {7198F428-77AC-4837-AFBE-1E0393575935} - C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf ()
O28 - HKLM ShellExecuteHooks: {74DA2FEC-F68F-4DC7-9A45-9174AC044427} - C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf ()
O28 - HKLM ShellExecuteHooks: {7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540} - C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf ()
O28 - HKLM ShellExecuteHooks: {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} - C:\WINDOWS\Fonts\A97CRaCB.fon ()
O28 - HKLM ShellExecuteHooks: {87DE8A1A-96C5-4420-B222-EF998F697CE7} - C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll ()
O28 - HKLM ShellExecuteHooks: {8A6A5B34-D995-4C5D-9338-B5E264B4A87} - C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf ()
O28 - HKLM ShellExecuteHooks: {93DA1E7D-7C46-4F90-8674-EC90511FCA72} - C:\WINDOWS\system32\CDuAUVkGy9.dll ()
O28 - HKLM ShellExecuteHooks: {9C788311-14C0-4A95-A2BD-560DAD76744E} - C:\WINDOWS\system32\EY5zY7JPqtgQ4mxgERCp5.inf ()
O28 - HKLM ShellExecuteHooks: {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} - C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf ()
O28 - HKLM ShellExecuteHooks: {B8D2813F-E0ED-42C6-95DD-2969BD5DC639} - C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon ()
O28 - HKLM ShellExecuteHooks: {B9D0F4D7-C809-4C27-9CB4-63201DFB3D05} - C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf ()
O28 - HKLM ShellExecuteHooks: {F181F067-7046-4DCB-993F-200990736305} - C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur ()
O28 - HKLM ShellExecuteHooks: {F8EC4F9D-F88B-41CF-BC8D-3DD1737B6451} - C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf ()
O28 - HKLM ShellExecuteHooks: {FF9896FF-88E7-4D7F-8839-5A7C5D062F3B} - C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf ()
O32 - AutoRun File - [2009-11-23 10:38:46 | 00,000,312 | RHS- | M] () - H:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{ebcd0fc9-d7ac-11de-9a41-001b11471bfb}\Shell\AutoRun\command - "" = H:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe -- [2009-11-23 09:47:20 | 00,023,552 | RHS- | M] ()
O33 - MountPoints2\{ebcd0fc9-d7ac-11de-9a41-001b11471bfb}\Shell\explore\Command - "" = H:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe -- [2009-11-23 09:47:20 | 00,023,552 | RHS- | M] ()
O33 - MountPoints2\{ebcd0fc9-d7ac-11de-9a41-001b11471bfb}\Shell\open\Command - "" = H:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe -- [2009-11-23 09:47:20 | 00,023,552 | RHS- | M] ()
:Files
C:\WINDOWS\system32\kb823104448.dll
C:\WINDOWS\system32\kb1023104225.dll
C:\WINDOWS\system32\kb523104123.dll
C:\WINDOWS\system32\kb923104114.dll
C:\WINDOWS\system32\kb023104030.dll
C:\WINDOWS\system32\kb62310402.dll
C:\WINDOWS\system32\kb123103950.dll
C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf
C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf
C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
C:\WINDOWS\Fonts\A97CRaCB.fon
C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf
C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\system32\wmitpfs.dll
C:\WINDOWS\system32\6to4.dll
C:\WINDOWS\system32\drivers\WmiSvc.sys
C:\WINDOWS\Fonts\2knxWtVjbWXmUdGG.Ttf
C:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf
C:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf
C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon
C:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf
C:\WINDOWS\Fonts\A97CRaCB.fon
C:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf
C:\WINDOWS\Fonts\HXxfduw9KeQTCeP6Z.Ttf
C:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf
C:\WINDOWS\Fonts\eSEWZRdrSK3NeEJVy4.Ttf
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Następnie pobierz Combofix, przeskanuj system i daj log (podczas pobierania i skanu wyłącz wszelkie antywirusy i firewalle)
Logi podawaj na wklejorg lub wklejto bo wklej.eu ucina logi
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 25 Lis 2009, 18:13
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 25 Lis 2009, 18:24
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
TU PRZESYŁAM BIEŻACY KOLEJNY LOG Z OTL
http://wklej.org/id/215623/
A TERAZ Z HIJACKA
http://wklej.org/id/215624/
WCZORAJ STAWIAŁEM SYSTEM, MOŻE DLATEGO NIE ZADZIAŁAŁO.
http://wklej.org/id/215623/
A TERAZ Z HIJACKA
http://wklej.org/id/215624/
WCZORAJ STAWIAŁEM SYSTEM, MOŻE DLATEGO NIE ZADZIAŁAŁO.
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez mateo8898 » 25 Lis 2009, 19:42
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Jeszcze nie wszystko poszło.
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Wklej do notatnika:
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
MOD - [2009-11-25 17:17:57 | 00,220,268 | -HS- | M] () -- C:\WINDOWS\system32\2EF0D734.dll
MOD - [2009-11-25 17:17:39 | 00,023,115 | -HS- | M] () -- C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
MOD - [2009-11-25 17:17:13 | 00,011,816 | ---- | M] () -- C:\WINDOWS\system32\kb1025171713.dll
MOD - [2009-11-25 17:16:56 | 00,018,010 | -HS- | M] () -- C:\WINDOWS\Fonts\A97CRaCB.fon
MOD - [2009-11-25 17:16:47 | 00,020,059 | -HS- | M] () -- C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
MOD - [2009-11-25 17:16:38 | 00,021,102 | -HS- | M] () -- C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
MOD - [2009-11-25 17:16:30 | 00,012,307 | ---- | M] () -- C:\WINDOWS\system32\kb1225171630.dll
MOD - [2009-11-25 17:16:21 | 00,225,900 | -HS- | M] () -- C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
MOD - [2009-11-25 17:16:12 | 00,014,549 | ---- | M] () -- C:\WINDOWS\system32\kb525171613.dll
MOD - [2009-11-25 17:16:04 | 00,012,830 | ---- | M] () -- C:\WINDOWS\system32\kb92517164.dll
MOD - [2009-11-25 17:15:38 | 00,018,944 | -HS- | M] () -- C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
MOD - [2009-11-25 17:15:29 | 00,020,480 | -HS- | M] () -- C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
MOD - [2009-11-25 17:15:20 | 00,014,541 | ---- | M] () -- C:\WINDOWS\system32\kb025171521.dll
MOD - [2009-11-25 17:15:12 | 00,020,568 | -HS- | M] () -- C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
DRV - File not found -- -- (NtHid)
SRV - File not found -- -- (WmdmPmSN)
O27 - HKLM IFEO\360hotfix.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\360rp.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\360rpt.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360safe.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360safebox.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360sd.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360se.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360SoftMgrSvc.exe: Debugger - ntsd -dmgrsvc. (Microsoft Corporation)
O27 - HKLM IFEO\360speedld.exe: Debugger - ntsd -dmgrsvc. (Microsoft Corporation)
O27 - HKLM IFEO\360tray.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ast.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avcenter.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avgnt.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avguard.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avmailc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avp.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avwebgrd.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\bdagent.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\CCenter.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ccSvcHst.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Đ޸´ą¤ľß.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\egui.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ekrn.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kavstart.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\kissvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kmailmon.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kpfw32.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kpfwsvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\krnl360svc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kswebshield.exe: Debugger - ntsd -dield.ex File not found
O27 - HKLM IFEO\KVMonXP.kxp: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\KVSrvXP.exe: Debugger - ntsd -dt found (Microsoft Corporation)
O27 - HKLM IFEO\kwatch.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\livesrv.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Mcagent.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\mcmscsvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\McNASvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Mcods.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\McProxy.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\McSACore.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Mcshield.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\mcsysmon.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\mcvsshld.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MpfSrv.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\MPMon.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC1.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC2.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\msksrver.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\qutmserv.exe: Debugger - ntsd -dHEAPLOO (Microsoft Corporation)
O27 - HKLM IFEO\RavMonD.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\RavTask.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\RsAgent.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\rsnetsvr.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\RsTray.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ScanFrm.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\sched.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\seccenter.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\SfCtlCom.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\TMBMSRV.exe: Debugger - ntsd -dbook.dl File not found
O27 - HKLM IFEO\TmProxy.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\UfSeAgnt.exe: Debugger - ntsd -dHEAPLOO (Microsoft Corporation)
O27 - HKLM IFEO\vsserv.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\zhudongfangyu.exe: Debugger - ntsd -dfangyu. (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {05EDDA35-1E5B-4A77-8F68-99AB967CF632} - C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf ()
O28 - HKLM ShellExecuteHooks: {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} - C:\WINDOWS\system32\122B901E.dll ()
O28 - HKLM ShellExecuteHooks: {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} - C:\WINDOWS\system32\ndxq9awMc.dll ()
O28 - HKLM ShellExecuteHooks: {2EF0D734-21FD-4225-A1A2-BCD296182AAF} - C:\WINDOWS\system32\2EF0D734.dll ()
O28 - HKLM ShellExecuteHooks: {3AA5906B-77C9-452F-BA11-3FA905236728} - C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf ()
O28 - HKLM ShellExecuteHooks: {51716C09-6B08-4CCF-B526-718E912C0573} - C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll ()
O28 - HKLM ShellExecuteHooks: {526EB425-7F56-4773-8D70-B8E45AA8E2B6} - C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur ()
O28 - HKLM ShellExecuteHooks: {653AF1C9-91C1-49A1-89E6-5638858397D0} - C:\WINDOWS\system32\hv29AFBjE3zxAaK.inf ()
O28 - HKLM ShellExecuteHooks: {7198F428-77AC-4837-AFBE-1E0393575935} - C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf ()
O28 - HKLM ShellExecuteHooks: {74DA2FEC-F68F-4DC7-9A45-9174AC044427} - C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf ()
O28 - HKLM ShellExecuteHooks: {7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540} - C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf ()
O28 - HKLM ShellExecuteHooks: {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} - C:\WINDOWS\Fonts\A97CRaCB.fon ()
O28 - HKLM ShellExecuteHooks: {87DE8A1A-96C5-4420-B222-EF998F697CE7} - C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll ()
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} - C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf ()
O28 - HKLM ShellExecuteHooks: {B8D2813F-E0ED-42C6-95DD-2969BD5DC639} - C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon ()
O28 - HKLM ShellExecuteHooks: {FF9896FF-88E7-4D7F-8839-5A7C5D062F3B} - C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf ()
O32 - AutoRun File - [2009-11-23 10:38:46 | 00,000,312 | RHS- | M] () - F:\autorun.inf -- [ FAT32 ]
:Files
C:\Qoobox
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Wklej do notatnika:
- Kod: Zaznacz wszystko
File::
c:\windows\system32\kb025164118.dll
c:\windows\system32\kb125164051.dll
c:\windows\system32\kb525164211.dll
c:\windows\system32\kb62516410.dll
c:\windows\system32\kb92516423.dll
c:\windows\system32\kb1025164314.dll
c:\windows\system32\kb1225164229.dll
C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf
C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
C:\WINDOWS\system32\hv29AFBjE3zxAaK.inf
C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\Fonts\A97CRaCB.fon
C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon
C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf
C:\WINDOWS\System32\kb825171934.dll
C:\WINDOWS\System32\nXe2grrKNzF9dxYKmqg.inf
C:\WINDOWS\System32\CDuAUVkGy9.dll
C:\WINDOWS\System32\wmitpfs.dll
C:\WINDOWS\System32\W8MvNsbGCCW52XyxV8wQ.inf
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\BtmBAnd89jc9PsPq5EKNj.inf
C:\WINDOWS\System32\EY5zY7JPqtgQ4mxgERCp5.inf
C:\WINDOWS\tasks\ddVPascWfSShX0VrqXGjB.inf
C:\WINDOWS\tasks\DusPtK7SMWS7Xsa.ico
C:\WINDOWS\System32\2EF0D734.dll
C:\WINDOWS\System32\ndxq9awMc.dll
C:\WINDOWS\System32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
C:\WINDOWS\System32\SjQGXVR4VJHtTHeDE75wC.inf
C:\WINDOWS\System32\kb1025171713.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\hv29AFBjE3zxAaK.inf
C:\WINDOWS\System32\JMq7bpeR4Xa8eV5ftCB.inf
C:\WINDOWS\System32\FsmBY3kmWnAG5gRbwGgU.inf
C:\WINDOWS\System32\kb1225171630.dll
C:\WINDOWS\System32\2exJW3dsaTgWrf5uAPadmHN.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb525171613.dll
C:\WINDOWS\System32\kb92517164.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb025171521.dll
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\System32\drivers\soukmppt.dat
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 26 Lis 2009, 07:28
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
dalej mam to samo ,żadnej poprawy infostealer się namnaża w zastraszajcym tempie
"Dajesz log z usuwania + nowy log z OTL"- nie wiem co to znaczy. Przy wklejaniu z otl wywala błąd 0000008
log z combofixa poniżej
http://wklej.org/id/216151/
"Dajesz log z usuwania + nowy log z OTL"- nie wiem co to znaczy. Przy wklejaniu z otl wywala błąd 0000008
log z combofixa poniżej
http://wklej.org/id/216151/
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez mateo8898 » 26 Lis 2009, 08:14
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
phantom81 napisał(a):"Dajesz log z usuwania + nowy log z OTL"- nie wiem co to znaczy. Przy wklejaniu z otl wywala błąd 0000008
Po wklejeniu skryptu do OTL powinien pojawić się log, który podajesz na forum. Po wykonaniu dajesz dodatkowo nowy log robiony opcją Run Scan
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - usuń wszystko co znajdzie i daj raport
Następnie podaj nowy log z OTL
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 26 Lis 2009, 14:03
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 26 Lis 2009, 14:09
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez mateo8898 » 26 Lis 2009, 15:38
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Typ skanowania: Szybkie skanowanie
Miałeś wykonać pełne skanowanie.
W takim razie przeskanuj ponownie i później podaj nowy log z OTL
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 27 Lis 2009, 17:22
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez mateo8898 » 27 Lis 2009, 19:16
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Skanowałeś Malwarebytes, bo żadnego raportu nie widzę???
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
MOD - [2009-11-27 16:09:49 | 00,017,920 | -HS- | M] () -- C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf
MOD - [2009-11-27 16:09:22 | 00,020,480 | -HS- | M] () -- C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
MOD - [2009-11-27 16:09:13 | 00,020,568 | -HS- | M] () -- C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
MOD - [2009-11-27 16:09:04 | 00,018,944 | -HS- | M] () -- C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
MOD - [2009-11-27 16:08:55 | 00,014,549 | ---- | M] () -- C:\WINDOWS\system32\kb52716856.dll
MOD - [2009-11-27 16:08:47 | 00,012,994 | ---- | M] () -- C:\WINDOWS\system32\kb112716847.dll
MOD - [2009-11-27 16:08:38 | 00,012,305 | ---- | M] () -- C:\WINDOWS\system32\kb122716838.dll
MOD - [2009-11-27 16:08:29 | 00,027,558 | ---- | M] () -- C:\WINDOWS\system32\kb82716830.dll
MOD - [2009-11-27 16:08:20 | 00,014,541 | ---- | M] () -- C:\WINDOWS\system32\kb02716820.dll
MOD - [2009-11-27 16:08:11 | 00,011,816 | ---- | M] () -- C:\WINDOWS\system32\kb102716811.dll
MOD - [2009-11-27 16:08:02 | 00,012,830 | ---- | M] () -- C:\WINDOWS\system32\kb9271683.dll
MOD - [2009-11-27 16:07:54 | 00,014,465 | ---- | M] () -- C:\WINDOWS\system32\kb62716757.dll
MOD - [2009-11-27 16:07:45 | 00,028,402 | ---- | M] () -- C:\WINDOWS\system32\kb12716745.dll
O28 - HKLM ShellExecuteHooks: {05EDDA35-1E5B-4A77-8F68-99AB967CF632} - C:\WINDOWS\System32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf File not found
O28 - HKLM ShellExecuteHooks: {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} - C:\WINDOWS\system32\122B901E.dll ()
O28 - HKLM ShellExecuteHooks: {1719B301-B494-4185-9379-242461F9CF02} - C:\WINDOWS\System32\BtmBAnd89jc9PsPq5EKNj.inf File not found
O28 - HKLM ShellExecuteHooks: {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} - C:\WINDOWS\System32\ndxq9awMc.dll File not found
O28 - HKLM ShellExecuteHooks: {2EF0D734-21FD-4225-A1A2-BCD296182AAF} - C:\WINDOWS\System32\2EF0D734.dll File not found
O28 - HKLM ShellExecuteHooks: {3AA5906B-77C9-452F-BA11-3FA905236728} - C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf File not found
O28 - HKLM ShellExecuteHooks: {3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE} - C:\WINDOWS\System32\W8MvNsbGCCW52XyxV8wQ.inf File not found
O28 - HKLM ShellExecuteHooks: {51716C09-6B08-4CCF-B526-718E912C0573} - C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll ()
O28 - HKLM ShellExecuteHooks: {526EB425-7F56-4773-8D70-B8E45AA8E2B6} - C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur ()
O28 - HKLM ShellExecuteHooks: {653AF1C9-91C1-49A1-89E6-5638858397D0} - C:\WINDOWS\System32\hv29AFBjE3zxAaK.inf File not found
O28 - HKLM ShellExecuteHooks: {7198F428-77AC-4837-AFBE-1E0393575935} - C:\WINDOWS\System32\JMq7bpeR4Xa8eV5ftCB.inf File not found
O28 - HKLM ShellExecuteHooks: {74DA2FEC-F68F-4DC7-9A45-9174AC044427} - C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf ()
O28 - HKLM ShellExecuteHooks: {7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540} - C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf ()
O28 - HKLM ShellExecuteHooks: {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} - C:\WINDOWS\fonts\A97CRaCB.fon File not found
O28 - HKLM ShellExecuteHooks: {87DE8A1A-96C5-4420-B222-EF998F697CE7} - C:\WINDOWS\System32\2exJW3dsaTgWrf5uAPadmHN.dll File not found
O28 - HKLM ShellExecuteHooks: {8A6A5B34-D995-4C5D-9338-B5E264B4A87} - C:\WINDOWS\System32\nXe2grrKNzF9dxYKmqg.inf File not found
O28 - HKLM ShellExecuteHooks: {93DA1E7D-7C46-4F90-8674-EC90511FCA72} - C:\WINDOWS\System32\CDuAUVkGy9.dll File not found
O28 - HKLM ShellExecuteHooks: {9C788311-14C0-4A95-A2BD-560DAD76744E} - C:\WINDOWS\System32\EY5zY7JPqtgQ4mxgERCp5.inf File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} - C:\WINDOWS\System32\FsmBY3kmWnAG5gRbwGgU.inf File not found
O28 - HKLM ShellExecuteHooks: {B8D2813F-E0ED-42C6-95DD-2969BD5DC639} - C:\WINDOWS\fonts\AN2Epfv2VzeHreV.fon File not found
O28 - HKLM ShellExecuteHooks: {B9D0F4D7-C809-4C27-9CB4-63201DFB3D05} - C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf ()
O28 - HKLM ShellExecuteHooks: {F181F067-7046-4DCB-993F-200990736305} - C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur File not found
O28 - HKLM ShellExecuteHooks: {FF9896FF-88E7-4D7F-8839-5A7C5D062F3B} - C:\WINDOWS\System32\SjQGXVR4VJHtTHeDE75wC.inf File not found
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
- Kod: Zaznacz wszystko
Folders to delete:
C:\Qoobox
Files to delete:
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 28 Lis 2009, 19:52
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
OTL, zatrzymuje sie i wyskakuje komunikat "acess violation at address 7c912e25 in module nt.dll. Read of address 000B0012"
avenger zatrzymuje sie i wywala bład" error.could not query installed services. aborting execution ( error 0 . operacja zakonczona pomyślnie)
(Folders to delete:
C:\Qoobox
Files to delete:
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dllrror o
avenger zatrzymuje sie i wywala bład" error.could not query installed services. aborting execution ( error 0 . operacja zakonczona pomyślnie)
(Folders to delete:
C:\Qoobox
Files to delete:
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dllrror o
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
Re: nie mogę usunąć infostealer gampass
przez mateo8898 » 28 Lis 2009, 20:01
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Spróbuj wykonać operacje z OTL oraz Avengerem w trybie awaryjnym
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: nie mogę usunąć infostealer gampass
przez phantom81 » 28 Lis 2009, 21:11
UA: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6)
jak na złosć xp home edition nie chce mi sie odpalić w trybie awaryjnym:(
co robić w tym przypadku?
co robić w tym przypadku?
- phantom81
- Forumowicz
- Posty: 11
- Dołączenie: 23 Lis 2009, 12:05
20 posty(ów)
• Strona 1 z 2 • 1, 2
Kto jest na forum
Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników