Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
nie mogę usunąć infostealer gampass
23 Lis 2009, 12:25
błagam o pomoc, mój symantec nie daje sobie z nim rady
phantom81
z combo
http://www.wklej.eu/index.php?id=a76b30ae68
z hi jacka
http://www.wklej.eu/index.php?id=8ac7669a18
phantom81
z combo
http://www.wklej.eu/index.php?id=a76b30ae68
z hi jacka
http://www.wklej.eu/index.php?id=8ac7669a18
Re: nie mogę usunąć infostealer gampass
23 Lis 2009, 15:41
Podałeś log z OTL a nie z Combofixa ale to nic 
Uruchom HijackThis
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Następnie pobierz Combofix, przeskanuj system i daj log (podczas pobierania i skanu wyłącz wszelkie antywirusy i firewalle)
Logi podawaj na wklejorg lub wklejto bo wklej.eu ucina logi
Uruchom HijackThis
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked- Kod:
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
MOD - [2009-11-23 10:44:48 | 00,027,558 | ---- | M] () -- C:\WINDOWS\system32\kb823104448.dll
MOD - [2009-11-23 10:42:24 | 00,011,816 | ---- | M] () -- C:\WINDOWS\system32\kb1023104225.dll
MOD - [2009-11-23 10:41:22 | 00,014,549 | ---- | M] () -- C:\WINDOWS\system32\kb523104123.dll
MOD - [2009-11-23 10:41:13 | 00,012,830 | ---- | M] () -- C:\WINDOWS\system32\kb923104114.dll
MOD - [2009-11-23 10:40:30 | 00,014,541 | ---- | M] () -- C:\WINDOWS\system32\kb023104030.dll
MOD - [2009-11-23 10:40:02 | 00,014,465 | ---- | M] () -- C:\WINDOWS\system32\kb62310402.dll
MOD - [2009-11-23 10:39:49 | 00,013,844 | ---- | M] () -- C:\WINDOWS\system32\kb123103950.dll
MOD - [2009-11-23 10:35:56 | 00,022,098 | ---- | M] () -- C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf
MOD - [2009-11-23 10:35:28 | 00,020,563 | ---- | M] () -- C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf
MOD - [2009-11-23 10:35:20 | 00,053,760 | ---- | M] () -- C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf
MOD - [2009-11-23 10:35:11 | 00,221,271 | ---- | M] () -- C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf
MOD - [2009-11-23 10:34:25 | 00,220,268 | ---- | M] () -- C:\WINDOWS\system32\2EF0D734.dll
MOD - [2009-11-23 10:34:07 | 00,023,115 | ---- | M] () -- C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
MOD - [2009-11-23 10:33:07 | 00,018,010 | ---- | M] () -- C:\WINDOWS\Fonts\A97CRaCB.fon
MOD - [2009-11-23 10:32:56 | 00,020,059 | ---- | M] () -- C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
MOD - [2009-11-23 10:32:41 | 00,021,102 | ---- | M] () -- C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
MOD - [2009-11-23 10:32:30 | 00,019,562 | ---- | M] () -- C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf
MOD - [2009-11-23 10:32:18 | 00,225,900 | ---- | M] () -- C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
MOD - [2009-11-23 09:49:10 | 00,018,944 | ---- | M] () -- C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
MOD - [2009-11-23 09:49:00 | 00,020,480 | ---- | M] () -- C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
MOD - [2009-11-23 09:48:40 | 00,020,568 | ---- | M] () -- C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
SRV - [2009-11-23 10:44:32 | 00,068,096 | ---- | M] () -- C:\WINDOWS\system32\wmitpfs.dll -- (wmitpfs)
SRV - [2009-11-23 09:47:20 | 00,019,456 | ---- | M] () -- C:\WINDOWS\system32\6to4.dll -- (6to4)
DRV - [2009-11-23 10:29:45 | 00,003,328 | -HS- | M] () -- C:\WINDOWS\system32\drivers\WmiSvc.sys -- (WmiSvc)
O27 - HKLM IFEO\agentsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\apvxdwin.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avengine.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avltmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avp32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avtask.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\bdwizreg.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\boxmod.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccapp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccevtmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccregvfy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccsetmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\DrvAnti.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Đ޸´ą¤ľß.: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\extdb.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\frameworkservice.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\frwstub.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\guardfield.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\iparmor.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kaccore.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kasmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kav32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kavsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kavsvcui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kislnchr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\knownsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kregex.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvfw.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvmonxp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvol.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvprescan.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvwsc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kvxp.kxp: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcdash.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcdetect.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mctskshd.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcvsescn.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mghtml.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\naprdmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\navapsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\navapw32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\navw32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nod32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nod32krn.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\nod32kui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\npfmntor.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\oasclnt.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\pavsrv51.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\pfw.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\psctrls.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\psimreal.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\psimsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\qqdoctormain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ras.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ravmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ravstub.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwcfg.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwproxy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rfwsrv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rsmain.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rssafety.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\safebank.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\safeboxtray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\scan32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\secnotifier.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\SetupLD.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\shstat.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\smartup.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\sndsrvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\spbbcsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\symlcsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\tbmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\uihost.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ulibcfg.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\updaterui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\uplive.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vcr32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vcrmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vptray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vstskmgr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\webproxy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\xcommsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\xnlscn.exe: Debugger - ntsd -d (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {05EDDA35-1E5B-4A77-8F68-99AB967CF632} - C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf ()
O28 - HKLM ShellExecuteHooks: {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} - C:\WINDOWS\system32\122B901E.dll ()
O28 - HKLM ShellExecuteHooks: {1719B301-B494-4185-9379-242461F9CF02} - C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf ()
O28 - HKLM ShellExecuteHooks: {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} - C:\WINDOWS\system32\ndxq9awMc.dll ()
O28 - HKLM ShellExecuteHooks: {2EF0D734-21FD-4225-A1A2-BCD296182AAF} - C:\WINDOWS\system32\2EF0D734.dll ()
O28 - HKLM ShellExecuteHooks: {3AA5906B-77C9-452F-BA11-3FA905236728} - C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf ()
O28 - HKLM ShellExecuteHooks: {3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE} - C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf ()
O28 - HKLM ShellExecuteHooks: {51716C09-6B08-4CCF-B526-718E912C0573} - C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll ()
O28 - HKLM ShellExecuteHooks: {526EB425-7F56-4773-8D70-B8E45AA8E2B6} - C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur ()
O28 - HKLM ShellExecuteHooks: {653AF1C9-91C1-49A1-89E6-5638858397D0} - C:\WINDOWS\system32\hv29AFBjE3zxAaK.inf ()
O28 - HKLM ShellExecuteHooks: {7198F428-77AC-4837-AFBE-1E0393575935} - C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf ()
O28 - HKLM ShellExecuteHooks: {74DA2FEC-F68F-4DC7-9A45-9174AC044427} - C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf ()
O28 - HKLM ShellExecuteHooks: {7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540} - C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf ()
O28 - HKLM ShellExecuteHooks: {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} - C:\WINDOWS\Fonts\A97CRaCB.fon ()
O28 - HKLM ShellExecuteHooks: {87DE8A1A-96C5-4420-B222-EF998F697CE7} - C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll ()
O28 - HKLM ShellExecuteHooks: {8A6A5B34-D995-4C5D-9338-B5E264B4A87} - C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf ()
O28 - HKLM ShellExecuteHooks: {93DA1E7D-7C46-4F90-8674-EC90511FCA72} - C:\WINDOWS\system32\CDuAUVkGy9.dll ()
O28 - HKLM ShellExecuteHooks: {9C788311-14C0-4A95-A2BD-560DAD76744E} - C:\WINDOWS\system32\EY5zY7JPqtgQ4mxgERCp5.inf ()
O28 - HKLM ShellExecuteHooks: {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} - C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf ()
O28 - HKLM ShellExecuteHooks: {B8D2813F-E0ED-42C6-95DD-2969BD5DC639} - C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon ()
O28 - HKLM ShellExecuteHooks: {B9D0F4D7-C809-4C27-9CB4-63201DFB3D05} - C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf ()
O28 - HKLM ShellExecuteHooks: {F181F067-7046-4DCB-993F-200990736305} - C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur ()
O28 - HKLM ShellExecuteHooks: {F8EC4F9D-F88B-41CF-BC8D-3DD1737B6451} - C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf ()
O28 - HKLM ShellExecuteHooks: {FF9896FF-88E7-4D7F-8839-5A7C5D062F3B} - C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf ()
O32 - AutoRun File - [2009-11-23 10:38:46 | 00,000,312 | RHS- | M] () - H:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{ebcd0fc9-d7ac-11de-9a41-001b11471bfb}\Shell\AutoRun\command - "" = H:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe -- [2009-11-23 09:47:20 | 00,023,552 | RHS- | M] ()
O33 - MountPoints2\{ebcd0fc9-d7ac-11de-9a41-001b11471bfb}\Shell\explore\Command - "" = H:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe -- [2009-11-23 09:47:20 | 00,023,552 | RHS- | M] ()
O33 - MountPoints2\{ebcd0fc9-d7ac-11de-9a41-001b11471bfb}\Shell\open\Command - "" = H:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe -- [2009-11-23 09:47:20 | 00,023,552 | RHS- | M] ()
:Files
C:\WINDOWS\system32\kb823104448.dll
C:\WINDOWS\system32\kb1023104225.dll
C:\WINDOWS\system32\kb523104123.dll
C:\WINDOWS\system32\kb923104114.dll
C:\WINDOWS\system32\kb023104030.dll
C:\WINDOWS\system32\kb62310402.dll
C:\WINDOWS\system32\kb123103950.dll
C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf
C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf
C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
C:\WINDOWS\Fonts\A97CRaCB.fon
C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf
C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\system32\wmitpfs.dll
C:\WINDOWS\system32\6to4.dll
C:\WINDOWS\system32\drivers\WmiSvc.sys
C:\WINDOWS\Fonts\2knxWtVjbWXmUdGG.Ttf
C:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf
C:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf
C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon
C:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf
C:\WINDOWS\Fonts\A97CRaCB.fon
C:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf
C:\WINDOWS\Fonts\HXxfduw9KeQTCeP6Z.Ttf
C:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf
C:\WINDOWS\Fonts\eSEWZRdrSK3NeEJVy4.Ttf
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Następnie pobierz Combofix, przeskanuj system i daj log (podczas pobierania i skanu wyłącz wszelkie antywirusy i firewalle)
Logi podawaj na wklejorg lub wklejto bo wklej.eu ucina logi
Re: nie mogę usunąć infostealer gampass
25 Lis 2009, 18:13
Re: nie mogę usunąć infostealer gampass
25 Lis 2009, 18:24
TU PRZESYŁAM BIEŻACY KOLEJNY LOG Z OTL
http://wklej.org/id/215623/
A TERAZ Z HIJACKA
http://wklej.org/id/215624/
WCZORAJ STAWIAŁEM SYSTEM, MOŻE DLATEGO NIE ZADZIAŁAŁO.
http://wklej.org/id/215623/
A TERAZ Z HIJACKA
http://wklej.org/id/215624/
WCZORAJ STAWIAŁEM SYSTEM, MOŻE DLATEGO NIE ZADZIAŁAŁO.
Re: nie mogę usunąć infostealer gampass
25 Lis 2009, 19:42
Jeszcze nie wszystko poszło.
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Wklej do notatnika:
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
MOD - [2009-11-25 17:17:57 | 00,220,268 | -HS- | M] () -- C:\WINDOWS\system32\2EF0D734.dll
MOD - [2009-11-25 17:17:39 | 00,023,115 | -HS- | M] () -- C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
MOD - [2009-11-25 17:17:13 | 00,011,816 | ---- | M] () -- C:\WINDOWS\system32\kb1025171713.dll
MOD - [2009-11-25 17:16:56 | 00,018,010 | -HS- | M] () -- C:\WINDOWS\Fonts\A97CRaCB.fon
MOD - [2009-11-25 17:16:47 | 00,020,059 | -HS- | M] () -- C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
MOD - [2009-11-25 17:16:38 | 00,021,102 | -HS- | M] () -- C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
MOD - [2009-11-25 17:16:30 | 00,012,307 | ---- | M] () -- C:\WINDOWS\system32\kb1225171630.dll
MOD - [2009-11-25 17:16:21 | 00,225,900 | -HS- | M] () -- C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
MOD - [2009-11-25 17:16:12 | 00,014,549 | ---- | M] () -- C:\WINDOWS\system32\kb525171613.dll
MOD - [2009-11-25 17:16:04 | 00,012,830 | ---- | M] () -- C:\WINDOWS\system32\kb92517164.dll
MOD - [2009-11-25 17:15:38 | 00,018,944 | -HS- | M] () -- C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
MOD - [2009-11-25 17:15:29 | 00,020,480 | -HS- | M] () -- C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
MOD - [2009-11-25 17:15:20 | 00,014,541 | ---- | M] () -- C:\WINDOWS\system32\kb025171521.dll
MOD - [2009-11-25 17:15:12 | 00,020,568 | -HS- | M] () -- C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
DRV - File not found -- -- (NtHid)
SRV - File not found -- -- (WmdmPmSN)
O27 - HKLM IFEO\360hotfix.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\360rp.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\360rpt.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360safe.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360safebox.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360sd.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360se.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\360SoftMgrSvc.exe: Debugger - ntsd -dmgrsvc. (Microsoft Corporation)
O27 - HKLM IFEO\360speedld.exe: Debugger - ntsd -dmgrsvc. (Microsoft Corporation)
O27 - HKLM IFEO\360tray.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ast.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avcenter.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avgnt.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avguard.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avmailc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avp.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\avwebgrd.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\bdagent.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\CCenter.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ccSvcHst.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Đ޸´ą¤ľß.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\egui.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ekrn.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kavstart.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\kissvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kmailmon.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kpfw32.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kpfwsvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\krnl360svc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\kswebshield.exe: Debugger - ntsd -dield.ex File not found
O27 - HKLM IFEO\KVMonXP.kxp: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\KVSrvXP.exe: Debugger - ntsd -dt found (Microsoft Corporation)
O27 - HKLM IFEO\kwatch.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\livesrv.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Mcagent.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\mcmscsvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\McNASvc.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Mcods.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\McProxy.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\McSACore.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\Mcshield.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\mcsysmon.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\mcvsshld.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MpfSrv.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\MPMon.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC1.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC2.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\msksrver.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\qutmserv.exe: Debugger - ntsd -dHEAPLOO (Microsoft Corporation)
O27 - HKLM IFEO\RavMonD.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\RavTask.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\RsAgent.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\rsnetsvr.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\RsTray.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\ScanFrm.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\sched.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\seccenter.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\SfCtlCom.exe: Debugger - ntsd -dtionGoo (Microsoft Corporation)
O27 - HKLM IFEO\TMBMSRV.exe: Debugger - ntsd -dbook.dl File not found
O27 - HKLM IFEO\TmProxy.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\UfSeAgnt.exe: Debugger - ntsd -dHEAPLOO (Microsoft Corporation)
O27 - HKLM IFEO\vsserv.exe: Debugger - ntsd -doft Cor (Microsoft Corporation)
O27 - HKLM IFEO\zhudongfangyu.exe: Debugger - ntsd -dfangyu. (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {05EDDA35-1E5B-4A77-8F68-99AB967CF632} - C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf ()
O28 - HKLM ShellExecuteHooks: {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} - C:\WINDOWS\system32\122B901E.dll ()
O28 - HKLM ShellExecuteHooks: {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} - C:\WINDOWS\system32\ndxq9awMc.dll ()
O28 - HKLM ShellExecuteHooks: {2EF0D734-21FD-4225-A1A2-BCD296182AAF} - C:\WINDOWS\system32\2EF0D734.dll ()
O28 - HKLM ShellExecuteHooks: {3AA5906B-77C9-452F-BA11-3FA905236728} - C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf ()
O28 - HKLM ShellExecuteHooks: {51716C09-6B08-4CCF-B526-718E912C0573} - C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll ()
O28 - HKLM ShellExecuteHooks: {526EB425-7F56-4773-8D70-B8E45AA8E2B6} - C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur ()
O28 - HKLM ShellExecuteHooks: {653AF1C9-91C1-49A1-89E6-5638858397D0} - C:\WINDOWS\system32\hv29AFBjE3zxAaK.inf ()
O28 - HKLM ShellExecuteHooks: {7198F428-77AC-4837-AFBE-1E0393575935} - C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf ()
O28 - HKLM ShellExecuteHooks: {74DA2FEC-F68F-4DC7-9A45-9174AC044427} - C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf ()
O28 - HKLM ShellExecuteHooks: {7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540} - C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf ()
O28 - HKLM ShellExecuteHooks: {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} - C:\WINDOWS\Fonts\A97CRaCB.fon ()
O28 - HKLM ShellExecuteHooks: {87DE8A1A-96C5-4420-B222-EF998F697CE7} - C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll ()
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} - C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf ()
O28 - HKLM ShellExecuteHooks: {B8D2813F-E0ED-42C6-95DD-2969BD5DC639} - C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon ()
O28 - HKLM ShellExecuteHooks: {FF9896FF-88E7-4D7F-8839-5A7C5D062F3B} - C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf ()
O32 - AutoRun File - [2009-11-23 10:38:46 | 00,000,312 | RHS- | M] () - F:\autorun.inf -- [ FAT32 ]
:Files
C:\Qoobox
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Wklej do notatnika:
- Kod:
File::
c:\windows\system32\kb025164118.dll
c:\windows\system32\kb125164051.dll
c:\windows\system32\kb525164211.dll
c:\windows\system32\kb62516410.dll
c:\windows\system32\kb92516423.dll
c:\windows\system32\kb1025164314.dll
c:\windows\system32\kb1225164229.dll
C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf
C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
C:\WINDOWS\system32\hv29AFBjE3zxAaK.inf
C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf
C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\Fonts\A97CRaCB.fon
C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf
C:\WINDOWS\Fonts\AN2Epfv2VzeHreV.fon
C:\WINDOWS\system32\SjQGXVR4VJHtTHeDE75wC.inf
C:\WINDOWS\System32\kb825171934.dll
C:\WINDOWS\System32\nXe2grrKNzF9dxYKmqg.inf
C:\WINDOWS\System32\CDuAUVkGy9.dll
C:\WINDOWS\System32\wmitpfs.dll
C:\WINDOWS\System32\W8MvNsbGCCW52XyxV8wQ.inf
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\BtmBAnd89jc9PsPq5EKNj.inf
C:\WINDOWS\System32\EY5zY7JPqtgQ4mxgERCp5.inf
C:\WINDOWS\tasks\ddVPascWfSShX0VrqXGjB.inf
C:\WINDOWS\tasks\DusPtK7SMWS7Xsa.ico
C:\WINDOWS\System32\2EF0D734.dll
C:\WINDOWS\System32\ndxq9awMc.dll
C:\WINDOWS\System32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf
C:\WINDOWS\System32\SjQGXVR4VJHtTHeDE75wC.inf
C:\WINDOWS\System32\kb1025171713.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\hv29AFBjE3zxAaK.inf
C:\WINDOWS\System32\JMq7bpeR4Xa8eV5ftCB.inf
C:\WINDOWS\System32\FsmBY3kmWnAG5gRbwGgU.inf
C:\WINDOWS\System32\kb1225171630.dll
C:\WINDOWS\System32\2exJW3dsaTgWrf5uAPadmHN.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb525171613.dll
C:\WINDOWS\System32\kb92517164.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb025171521.dll
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\System32\drivers\soukmppt.dat
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Re: nie mogę usunąć infostealer gampass
26 Lis 2009, 07:28
dalej mam to samo ,żadnej poprawy infostealer się namnaża w zastraszajcym tempie
"Dajesz log z usuwania + nowy log z OTL"- nie wiem co to znaczy. Przy wklejaniu z otl wywala błąd 0000008
log z combofixa poniżej
http://wklej.org/id/216151/
"Dajesz log z usuwania + nowy log z OTL"- nie wiem co to znaczy. Przy wklejaniu z otl wywala błąd 0000008
log z combofixa poniżej
http://wklej.org/id/216151/
Re: nie mogę usunąć infostealer gampass
26 Lis 2009, 08:14
phantom81 napisał(a):"Dajesz log z usuwania + nowy log z OTL"- nie wiem co to znaczy. Przy wklejaniu z otl wywala błąd 0000008
Po wklejeniu skryptu do OTL powinien pojawić się log, który podajesz na forum. Po wykonaniu dajesz dodatkowo nowy log robiony opcją Run Scan
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - usuń wszystko co znajdzie i daj raport
Następnie podaj nowy log z OTL
Re: nie mogę usunąć infostealer gampass
26 Lis 2009, 14:03
Re: nie mogę usunąć infostealer gampass
26 Lis 2009, 14:09
Re: nie mogę usunąć infostealer gampass
26 Lis 2009, 15:38
Typ skanowania: Szybkie skanowanie
Miałeś wykonać pełne skanowanie.
W takim razie przeskanuj ponownie i później podaj nowy log z OTL
Re: nie mogę usunąć infostealer gampass
27 Lis 2009, 17:22
Re: nie mogę usunąć infostealer gampass
27 Lis 2009, 19:16
Skanowałeś Malwarebytes, bo żadnego raportu nie widzę???
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
MOD - [2009-11-27 16:09:49 | 00,017,920 | -HS- | M] () -- C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf
MOD - [2009-11-27 16:09:22 | 00,020,480 | -HS- | M] () -- C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur
MOD - [2009-11-27 16:09:13 | 00,020,568 | -HS- | M] () -- C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
MOD - [2009-11-27 16:09:04 | 00,018,944 | -HS- | M] () -- C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
MOD - [2009-11-27 16:08:55 | 00,014,549 | ---- | M] () -- C:\WINDOWS\system32\kb52716856.dll
MOD - [2009-11-27 16:08:47 | 00,012,994 | ---- | M] () -- C:\WINDOWS\system32\kb112716847.dll
MOD - [2009-11-27 16:08:38 | 00,012,305 | ---- | M] () -- C:\WINDOWS\system32\kb122716838.dll
MOD - [2009-11-27 16:08:29 | 00,027,558 | ---- | M] () -- C:\WINDOWS\system32\kb82716830.dll
MOD - [2009-11-27 16:08:20 | 00,014,541 | ---- | M] () -- C:\WINDOWS\system32\kb02716820.dll
MOD - [2009-11-27 16:08:11 | 00,011,816 | ---- | M] () -- C:\WINDOWS\system32\kb102716811.dll
MOD - [2009-11-27 16:08:02 | 00,012,830 | ---- | M] () -- C:\WINDOWS\system32\kb9271683.dll
MOD - [2009-11-27 16:07:54 | 00,014,465 | ---- | M] () -- C:\WINDOWS\system32\kb62716757.dll
MOD - [2009-11-27 16:07:45 | 00,028,402 | ---- | M] () -- C:\WINDOWS\system32\kb12716745.dll
O28 - HKLM ShellExecuteHooks: {05EDDA35-1E5B-4A77-8F68-99AB967CF632} - C:\WINDOWS\System32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf File not found
O28 - HKLM ShellExecuteHooks: {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} - C:\WINDOWS\system32\122B901E.dll ()
O28 - HKLM ShellExecuteHooks: {1719B301-B494-4185-9379-242461F9CF02} - C:\WINDOWS\System32\BtmBAnd89jc9PsPq5EKNj.inf File not found
O28 - HKLM ShellExecuteHooks: {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} - C:\WINDOWS\System32\ndxq9awMc.dll File not found
O28 - HKLM ShellExecuteHooks: {2EF0D734-21FD-4225-A1A2-BCD296182AAF} - C:\WINDOWS\System32\2EF0D734.dll File not found
O28 - HKLM ShellExecuteHooks: {3AA5906B-77C9-452F-BA11-3FA905236728} - C:\WINDOWS\Tasks\ddVPascWfSShX0VrqXGjB.inf File not found
O28 - HKLM ShellExecuteHooks: {3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE} - C:\WINDOWS\System32\W8MvNsbGCCW52XyxV8wQ.inf File not found
O28 - HKLM ShellExecuteHooks: {51716C09-6B08-4CCF-B526-718E912C0573} - C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll ()
O28 - HKLM ShellExecuteHooks: {526EB425-7F56-4773-8D70-B8E45AA8E2B6} - C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur ()
O28 - HKLM ShellExecuteHooks: {653AF1C9-91C1-49A1-89E6-5638858397D0} - C:\WINDOWS\System32\hv29AFBjE3zxAaK.inf File not found
O28 - HKLM ShellExecuteHooks: {7198F428-77AC-4837-AFBE-1E0393575935} - C:\WINDOWS\System32\JMq7bpeR4Xa8eV5ftCB.inf File not found
O28 - HKLM ShellExecuteHooks: {74DA2FEC-F68F-4DC7-9A45-9174AC044427} - C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf ()
O28 - HKLM ShellExecuteHooks: {7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540} - C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf ()
O28 - HKLM ShellExecuteHooks: {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} - C:\WINDOWS\fonts\A97CRaCB.fon File not found
O28 - HKLM ShellExecuteHooks: {87DE8A1A-96C5-4420-B222-EF998F697CE7} - C:\WINDOWS\System32\2exJW3dsaTgWrf5uAPadmHN.dll File not found
O28 - HKLM ShellExecuteHooks: {8A6A5B34-D995-4C5D-9338-B5E264B4A87} - C:\WINDOWS\System32\nXe2grrKNzF9dxYKmqg.inf File not found
O28 - HKLM ShellExecuteHooks: {93DA1E7D-7C46-4F90-8674-EC90511FCA72} - C:\WINDOWS\System32\CDuAUVkGy9.dll File not found
O28 - HKLM ShellExecuteHooks: {9C788311-14C0-4A95-A2BD-560DAD76744E} - C:\WINDOWS\System32\EY5zY7JPqtgQ4mxgERCp5.inf File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} - C:\WINDOWS\System32\FsmBY3kmWnAG5gRbwGgU.inf File not found
O28 - HKLM ShellExecuteHooks: {B8D2813F-E0ED-42C6-95DD-2969BD5DC639} - C:\WINDOWS\fonts\AN2Epfv2VzeHreV.fon File not found
O28 - HKLM ShellExecuteHooks: {B9D0F4D7-C809-4C27-9CB4-63201DFB3D05} - C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf ()
O28 - HKLM ShellExecuteHooks: {F181F067-7046-4DCB-993F-200990736305} - C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur File not found
O28 - HKLM ShellExecuteHooks: {FF9896FF-88E7-4D7F-8839-5A7C5D062F3B} - C:\WINDOWS\System32\SjQGXVR4VJHtTHeDE75wC.inf File not found
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
- Kod:
Folders to delete:
C:\Qoobox
Files to delete:
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt
Re: nie mogę usunąć infostealer gampass
28 Lis 2009, 19:52
OTL, zatrzymuje sie i wyskakuje komunikat "acess violation at address 7c912e25 in module nt.dll. Read of address 000B0012"
avenger zatrzymuje sie i wywala bład" error.could not query installed services. aborting execution ( error 0 . operacja zakonczona pomyślnie)
(Folders to delete:
C:\Qoobox
Files to delete:
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dllrror o
avenger zatrzymuje sie i wywala bład" error.could not query installed services. aborting execution ( error 0 . operacja zakonczona pomyślnie)
(Folders to delete:
C:\Qoobox
Files to delete:
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dll
C:\WINDOWS\tasks\c2nH4numz9knY5zqnC.inf
C:\WINDOWS\tasks\kTS4JJGUYtVagxPs.ico
C:\WINDOWS\System32\122B901E.dll
C:\WINDOWS\System32\z6FVkEF47huPzgaXee.inf
C:\WINDOWS\tasks\vC6ykXbjUGCVeCJa.ico
C:\WINDOWS\System32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf
C:\WINDOWS\System32\PERrGx5DkqSbQdwauCRQH.dll
C:\WINDOWS\System32\kb52716856.dll
C:\WINDOWS\System32\drivers\hmbpodex.dat
C:\WINDOWS\System32\kb112716847.dll
C:\WINDOWS\System32\drivers\mfcctics32.dat
C:\WINDOWS\System32\kb122716838.dll
C:\WINDOWS\System32\kb82716830.dll
C:\WINDOWS\System32\drivers\bmtpws31.dat
C:\WINDOWS\System32\kb02716820.dll
C:\WINDOWS\System32\drivers\Encionc_ch.dat
C:\WINDOWS\System32\kb102716811.dll
C:\WINDOWS\System32\drivers\jxsiekc.dat
C:\WINDOWS\System32\kb9271683.dll
C:\WINDOWS\System32\drivers\kipikwcd.dat
C:\WINDOWS\System32\kb62716757.dll
C:\WINDOWS\System32\drivers\wtimsdo.dat
C:\WINDOWS\System32\kb12716745.dll
C:\WINDOWS\System32\wsconfig.db
C:\WINDOWS\System32\drivers\MSnoipds.dat
C:\WINDOWS\System32\dllcache\lsasvc.dllrror o
Re: nie mogę usunąć infostealer gampass
28 Lis 2009, 20:01
Spróbuj wykonać operacje z OTL oraz Avengerem w trybie awaryjnym
Re: nie mogę usunąć infostealer gampass
28 Lis 2009, 21:11
jak na złosć xp home edition nie chce mi sie odpalić w trybie awaryjnym:(
co robić w tym przypadku?
co robić w tym przypadku?