podobno wiruchy z pena... (combofix, otl, inne związane)

[jj9912]

Witam,
A więc tak...
Kiedy klikam na dysk, pojawia się on w nowym oknie. Kiedy chce zobaczyć ukryte pliki to się cwaniaczki nie pokazują. Podobno chodzi tu o jakieś wirusy z pendrive'ów. Podobno trzeba użyć combofixa... Ale na każdym forum straszą, żę "zieloni" lepiej żeby tego nie używali... Aż taka zielona to ja nie jestem, mimo to trochę się tego programu boję.

Może istnieje coś podobnego do tego programu ale mniej inwazyjnego?
A może to nie wiruchy a coś innego?
Jeśli będę zmuszona użyć tego niejakiego combo, to czy znajdzie się jakaś duszyczka cierpliwa i mi pomoże?

Pozdr.

[mateo8898]

Podobno trzeba użyć combofixa... Ale na każdym forum straszą, żę "zieloni" lepiej żeby tego nie używali... Aż taka zielona to ja nie jestem, mimo to trochę się tego programu boję.

I dobrze, że straszą, bo to jest narzędzie bardzo mocno ingerujące w system i powinno się go używać tylko w ciężkich przypadkach. Podaj logi z: OTL i GMER (przed uruchomieniem użyj Defoggera)

[jj9912]

Dzięki za odpowiedź :]

Oto log z OTL
http://www.wklej.eu/index.php?id=0514fa73f1

I log z pliku o nazwie Extras
http://www.wklej.eu/index.php?id=4eb4bbf636


A log z GMER... Czy to tak długo trwa w tym gmer? Na otl to tak szybko w miarę i skończyło a gmer pracował dalej. Ale jeśli trzeba będzie, to trzeba.

[mateo8898]

Gmer nieraz długo skanuje.

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService)
IE - HKU\S-1-5-21-583907252-602609370-839522115-1004\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://www.ask.com?o=14737&l=dis"
FF - prefs.js..extensions.enabledItems: [email protected]:3.4.0.464
FF - prefs.js..keyword.URL: "http://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=PCW&o=14734&locale=en_US&q="
[2009-11-05 20:27:29 | 000,000,000 | ---D | M] -- E:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\w3yaoh3b.default\extensions\[email protected]
[2009-11-05 20:27:29 | 000,002,234 | ---- | M] () -- E:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\w3yaoh3b.default\searchplugins\askcom.xml
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKU\S-1-5-21-583907252-602609370-839522115-1004\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O4 - HKLM..\Run: [DmwClient] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\S-1-5-21-583907252-602609370-839522115-1004..\Run: [cdoosoft] E:\DOCUME~1\Admin\USTAWI~1\Temp\herss.exe File not found
O4 - HKU\S-1-5-21-583907252-602609370-839522115-1004..\RunOnce: [Shockwave Updater] E:\WINDOWS\System32\Adobe\Shockwave 11\SwHelper_1150600.exe -Update -1150600 -Mozilla\4.0 ( File not found
O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - E:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll File not found
O32 - AutoRun File - [2010-03-17 20:58:55 | 000,000,055 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-03-17 20:59:00 | 000,000,055 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-03-17 20:59:01 | 000,000,055 | RHS- | M] () - J:\autorun.inf -- [ NTFS ]
@Alternate Data Stream - 72 bytes E:\WINDOWS:B29F6ACC6D9D244B

:Files
E:\Program Files\Ask.com
E:\Documents and Settings\Admin\Menu Start\Programy\Autostart\Yahoo! Widget Engine.lnk
E:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
E:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk
E:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
E:\WINDOWS\tasks\User_Feed_Synchronization-{C05F0A42-42A8-4870-92F5-FF2AD035A601}.job
E:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
E:\WINDOWS\tasks\Norton Security Scan for Admin.job
E:\WINDOWS\tasks\At*.job
E:\Documents and Settings\All Users\Dane aplikacji\.zreglib
C:\ggpw.exe
E:\ggpw.exe
J:\ggpw.exe
E:\3dcs9.exe
C:\3dcs9.exe
J:\3dcs9.exe
E:\nhx.exe
C:\nhx.exe
J:\nhx.exe
E:\s1.exe
C:\s1.exe
J:\s1.exe

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"CloneCDTray"=-
"nwiz"=-
"WinampAgent"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar]
:Commands
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

[jj9912]

dobrze,
oto nowy log
http://www.wklej.eu/index.php?id=92a16d7ead

i log Extras
http://www.wklej.eu/index.php?id=7014ffa5be

[mateo8898]

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
@Alternate Data Stream - 72 bytes E:\WINDOWS:B29F6ACC6D9D244B

:Files
E:\ji83j.exe
C:\ji83j.exe
J:\ji83j.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}"=-

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL

[jj9912]

to się pojawiło po wklejeniu:

http://wklej.eu/index.php?id=f2193b4bc6

to log po "Run Scan"
http://wklej.eu/index.php?id=7576b7b03e

i log Extras:
http://wklej.eu/index.php?id=d662eece5c

I dodam, że już mogę zobaczyć ukryte pliki i dyski otwierają się w tym samym oknie.
I pytanie: ten Flash_Disinfector usuwa pliki np. z pendrive'a?

[mateo8898]

I pytanie: ten Flash_Disinfector usuwa pliki np. z pendrive'a?

Usuwa tylko szkodliwe pliki autorun.inf i tworzy swoje, które zabezpieczają przed tworzeniem się tych szkodliwych.

W logu więcej nic nie widzę.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj tą poprawkę http://download.microsoft.com/download/ ... 86-PLK.exe

[jj9912]

Ok, dziękuję ci serdecznie za pomoc <buziak_from_me_to_you>

[jj9912]

a jeszcze mam pytanie, tylko nie wiem czy je przeczytasz... ;] jak mogę przywrócić działanie deamona? bo próbujęgo włączyć ale wyskakuje error "debugger must be deactivated" czy coś takiego...

[mateo8898]

Jeśli używałaś wcześniej Defoggera to odpal go, a następnie wybierz Re-enable