problem z herss.exe

[Chewie]

Witam

Jakis czas temu podlaczylem do laptopa pendriva i jakies paskudztwa sie dostaly na kompa. Z czescia sobie poradzilem recznie [mgking i cos tam jeszcze] ale ciagle nie moge sobie poradzic z tym herss.exe. Tzn oprucz tego ze nie moge odznaczyc zeby komp pokazywal pliki ukryte to nic wiecej groznego nie zauwazylem ale wolalbym czasem zajrzec jakie to pliki ukryte sa:) Wklejam logi z OTL i GMER jakby ktos je przejrzal to bylbym wdzieczny.

OTL
http://www.wklej.eu/index.php?id=9073334936

GMER
http://www.wklej.eu/index.php?id=2974db1a19

Niestety pewnie kompstacjonarny [bo to laptop] tez jest zarazony wiec wieczorem wkleje jeszcze logi ze stacjonarnego.
Pozdrawiam

[mateo8898]

Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

Później wykonaj ponownie logi z OTL z laptopa i stacjonarnego, ale poprawnie wg. tej instrukcji viewtopic.php?f=22&t=13967#p107754

[Chewie]

Ok chyba sie udalo :
Najpierw logi zlaptopa
otl http://www.wklej.eu/index.php?id=fc4d477e06
Extras http://www.wklej.eu/index.php?id=1aa46297c0
gmer http://www.wklej.eu/index.php?id=f41542bdc1
usbfix http://www.wklej.eu/index.php?id=a87ac7ef6c

Ten USBfix uznal wszystkie moje mp3 na dysku zewnetrznym jako wirusy i wpakowal je do kwarantanny na dysku w laptopie, wydaje mi sie to dziwne.

teraz logi ze stacjonarnego
otl
http://www.wklej.eu/index.php?id=8fe3107782
extras
http://www.wklej.eu/index.php?id=7739a8195d
Gmer
http://www.wklej.eu/index.php?id=ca4ce31844

I teraz mam pytanie, czym najlepiej sie zabezpieczyc przed inwazjami z pendrivow. Bo sytaucja jest taka ze moja kobieta czesto pracuje w domu na kompie i przynosi dane z pracy [uniwerek] a tam nikt nie panuje nad zabezpieczeniami kompow i ciagle jakies wirusy sie u mnie na kompie pojawialy. Zazwyczaj sam sobie radzilem ale tym razem wolalem poprosic o pomoc.

pozdrawiam

[mateo8898]

Ten USBfix uznal wszystkie moje mp3 na dysku zewnetrznym jako wirusy i wpakowal je do kwarantanny na dysku w laptopie, wydaje mi sie to dziwne.

Chodzi pewnie o ten folder:

Deleted ! K:\muza

Wyciągnij go z kwarantanny UsbFix, czyli folderu C:\UsbFix\Quarantine

Laptop:
Niech pamięci przenośne będą podpięte na czas usuwania OTL, bo UsbFix wszystkiego nie wykosił.
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O33 - MountPoints2\{326a69f5-c83f-11dd-bafb-001302ddf2e0}\Shell\AutoRun\command - "" = I:\j.cmd -- File not found
O33 - MountPoints2\{326a69f5-c83f-11dd-bafb-001302ddf2e0}\Shell\open\Command - "" = I:\j.cmd -- File not found

:Files
C:\Documents and Settings\Ch\Dane aplikacji\avdrn.dat
C:\Documents and Settings\Ch\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk
C:\FOUND.000
G:\yveqsh93.exe
I:\yveqsh93.exe
J:\yveqsh93.exe
K:\yveqsh93.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"NvCplDaemon"=-
"Skrót do strony właściwości High Definition Audio"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Stacjonarny:
Odinstaluj DAEMON Tools Toolbar.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O32 - AutoRun File - [2010-11-28 23:13:06 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 23:13:06 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 23:13:06 | 000,000,051 | RHS- | M] () - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 23:13:06 | 000,000,051 | RHS- | M] () - G:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 23:13:06 | 000,000,051 | RHS- | M] () - H:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 23:13:06 | 000,000,051 | RHS- | M] () - I:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{e90f9fe6-f26e-11df-9f49-001731b46616}\Shell\AutoRun\command - "" = L:\yveqsh93.exe -- File not found
O33 - MountPoints2\{e90f9fe6-f26e-11df-9f49-001731b46616}\Shell\open\Command - "" = L:\yveqsh93.exe -- File not found
[2010-11-28 20:11:57 | 000,118,272 | RHS- | M] () -- C:\WINDOWS\System32\arking0.dll
[2010-11-28 20:11:56 | 000,182,272 | RHS- | M] () -- C:\WINDOWS\System32\arking.exe
[2010-11-28 20:11:19 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2010-11-26 23:02:18 | 000,116,736 | RHS- | M] () -- C:\WINDOWS\System32\mgking1.dll
[2010-11-26 23:02:17 | 000,181,760 | RHS- | M] () -- C:\w9.exe
[2010-11-26 23:02:17 | 000,181,760 | RHS- | M] () -- C:\WINDOWS\System32\mgking.exe
[2010-11-11 11:27:01 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Files
C:\Documents and Settings\Chewie\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk
w9.exe /alldrives

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
"nwiz"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

I teraz mam pytanie, czym najlepiej sie zabezpieczyc przed inwazjami z pendrivow. Bo sytaucja jest taka ze moja kobieta czesto pracuje w domu na kompie i przynosi dane z pracy [uniwerek] a tam nikt nie panuje nad zabezpieczeniami kompow i ciagle jakies wirusy sie u mnie na kompie pojawialy. Zazwyczaj sam sobie radzilem ale tym razem wolalem poprosic o pomoc.

UsbFix w pewien sposób już zabezpieczył laptopa i pamięci przenośne przez utworzenie na każdym dysku i pamięci nieusuwalnego folderu Autorun.inf, który chroni przed tworzeniem się tych szkodliwych plików Autorun.inf. Wyłączył także odczyt tych plików. Jeśli chcesz także zabezpieczyć stacjonarny, użyj na nim UsbFix z opcji Vaccinate.
Oczywiście po przyniesieniu pendriva z jakiegoś niepewnego źródła, pierwsza akcja to przeskanowanie go antywirem.

[Chewie]

Witam,

Oto logi po przeprowadzonych operacjach:)

Laptop
po wykonaniu skryptu
http://www.wklej.eu/index.php?id=695070debb
otl
http://www.wklej.eu/index.php?id=087eb3df8f
extras
http://www.wklej.eu/index.php?id=8a02753a85

stacjonarny
po wykonaniu skryptu
http://www.wklej.eu/index.php?id=c70187b6f3
OTL
http://www.wklej.eu/index.php?id=d3ce584b1c
Extras
http://www.wklej.eu/index.php?id=e568f70553

Pozdrawiam

[mateo8898]

Laptop:
Wszystko się ładnie usunęło, więcej nic nie widać.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 5
Java(TM) 6 Update 17

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Stacjonarny:
Tutaj także wszystko się ładnie usunęło, tylko małe pozostałości po toolbarze zostały. W OTL wklej:

:OTL
O3 - HKU\S-1-5-21-1715567821-492894223-725345543-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2010-11-07 21:12:34 | 000,000,000 | ---D | C] -- C:\Program Files\DAEMON Tools Toolbar

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport