problem z trojanem hersse

[pawelik2009]

mam problem z trojanem który dostał się na kompa z pendrive i
http://www.wklej.org/id/177908/ oto link do loga z OTL
podczas wcześniejszego skanowania programem SUPERantiSpyware wyskakiwał problem z C:\ dokuments and settings\xp\ustawienia lokalne\temp\hersse.exe
tutaj w logu nie widzę tego.

[mateo8898]

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

W OTL wklej:

:OTL
PRC - [2004-08-03 22:44:20 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
PRC - [2009-03-29 16:11:16 | 00,032,838 | ---- | M] (MyWebSearch.com) -- C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl
IE - HKCU\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
FF - prefs.js..browser.search.selectedEngine: "MyWebSearch"
FF - prefs.js..keyword.URL: "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZKfox000&fl=0&ptb=5H3ukDtMxCg2mRuvn5frFg&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=kwd&searchfor="
[2009-10-15 20:22:46 | 00,009,941 | ---- | M] () -- C:\Documents and Settings\xp\Dane aplikacji\Mozilla\FireFox\Profiles\aqi53hlk.default\searchplugins\mywebsearch.xml
[2009-03-29 16:11:18 | 00,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\mozilla firefox\plugins\NPMyWebS.dll
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKCU\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Plugin] C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [Wins Loader5] File not found
O4 - HKCU..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKCU..\Run: [WinMedia] C:\WINDOWS\System32\winhst32.exe3072.exe File not found
O8 - Extra context menu item: &Search - File not found
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.)
O32 - AutoRun File - [2009-10-14 23:05:40 | 00,000,055 | RHS- | M] () - C:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009-10-14 23:05:40 | 00,000,055 | RHS- | M] () - E:\autorun.inf -- [ FAT32 ]

:Files
C:\Program Files\MyWebSearch
C:\Documents and Settings\xp\Dane aplikacji\Mozilla\FireFox\Profiles\aqi53hlk.default\searchplugins\mywebsearch.xml
C:\Program Files\mozilla firefox\plugins\NPMyWebS.dll
C:\RECYCLER
E:\RECYCLER
C:\FOUND.026
C:\FOUND.025
C:\FOUND.024
C:\ycvvj.exe
E:\ycvvj.exe
C:\mje12tni.exe
E:\mje12tni.exe
C:\autorun.inf
E:\autorun.inf
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys

:Services
MyWebSearchService

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[start explorer]
[Reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL + log z HijackThis

[pawelik2009]

http://www.wklej.org/id/178013/ to po Run fix
http://www.wklej.org/id/178039/ to z kolejnego skanowania OTL
http://www.wklej.org/id/178040/ log od HijackThis

[mateo8898]

Uruchom HijackThis Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked

Kod: Zaznacz wszystko

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

W OTL wklej:

:OTL
PRC - [2004-08-03 22:44:20 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
O4 - HKLM..\Run: [SemanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe File not found

:Files
C:\Program Files\RXToolBar

:Commands
[emptytemp]
[start explorer]
[Reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL + log z HijackThis

[pawelik2009]

Mam zaznaczyć wszystkie kratki w HijackThis czy tylko te podane tutaj na liście?

[mateo8898]

Tylko te, które podałem

[kukus]

mam problem z trojanem który dostał się na kompa z pendrive i
http://www.wklej.org/id/177908/ oto link do loga z OTL
podczas wcześniejszego skanowania programem SUPERantiSpyware wyskakiwał problem z C:\ dokuments and settings\xp\ustawienia lokalne\temp\hersse.exe
tutaj w logu nie widzę tego.

z pendrive'ow często i łatwo przechodzą wirusy. ale jest na to rada ja chronię się przed tym F-Secure'm IS 2010. świetny antywir, który współpracuje z pamięciami zewnętrznymi, więc myślę, że będzie dobrze. już pare razy zablokował mi trojany i wirusy.