Prosba o pomoc (fake.alert Dh)

przez **Gehe** » 03 Gru 2009, 15:57

Witam,
Mecze sie z tym juz od 3 dni, 3 razy myslalem, ze juz po wszystkim. Chodzi o robaka Fake alert Dh i posrednio o plik aec.sys. Skanowalem malwarebytes'em nie mogl go usunac ,skanowalem Nodem nie mogl go wyleczyc ani usunac. Wreszcie siegnalem po Combofix'a i po skanie wszystko wydawalo sie w normie (infekcja polega na tworzeniu nowych zakladek/okien po jakiejkolwiek akcji w przegladarkach internetowych, ladowanie elementow = nowa zakladka) nic sie nie tworzylo, wiec darowalem sobie zawracanie "wam" gitary. Problem jednak wroca caly czas (jak Lessi xD ). Bardzo prosze o pomoc, sam juz sobie rady nie dam. Wklejam logi z ComboFix'a, HJT i OTl'a.
- Combofix-
http://www.wklej.eu/index.php?id=5df4b04421
- HJT -
http://www.wklej.eu/index.php?id=a1c7f10c68
- OTL -
http://www.wklej.eu/index.php

Pierwszy raz korzystam z tych "programow", bede bardzo wdzieczny gdyby ktos mial czas i ochote mi pomoc, z gory dziekuje.
PS: Bym zapomnial nie wiem czy to wazne, ale mialem do czynienia z takim trojanem zvupd32(myslalem wczesniej ze on jest powodem tego wszystkiego o dziwo po poradzeniu sobie z nim w/w problem ustal, ale wrocil pozniej)

przez **mateo8898** » 03 Gru 2009, 16:25

Popraw link do loga z OTL.
Podaj także log z pierwszego użycia Combofixa, bo chce wiedzieć co było usuwane oraz raport z tamtego skanowania Malwarebytes

przez **Gehe** » 03 Gru 2009, 17:37

Poprawiony log z OTL:
http://www.wklej.eu/index.php?id=46fa0e9cbc
Pierwszy scan CF:
http://www.wklej.eu/index.php?id=298f4465d2
Log z Malware:
http://www.wklej.eu/index.php?id=d026910468

przez **mateo8898** » 03 Gru 2009, 17:59

Uruchom HijackThis

Do a system scan only

w okienku programu pokaże się log

zaznacz kratki przy podanych wpisach

klikasz Fix checked

Kod: Zaznacz wszystko: R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

Uruchom OTL

w oknie Custom Scans/Fixes wklej:

:OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

:Files
c:\documents and settings\darek\Menu Start\Programy\Autostart\zavupd32.exe
c:\windows\pss\zavupd32.exeStartup
c:\Documents and Settings\darek\Moje dokumenty\łŘ˝Ľ ÇĂ·Ż±×

:Commands
[emptytemp]
[resethosts]
[start explorer]
[Reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

Przeskanuj plik: c:\windows\system32\drivers\aec.sys na http://www.virustotal.com/pl/ i podaj wyniki

przez **Gehe** » 03 Gru 2009, 19:57

Log po kasowaniu w OTL
http://www.wklej.eu/index.php?id=5d523a39c2
Log po nowym scanie z OL'a
http://www.wklej.eu/index.php?id=290b1febd2

Przez chwile sie nawet ucieszylem bo bylo ok ,jednak po wrzucaniu nowych scanow na "wkleja" znow sie zaczelo odpalac

przez **mateo8898** » 03 Gru 2009, 20:06

W logach nic więcej nie ma.

Zrób jeszcze to:

Przeskanuj plik: c:\windows\system32\drivers\aec.sys na http://www.virustotal.com/pl/ i podaj wyniki

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik

Zapisz Listę Raportu)
oraz Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Czy dzieje się tak we wszystkich przeglądarkach, czy tylko w jednej???

przez **Gehe** » 03 Gru 2009, 21:07

Plik aec.sys jest czysty (przy pierwszym scanie Combofixem pisalo ze jest zainfekowany i ze proba hmm "naprawienia" go byla pomyslna) skanowanie na tej stronie wykazalo 0/40 (jesli potrzebny dokladny odpis z tej strony to zaraz wrzuce ,ale mysle ,ze to wystarczy. Przeczyscilem rejestr CCleanerem (usunieto 300mb). Malware zadnego nowego syfu nie znajduje. Co do pytania dzialo sie tak we wszystkich przegladarkach (pisze dzialo ,bo jak narazie wszystko w porzadku nic sie nie dzieje). Zostal do zrobienia scan Dr. Web'em wkleje go juz dla formalnosci pozniej by byc pewnym do konca. Dziekuje za pomoc mati8898, sam bym sobie ztym nie dal rady

Prosba o pomoc (fake.alert Dh)

Prosba o pomoc (fake.alert Dh)

Re: Prosba o pomoc (fake.alert Dh)

Re: Prosba o pomoc (fake.alert Dh)

Re: Prosba o pomoc (fake.alert Dh)

Re: Prosba o pomoc (fake.alert Dh)

Re: Prosba o pomoc (fake.alert Dh)

Re: Prosba o pomoc (fake.alert Dh)

Kto jest na forum