Logi - Pamięć operacyjna » koń trojański
#1
Napisano 26 03 2012 - 17:01
Pamięć operacyjna>> rundll32.exe (1936) prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański- nie można usunąć.
Bardzo bym prosił o pomoc. Z góry dziękuję
#2
Napisano 27 03 2012 - 12:36
.
#3
Napisano 27 03 2012 - 15:11
OTL.Txt.txt 103,8 KB 323 Ilość pobrań
Extras.Txt.txt 19,55 KB 276 Ilość pobrań
Użytkownik xmateusz edytował ten post 27 03 2012 - 15:21
#4
Napisano 27 03 2012 - 16:50
1) Użyj >[hide]Adw-cleaner [/hide](ściągnij na Pulpit i kliknij w nim Delete
Pokaż raport z niego C:AdwCleaner[S1].txt
2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
[2012-03-27 14:49:07 | 000,000,316 | ---- | M] () -- C:WINDOWStasksInsu.job
[2012-03-22 19:50:32 | 000,126,976 | RHS- | M] () -- C:WINDOWSSystem32ntvdme.dll
O8 - Extra context menu item: Download with &Media Finder - C:Program FilesMedia Finderhook.html File not found
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:Program FilesDealPlyDealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM..Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
O3 - HKLM..Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
O3 - HKLM..Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
O3 - HKUS-1-5-21-1644491937-1303643608-839522115-1003..ToolbarWebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
O3 - HKUS-1-5-21-1644491937-1303643608-839522115-1003..ToolbarWebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
O3 - HKUS-1-5-21-1644491937-1303643608-839522115-1003..ToolbarWebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
[2012-01-19 20:33:42 | 000,000,000 | ---D | M] (Babylon) -- C:Documents and SettingsRTS WIDZEWDane aplikacjiMozillaFirefoxProfilesdggnydsd.defaultextensionsffxtlbr@babylon.com
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003SOFTWAREMicrosoftInternet ExplorerMain,Start Page = Babylon Search
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003..URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003..URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:Program FilesMyAshampooprxtbMyA2.dll (Conduit Ltd.)
IE - HKUS-1-5-21-1644491937-1303643608-839522115-1003..URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:Program FilesIncrediMail_MediaBar_2prxtbInc2.dll (Conduit Ltd.)
IE - HKLM..URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:Program FilesWinamp Toolbarwinamptb.dll (AOL Inc.)
:Commands
[emptytemp]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Daj log z >MBRCheck
Daj log z >TDSSKiller
Co usuwał ComboFix? (jeśli masz tamten log, to go pokaż).
.
Zbyt wiele to tu nie widzę do usuwania:
1) Użyj >[hide]Adw-cleaner [/hide](ściągnij na Pulpit i kliknij w nim Delete
Pokaż raport z niego C:AdwCleaner[S1].txt
2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Daj log z >MBRCheck
Daj log z >TDSSKiller
Zrób też log z Farbar Service Scanner >http://download.blee.../farbar/FSS.exe (do skanowania zaznacz wszystko).
Co usuwał ComboFix? (jeśli masz tamten log, to go pokaż).
.
#5
Napisano 27 03 2012 - 17:30
2. log z OTL Nowy Dokument tekstowy (2).txt 103,64 KB 229 Ilość pobrań
3. pozostałe logi z MBRCheck_03.27.12_17.47.24.txt 8,23 KB 243 Ilość pobrań TDSSKiller.2.7.23.0_27.03.2012_17.50.24_log.txt 71,61 KB 228 Ilość pobrań i FSS.txt 3,85 KB 202 Ilość pobrań
ComboFix usuwał mi innego trojana. Już nie pamiętam jaki to był. Usunął mi go bez problemu.
Użytkownik xmateusz edytował ten post 27 03 2012 - 17:59
#6
Napisano 27 03 2012 - 19:17
MBRCheck - nic nie wykrył.
Usuwanie powiodło się.
W nowym logu OTL - nic ciekawego.
W poprzednim logu Extras:
Jeśli będą jakieś problemy z powodu tych niedziałających usług, to założysz temat na >http://www.fixitpc.pl/[ System Events ]
Error - 2012-03-25 13:48:20 | Computer Name = MATEUSZ | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DNS zależy od usługi Sterownik protokołu TCP/IP, której
nie można uruchomić z powodu następującego błędu: %%31
Error - 2012-03-25 13:48:20 | Computer Name = MATEUSZ | Source = Service Control Manager | ID = 7001
Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi AFD, której nie można
uruchomić z powodu następującego błędu: %%31
Error - 2012-03-25 13:48:20 | Computer Name = MATEUSZ | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego
lub systemowego: AFD AsIO ehdrv epfwtdir Fips intelppm IPSec MRxSmb NetBIOS PCTSD RasAcd Rdbss
Tcpip
WS2IFSL
Tam @Picasso zna się na tym, ale nie mogę zagwarantować, że zechce się tym zająć, bo nie masz już żadnej infekcji - (gdyby była infekcja, to pewnie by się zajęła tym). Choć, z drugiej strony, Farbar Service nie wykrył żadnych nieprawidłowości, więc być może to było jednodniowe z tymi usługami ...
.
Użytkownik ordynat edytował ten post 27 03 2012 - 19:22
#7
Napisano 27 03 2012 - 20:07
Użytkownik xmateusz edytował ten post 27 03 2012 - 20:36
#8
Napisano 04 09 2012 - 12:49
OTL.txt http://wklej.org/hash/48feae960b9/
Extras. txt http://wklej.org/id/823869/
Prosze o pilna pomoc
#9
Napisano 04 09 2012 - 20:18
:OTL [2012-08-28 14:21:03 | 000,114,688 | RHS- | C] () -- C:\WINDOWS\System32\jobexec9.dll [2012-08-28 14:21:03 | 000,000,310 | ---- | C] () -- C:\WINDOWS\tasks\ibzyd.job FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" IE - HKU\S-1-5-21-2025429265-1958367476-1177238915-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 :Commands [emptytemp]Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.
Użyj > MBAM
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych