prośba o sprawdzenie loga

[Gość: michal]

ostatnio nod mi bez przerwy piszczy że coś się łączy z netem i próbuje
stworzyć pliki. popatrzyłem do C:\windows i pełno tam plików typu
salmvswabsd.exe lub innych takich nazwach. oto log z hjt na wklej.org:
wklej.org/id/455a7fe002

[Gość: Kolobos]

Zamknij porty przy pomocy wwdc.exe , nie sciagnaj i nie instaluj trojanow.

Uzyj combofix, log z programu wrzuc na wklej i daj link.

W menadzerze zadan zakoncz:
C:\WINDOWS\System32\dfmmaps.exe
C:\WINDOWS\System32\relccxs.exe
C:\WINDOWS\System32\itmanhc.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\regtutdg.exe
Pliki usun z dysku.

Plik C:\WINDOWS\REGEDIT.exe sprawdz tutja -> virusscan.jotti.org/ , wynik skanu wklej tez na wklej.

W hjt usun:
O4 - HKLM\..\Run: [jcidls] C:\WINDOWS\System32\dfmmaps.exe
O4 - HKLM\..\Run: [zcseacrt] C:\WINDOWS\System32\relccxs.exe
O4 - HKLM\..\Run: [passcxd] C:\WINDOWS\System32\itmanhc.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mcxidop] regtutdg.exe
O4 - HKCU\..\Run: [jcidls] C:\WINDOWS\System32\dfmmaps.exe
O4 - HKCU\..\Run: [zcseacrt] C:\WINDOWS\System32\relccxs.exe
O4 - HKCU\..\Run: [passcxd] C:\WINDOWS\System32\itmanhc.exe
O4 - HKCU\..\Run: [wescmv] C:\WINDOWS\System32\sddcss.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mcxidop] regtutdg.exe
O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "C:\Windows\Temp\SetupDemo.exe" -AdditionalInstall

Pliki usuwasz z dysku, do tego zrob skan przy pomocy SuperAntiSpyware.

[Gość: michal]

nic nie wykryło na virusscan.jotti.org (found nothing~)
logi z combofix - wklej.org/id/dfd70600b7
logi z superantispyware - wklej.org/id/7aadd97297

[Gość: Kolobos]

Z dysku usun te pliki:
C:\WINDOWS\gryujjte.exe
C:\WINDOWS\ygtrhtr.exe
C:\WINDOWS\juygregr.exe
C:\WINDOWS\thhtgergrthht.exe
C:\WINDOWS\wqefefgre.exe
C:\WINDOWS\twesdwdewewd.exe
C:\WINDOWS\weewsarfewre.exe
C:\WINDOWS\ytyrfryhtr.exe
C:\WINDOWS\tryewfdewgre.exe
C:\WINDOWS\regrththrerer.exe
C:\WINDOWS\rgtrhtyjyt.exe
C:\WINDOWS\ythgewytjhre.exe
C:\WINDOWS\yrthythjhrt.exe
C:\WINDOWS\rbnhregtrwsf.exe
C:\WINDOWS\thghergre.exe
C:\WINDOWS\rtfybgtrvfcgtr.exe
C:\WINDOWS\ntyrebgrtvfcd.exe
C:\WINDOWS\wrefergghtr.exe
C:\WINDOWS\nybtyhrtg.exe
C:\WINDOWS\ujyhvfbgfvd.exe
C:\WINDOWS\yrtdfvfdgtr.exe
C:\WINDOWS\ujtytdvsdvfds.exe
C:\WINDOWS\system32\dsbshell32.dll
C:\WINDOWS\ujytrdsvcbgre.exe
C:\WINDOWS\system32\wmmsysips.dll
C:\WINDOWS\qwergsfrhtrh.exe
C:\WINDOWS\system32\acsbvcc.exe
C:\WINDOWS\system32\amcxlss.exe
C:\WINDOWS\system32\apihmwja.exe
C:\WINDOWS\system32\autrlxzd.exe
C:\WINDOWS\system32\ctlmems.exe
C:\WINDOWS\system32\dfmmaps.exe
C:\WINDOWS\system32\dmmcvsld.exe
C:\WINDOWS\system32\dvlsysmv.exe
C:\WINDOWS\system32\gdmvstat.exe
C:\WINDOWS\system32\gmonstml.exe
C:\WINDOWS\system32\itmanhc.exe
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\porumnss.exe
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\regtutdg.exe
C:\WINDOWS\system32\relccxs.exe
C:\WINDOWS\system32\scmdcon.exe
C:\WINDOWS\system32\sdmmlmn.exe
C:\WINDOWS\system32\secjqacr.exe
C:\WINDOWS\system32\winunloo.exe

Wszystkie te pliki usun za jednym razem przy pomocy killbox'a (mozna do niego wkleic cala liste).

Wklej do notatnika to:

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"__GSCAdditionalInstallation__"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"cwingllib"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CE07DBD6-75BB-495E-8765-D7EF4242EE61}"=-
"{8BFA0939-92D5-4762-B188-2F45AE6D445B}"=-
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\scvhost]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wcmdmgr]

Zapisz jako fix.reg i uruchom.

Uzyj tez: downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy standardowo C:\SDFix
* Wejdź do trybu awaryjnego z obsługą sieci (klawisz F8 lub F5 przed startem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat i wybierz Y nastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz .
* Po restarcie SDFix uruchomi się ponownie, czekaj aż program dokończy pracę z komunikatem Finished. Dowolny klawisz zakończy działanie scryptu.

Po wszystkim wrzuc na wklej nowy log z combofix oraz z sdfix i daj link.