Pokaż wyniki 1 do 4 z 4

Temat: Wirus/Trojan tworzący pliki .exe

  1. 03-05-2010 #1
    zgaS
    zgaS jest offline
    Zarejestrowany
    Mar 2010
    Postów
    1

    Domyślnie Wirus/Trojan tworzący pliki .exe

    Witam mam problem po podlaczeniu pendriva cos zauwazylem ze cos na nim jest, plik wygladal jak archiwum ale wczesniej nic tam nie wrzucalem i okazalo sie ze to jakis wiru lub cos w tym stylu teraz przeszedl on na moj komputer i tworzy pliki z rozszerzeniem .exe o roznych nazwach Płacze nadodatek dziala w procesach i zamula kompa. Dodam ze eset nie wykrywa go jako wirusa doradzcie co poradzic Płacze sa to pliki o nazwach niespodzianka.exe, hund.exe najgorsze jest to ze nie wiem co to za wirus i jak go usunac Smutek hijackthis nie rozpoznaje tych plikow
    Log z hijackthis
    Załączone Pliki Załączone Pliki
    Odpowiedź z Cytatem Odpowiedź z Cytatem
  2. 03-06-2010 #2
    g3t_d0wn
    g3t_d0wn jest offline
    Zarejestrowany
    Dec 2009
    Postów
    164

    Domyślnie

    ..
    proponuję usunąć syf który rozpoczął się w rejestrze ( HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run ), wirus po prostu dodał się to autostartu, a teraz klonuje w przypadkowe ścieżki utworzone przez niego pliki. Jak najszybciej oczyść rejestr z tej ścieżki.i usuń pliki na dysku skąd były uruchamiane( w wartościach podkluczów rejestru będziesz widział ścieżki ). Daj znać jaki jest tego rezultat.
    Odpowiedź z Cytatem Odpowiedź z Cytatem
  3. 03-15-2010 #3
    zofja69
    zofja69 jest offline
    Zarejestrowany
    Mar 2010
    Postów
    19

    Domyślnie

    Fixuj :

    • R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    • R3 - Default URLSearchHook is missing
    • O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
    • O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    • O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - D:\PROGRA~1\DAP\DAPIEL~1.DLL
    • O4 - HKLM\..\Run: [RAS1] C:\Temp\EVEREST.exe
    • O4 - HKLM\..\Run: [RAS2] D:\Intel\Hund.exe
    • O4 - HKLM\..\Run: [RAS3] G:\HTML\Ja zyje.exe
    • O4 - HKLM\..\Run: [RAS4] C:\CS1.6 pod-Bot\LOST.exe
    • O4 - HKLM\..\Run: [RAS5] D:\WINDOWS\Roman.exe
    • O4 - HKLM\..\Run: [RAS6] G:\Zajęcia klasa 1\smieszne filmiki.exe
    • O4 - HKLM\..\Run: [RAS7] C:\BESTplayer\lexicon.exe
    • O4 - HKLM\..\Run: [RAS8] D:\Documents and Settings\simulation.exe
    • O4 - HKLM\..\Run: [RAS9] G:\Sprawdziany 1B\nie dla dzieci.exe
    • O4 - HKLM\..\Run: [RAS10] C:\My Downloads\stop.exe
    • O4 - HKLM\..\Run: [RAS11] D:\Program Files\Hund.exe
    • O4 - HKLM\..\Run: [RAS12] G:\Plants vs. Zombies\smieszne filmiki.exe
    • O4 - HKLM\..\Run: [RAS13] C:\TemplatesX5 LAVORO\Centrala.exe
    • O4 - HKLM\..\Run: [RAS14] D:\Intel\zdjecia.exe
    • O4 - HKLM\..\Run: [RAS15] G:\cos tam\start.exe
    • O4 - HKLM\..\Run: [RAS16] C:\My Downloads\lexicon.exe
    • O4 - HKLM\..\Run: [RAS17] D:\LexiTools\stop.exe
    • O4 - HKLM\..\Run: [RAS18] G:\SPRAWDZIAN_SUROWY\Japan.exe
    • O4 - HKLM\..\Run: [RAS19] C:\OutputFolder\niespodzianka.exe
    • O4 - HKLM\..\Run: [RAS20] D:\Program Files\antyvir.exe
    • O4 - HKLM\..\Run: [RAS21] G:\Sprawdziany 1B\Star.exe
    • O4 - HKLM\..\Run: [RAS23] D:\Intel\Audio.exe
    • O4 - HKLM\..\Run: [RAS24] G:\Lekcja 26- HTML - grafika i multimedia\EVEREST.exe
    • O4 - HKLM\..\Run: [RAS25] G:\DCIM\LOST.exe
    • O4 - HKLM\..\Run: [RAS26] G:\Calendars\Audio.exe
    • O4 - HKLM\..\Run: [RAS27] G:\DCIM\Audio.exe
    • O4 - HKLM\..\Run: [RAS28] G:\Contacts\Avast install.exe
    • O4 - HKLM\..\Run: [RAS29] G:\Contacts\pliki gosi.exe
    • O4 - HKLM\..\Run: [RAS30] G:\Calendars\dokumenty.exe
    • O4 - HKLM\..\Run: [RAS31] G:\DCIM\Audio.exe
    • O4 - HKLM\..\Run: [RAS32] G:\Calendars\pamiatki.exe
    • O4 - HKLM\..\Run: [RAS33] H:\Drukarki 17-24.02.10\Game Over.exe
    • O4 - HKLM\..\Run: [RAS34] H:\PC_Risen.-.Mini.Image.-TPTB\Roman.exe
    • O4 - HKLM\..\Run: [RAS35] H:\Counter Strike Source\EVEREST.exe
    • O4 - HKLM\..\Run: [RAS36] H:\Sprawdziany 1B\Window.exe
    • O4 - HKLM\..\Run: [RAS37] H:\Drukarki 17-24.02.10\simulation.exe
    • O4 - HKLM\..\Run: [RAS38] H:\HTML\Avast install.exe
    • O4 - HKLM\..\Run: [RAS39] H:\Drukarki 17-24.02.10\stop.exe
    • O4 - HKLM\..\Run: [RAS40] H:\Lekcja 19 - Excel -powtórzenie\usun to.exe
    • O4 - HKLM\..\Run: [RAS22] C:\Temp\Audio.exe
    • O4 - HKLM\..\Run: [RAS41] D:\My Downloads\Audio.exe
    • O4 - HKLM\..\Run: [RAS42] D:\Program Files\dokumenty.exe
    • O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    • O4 - HKCU\..\Run: [RAS1] C:\Temp\EVEREST.exe
    • O4 - HKCU\..\Run: [RAS2] D:\Intel\Hund.exe
    • O4 - HKCU\..\Run: [RAS4] C:\CS1.6 pod-Bot\LOST.exe
    • O4 - HKCU\..\Run: [RAS5] D:\WINDOWS\Roman.exe
    • O4 - HKCU\..\Run: [RAS7] C:\BESTplayer\lexicon.exe
    • O4 - HKCU\..\Run: [RAS8] D:\Documents and Settings\simulation.exe
    • O4 - HKCU\..\Run: [RAS10] C:\My Downloads\stop.exe
    • O4 - HKCU\..\Run: [RAS13] C:\TemplatesX5 LAVORO\Centrala.exe
    • O4 - HKCU\..\Run: [RAS14] D:\Intel\zdjecia.exe
    • O4 - HKCU\..\Run: [RAS16] C:\My Downloads\lexicon.exe
    • O4 - HKCU\..\Run: [RAS17] D:\LexiTools\stop.exe
    • O4 - HKCU\..\Run: [RAS19] C:\OutputFolder\niespodzianka.exe
    • O4 - HKCU\..\Run: [RAS23] D:\Intel\Audio.exe
    • O4 - HKCU\..\Run: [RAS3] C:\Temp\Audio.exe
    • O4 - HKCU\..\Run: [RAS6] D:\My Downloads\Audio.exe
    • O4 - HKCU\..\Run: [RAS9] D:\Program Files\dokumenty.exe
    • O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
    • O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%SystemRoot%\Web\Wallpaper" (User 'USŁUGA LOKALNA')
    • O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')
    • O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')
    • O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')
    • O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')
    • O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
    • O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%SystemRoot%\Web\Wallpaper" (User 'USŁUGA SIECIOWA')
    • O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    • O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    • O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    • O4 - Startup: Capcom Registration.lnk = D:\Program Files\CAPCOM\DARK VOID\Registration.exe
    • O4 - Global Startup: BlueSoleil.lnk = ?
    • O8 - Extra context menu item: &Clean Traces - D:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    • O8 - Extra context menu item: &Download with &DAP - D:\Program Files\DAP\dapextie.htm
    • O8 - Extra context menu item: Download &all with DAP - D:\Program Files\DAP\dapextie2.htm

    Jeśli antywirus nie wykrywa jeszcze wirusa to wyślij im plik do analizy bo stawiam, że masz tez wszędzie wirusy na pendrivach itp
    Odpowiedź z Cytatem Odpowiedź z Cytatem
  4. 11-02-2010 #4
    grek zorba
    grek zorba jest offline
    Zarejestrowany
    Nov 2010
    Postów
    1

    Domyślnie

    Mam ten sam problem z plikiem ctfmon.exe,wywaliłem go za pomocą CTFMON-Remover 2.3 ,czy coś jeszcze zostało po nim?
    log z hijackthis https://wklej.to/ulcM
    ten sam log,powyżej wygląda na "obcięty" Zippyshare.com - hijackthis.log
    Z góry dziękuję
    Ostatnio edytowane przez grek zorba : 11-02-2010 - 17:55
    Odpowiedź z Cytatem Odpowiedź z Cytatem
« Poprzedni temat | Następny temat »

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  

Forum Rules
Subskrybuj