Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Infekcja z pendrive. AhnRpta.exe

#1
Cry  Infekcja z pendrive. AhnRpta.exe
Jakiś czas temu oddawałem projekt na mp3 w szkole(podpiąłem mp3 w szkole), teraz podłączyłem go w domu, zapominając wyczyscic go ;/.
Porobiło się pełno dziwnych procesów typu AhnRpta.exe oraz kolejne składające sie z losowych cyfr.

Pozdrawiam i z góry dziękuje za pomoc.

skan z Hijack
http://www.wklej.org/hash/82e2390f01/


Skan z OTL

http://www.wklej.org/id/109263/

OTL extras
http://wklej.org/hash/c39af0ea67/
 System operacyjny: windows_xp_2003 Przeglądarka: opera
#2
RE: Infekcja z pendrive. AhnRpta.exe
Cytat:Porobiło się pełno dziwnych procesów...
Ano porobiło się...Wesoły
Na razie nie podpinaj żadnych nowych pendrivów i innego typu pamięci przenośnych (mp3 itp itd)..
Użyj Flash Disinfector, następnie pokaż nowy log z OTListIt2 (OTL) oraz log z GMERa.
Plik:
C:\WINDOWS\System32\wow15_886.dll
przeskanuj na http://www.virustotal.com i podaj link do wyniku
<http://www.threatexpert.com/report.aspx?md5=88c2d27163852f864586237445e1323d>
Czy na tym komputerze jest zainstalowany jakikolwiek program antywirusowy z ochroną rezydentną ? (jeśli nie - zrobisz to później).
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#3
RE: Infekcja z pendrive. AhnRpta.exe
Nie posiadam antywirusa. Kiedyś korzystałem z avasta, jednak ciągłe aktualizacje denerwowały mnie, więc go usunąłem.



wow15_886.dll



Log z OTL
http://www.wklej.org/id/109438/

GMER skan ktory sam sie zrobil po włączeniu
http://www.wklej.org/id/109440/

GMER skan po zaznaczeniu wszystkich partycji i kliknieciu Szukaj.
http://www.wklej.org/id/109446/ Skan dość długo trwaJęzyk nie jestem pewień czy chodziło o tak szczegółowy. Wklejam część która zrobiła sie do tej pory. skanowanie trwa dalej jak bedzie trzeba to do końca poczekam.

Na dysku E powstało dużo ciekawych ukrytych plików utworzonych około godziny o której podłączyłem mp3.

Chciałbym także wspomnieć, że mam problemy z użyciem ramu, wzrasta on dość szybko, po paru godzinach pracy na komputerze osiąga poziom 2GB i więcej, przez co windows chce zwiększyc plik wymiany, a także system zwalnia.

Od pewnego czasu Firefox przestał się włączać, po podłączeniu mp3 na jakis czas Opera nie działała oraz w Menadżerze zadań zniknęły zakładki
Wydajność, Sieć, Użytknowicy. Po restarcie wszystko wróciło do normy.

Dziękuje za szybką odpowiedz oraz wartościowa pomoc.
 System operacyjny: windows_xp_2003 Przeglądarka: opera
#4
RE: Infekcja z pendrive. AhnRpta.exe
Prosiłem o wykonanie logów po użyciu Flash Disinfector. Nie pamiętasz czy zapomniałeś ?Chytry

Cytat:Kiedyś korzystałem z avasta, jednak ciągłe aktualizacje denerwowały mnie, więc go usunąłem.
No faktycznie, jest to mocny argument Szczerbol
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#5
RE: Infekcja z pendrive. AhnRpta.exe
Paweł01 napisał(a):Prosiłem o wykonanie logów po użyciu Flash Disinfector. Nie pamiętasz czy zapomniałeś ?

Zrobiłem logi po użyciu Flash disinfectora, bez restartu pc. Teraz zrestartowałem i zrobiłem znowu skan:

OTL
http://www.wklej.org/id/109458/

W procesach bez zmiań dalej sa te same procesy. Wiec chyba coś źle zrobiłem, jednak postępowałem zgodnie z instrukcją. Flash D poinformował o udanym zakończeniu operacji. Nie prosił o restart.

Skan z GMERa mam zrobić z zaznaczonymi wszystkimi opcjami?

Malwarebytes
http://www.wklej.org/id/109479/
 System operacyjny: windows_xp_2003 Przeglądarka: opera
#6
RE: Infekcja z pendrive. AhnRpta.exe
Pobierz:
http://cybertrash.pl/images/tata/Avenger/Avenger.html
zastartuj do trybu awaryjnego, uruchom Avengera i wklej do niego:
Kod:
Drivers to unload:
BNDMSS
wowsystemcode123

Folders to delete:
C:\RECYCLER
c:\Program Files\Manson

Files to delete:
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\System32\bndmss.exe
C:\WINDOWS\System32\wow15_886.dll
C:\WINDOWS\System32\olhrwef.exe
C:\WINDOWS\System32\kamsoft.exe
C:\WINDOWS\System32\e8main1.dll
C:\WINDOWS\System32\nmdfgds2.dll
C:\WINDOWS\System32\nmdfgds0.dll
C:\WINDOWS\System32\nmdfgds1.dll
C:\WINDOWS\System32\nmdfgds2.dll
C:\WINDOWS\System32\nmdfgds3.dll
C:\WINDOWS\System32\nmdfgds4.dll
C:\WINDOWS\System32\nmdfgds5.dll
C:\WINDOWS\System32\gasretyw0.dll
C:\WINDOWS\System32\gasretyw1.dll
C:\WINDOWS\System32\gasretyw2.dll
C:\WINDOWS\System32\gasretyw3.dll
C:\WINDOWS\System32\gasretyw4.dll
C:\WINDOWS\System32\gasretyw5.dll
x:\autorun.inf
x:\cahpcg.cmd
x:\d9c.bat
x:\gbm6n.exe
x:\8gig0ofk.com
x:\gpcdt.cmd
x:\8rcahp.exe
x:\fsaht.cmd
x:\upx.bat
x:\sv8c2bjw.bat
x:\b.com
x:\28b6ry9r.exe
x:\xdglur.bat
x:\9dlvtiil.exe
x:\1f.bat
x:\6phx.com
x:\2u.com
x:\sm.exe
x:\8.exe
x:\gclwpivc.cmd
x:\q9.cmd
x:\yhh.bat
x:\2a.exe
x:\n68mqcra.exe
x:\3.cmd

Registry keys to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Registry values to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 12CFG914-K641-26SF-N32P
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | cdoosoft
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | kamsoft
za x:\ podstawiasz litery oznaczające kolejne partycje na dysku twardym, czyli:
c:\autorun.inf
c:\cahpcg.cmd
c:\d9c.bat
....
c:\n68mqcra.exe
c:\3.cmd
d:\autorun.inf
d:\cahpcg.cmd
d:\d9c.bat
....
d:\n68mqcra.exe
d:\3.cmd
itd..
Zaznacz oba ptaszki i wciśnij Execute i potwierdź. Pokaż log z Avengera, nowy log z OTListIt2 i Hijackthis.

Plik:
C:\Program Files\Common Files\Microsoft Shared\Speech\csvd.exe
przeskanuj na http://www.virustotal.com i podaj link do wyniku.

Pobierz SystemLook.exe i wklej do niego:
Kod:
:dir
C:\Program Files\Common Files\Microsoft Shared\Speech\csvd.exe
wciśnij Look i pokaż co wyskoczy.
Czekam na kompletny log z GMERa.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#7
RE: Infekcja z pendrive. AhnRpta.exe
Dziękuję za pomoc

Dzięki waszej pomocy problem został rozwiązany.


Avanger nie chciał usunąć kluczy rejestru z powodu błędnej składni w skrypcie.

log avangera
http://www.wklej.org/id/109554/


log z OTL

http://www.wklej.org/id/109555/

log z hijack
http://www.wklej.org/hash/cc1b11c61d/

Virustotal - CSVD.exe
csvd.exe

zainstalowalem avira, znajduje on mnóstwo trojanów w katalogu
Kod:
C:\System Volume Information\_restore{3D679636-0FE6-4FBD-82C2-97207A3B6DD4}/RP321

Na dysku E znajdują się trojany, Avira informuje o nich po pokazaniu ukrytych plików oraz plików systemowych chronionych.

Systemlook

Kod:
SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 15:48 on 21/06/2009 by Admin (Administrator - Elevation successful)

========== dir ==========

C:\Program Files\Common Files\Microsoft Shared\Speech\csvd.exe - Unable to find folder.

-=End Of File=-

GMERa zazaraz włącze, skanowanie potrwa dość długo. [b]Skanowalem 2h 30 minut i dalej dysku c nie przeskoczylo[b] dzwiek sie zepsul musialem zrestartowac pc ;/, wlaczam zaraz znowu.

LOg z Aviry:
Kod:
Virus or unwanted program 'TR/Drop.Agent.ahdz [trojan]'
detected in file 'E:\0bcobed.exe.
Action performed: Delete file

=======
The file 'C:\System Volume Information\_restore{3D679636-0FE6-4FBD-82C2-97207A3B6DD4}\RP275\A0099704.bat'
contained a virus or unwanted program 'TR/PSW.Magania.bbhh' [trojan]
Action(s) taken:
The file was ignored!

Dziękuję za pomoc

Dzięki waszej pomocy problem został rozwiązany.

log z combofixa
http://www.wklej.org/hash/897a5419c0/
 System operacyjny: windows_xp_2003 Przeglądarka: opera
#8
RE: Infekcja z pendrive. AhnRpta.exe
Pliki:
c:\qoobox\quarantine\windows\libmhash.dll
c:\qoobox\quarantine\windows\system32\libmhash.dll
c:\qoobox\quarantine\windows\system32\sqlite3.dll
c:\qoobox\quarantine\windows\system32\tmp20.tmp
przeskanuj na http://www.virustotal.com i podaj linki do wyniku.

Do SystemLook.exe wklej:
Kod:
:file
c:\qoobox\quarantine\windows\libmhash.dll
c:\qoobox\quarantine\windows\system32\libmhash.dll
c:\qoobox\quarantine\windows\system32\sqlite3.dll
c:\qoobox\quarantine\windows\system32\tmp20.tmp

:dir
C:\Program Files\Common Files\Microsoft Shared\Speech
wcisnij Look i pokaż co wyskoczy.

W HJT fix:
Kod:
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

Z rejestru usuń klucz:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Użyj ATF Cleaner, zaznacz wszystkie znaczki i kliknij Empty Selected. Zakładkę Firefox możesz sobie darować.

Utwórz nowy punkt przywracania, usuń punkty przywracania numer RP321,
RP275:
http://chomikuj.pl/Kloss-J23/software/Di...acania.txt

Kojarzysz aplikację:
C:\Program Files\Bamboo Dock\BambooCore.exe
?
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#9
RE: Infekcja z pendrive. AhnRpta.exe
Kod:
SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 01:43 on 22/06/2009 by Admin (Administrator - Elevation successful)

========== file ==========

c:\qoobox\quarantine\windows\libmhash.dll - Unable to find/read file.

c:\qoobox\quarantine\windows\system32\libmhash.dll - Unable to find/read file.

c:\qoobox\quarantine\windows\system32\sqlite3.dll - Unable to find/read file.

c:\qoobox\quarantine\windows\system32\tmp20.tmp - Unable to find/read file.

========== dir ==========

C:\Program Files\Common Files\Microsoft Shared\Speech - Parameters: "(none)"

---Files---
sapi.cpl    --a--- 155648 bytes    [21:26 27/06/2008]    [17:21 14/04/2008]
sapi.dll    --a--- 741376 bytes    [21:26 27/06/2008]    [17:20 14/04/2008]
sapisvr.exe    --a--- 36864 bytes    [21:26 27/06/2008]    [12:00 02/03/2006]

---Folders---
1045    d-----    [21:26 27/06/2008]

-=End Of File=-

BambooCore.exe - proces od tabletu

Pliki:
c:\qoobox\quarantine\windows\libmhash.dll
c:\qoobox\quarantine\windows\system32\libmhash.dll
c:\qoobox\quarantine\windows\system32\sqlite3.dll
c:\qoobox\quarantine\windows\system32\tmp20.tmp

skanowalem nic nie mialy, wczesniej nie klikalem przeskanuj ponownie.

Problem z ramem i firefoxem zniknęły.

Dziękuje za pomoc oraz poświęcony czas
 System operacyjny: windows_xp_2003 Przeglądarka: opera
#10
RE: Infekcja z pendrive. AhnRpta.exe
Uruchom SystemLook.exe i wklej do niego:
Kod:
:file
c:\qoobox\quarantine\windows\libmhash.dll.vir
c:\qoobox\quarantine\windows\system32\libmhash.dll.vir
c:\qoobox\quarantine\windows\system32\sqlite3.dll.vir
c:\qoobox\quarantine\windows\system32\tmp20.tmp.vir
Podane pliki przeskanuj ponownie (użyj skanuj ponownie).
Jeśli będą czyste - trzeba je przywrócić.
Plik:
c:\qoobox\quarantine\windows\libmhash.dll.vir
kopiujesz do katalogu c:\windows i zmieniasz mu nazwę z libmhash.dll.vir na libmhash.dll
Plik:
c:\qoobox\quarantine\windows\system32\libmhash.dll.vir
kopiujesz do c:\windows\system32 i zmieniasz mu nazwę na libmhash.dll itd.
Z plikiem tmp20.tmp.vir na razie się wstrzymaj, wrzuć go na jakiś serwer i podaj linka.

Zabezpiecz się przed infekcją z pendrive poprzez wyłączenie odczytu pliku autorun.inf:
http://www.searchengines.pl/Infekcje-z-p...94761.html

Pokaż nowy log z Hijackthis.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Infekcja z pendrive. AhnRpta.exe)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Prośba o sprawdzenie logów, prawdopodobna infekcja filefox 1 2564 02.08.2019, 14:34
Ostatni post: morderca
  Strona z aktualizacją flash playera - możliwa infekcja filefox 1 852 27.12.2016, 00:35
Ostatni post: morderca
  Infekcja POP.MorePowerfulClener - proszę o sprawdzenie logów. ggs 4 1238 13.07.2016, 19:18
Ostatni post: ggs

Skocz do:


Wybrane wątki (Infekcja z pendrive. AhnRpta.exe)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Sprawdzenie logów (laptop "piłuje" bez obciążenia) + niedziałająca klawiatura EiderSeek 2 2672 03.08.2019 09:51
Ostatni post: EiderSeek
  Prośba o sprawdzenie logów, prawdopodobna infekcja filefox 1 2564 02.08.2019 14:34
Ostatni post: morderca
Ściana Ruskie robaki. daguson 10 6557 29.07.2019 22:01
Ostatni post: morderca
  Analiza Logów Artur 25 2 2770 23.07.2019 00:18
Ostatni post: Artur 25
  removable disk na każdym pendriv'ie grzecho83 5 3104 14.07.2019 17:44
Ostatni post: morderca
  Wirus blokujący antywirusy i natarczywe reklamy gervith 2 2886 14.07.2019 10:37
Ostatni post: gervith
  Skan FRST, potrzeba fixlisty Krakem 1 2992 13.07.2019 17:25
Ostatni post: broda99
  Analiza logów tedolf 3 2628 29.06.2019 06:22
Ostatni post: morderca
  Prośba o Analize logów Fifiek 2 2456 24.06.2019 19:14
Ostatni post: Fifiek
  Analiza logów frst baro990 1 2501 13.06.2019 11:16
Ostatni post: morderca
  Prośba o sprawdzenie logów SaltatorFight 2 2654 07.06.2019 21:50
Ostatni post: SaltatorFight
Ściana Czyszczenie Logami desant 8 4747 06.06.2019 14:09
Ostatni post: morderca
  Prośba o sprawdzenie logów SaltatorFight 0 2356 06.06.2019 01:09
Ostatni post: SaltatorFight
  Prośba o sprawdzenie loga ricardo59 2 2579 24.05.2019 14:10
Ostatni post: ricardo59
  Brontok - proszę o sprawdzenie logów krymeq 3 2824 10.05.2019 09:05
Ostatni post: morderca