Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Błąd: Temp2.exe

Vinohrad

Przez Vinohrad
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Vinohrad

Vinohrad

Opublikowano
Opublikowano

Witam.

 

Mam problem z aplikacją Temp2.exe. Notorycznie wyskakuje błąd uruchomienia tej aplikacji, nawet po zainstalowaniu świeżego systemu (Windows XP+SP2).

 

Nie wiem z czego może to wynikać. Myślałem już, że to może wina wadliwej instalki Windowsa na mojej płycie.

 

Zamieszczam raport z błędu, oraz w razie czego logi z OTL-a .

 

Będę wdzięczny za wszelką pomoc.

2257_appcompat.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Infekcja niewątpliwa, a wygląda na to, że nabyta via zainfekowany pendrive. Temat przenoszę do działu Malware

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
F3 - HKU\S-1-5-21-682003330-1958367476-839522115-1003 WinNT: Load - (C:\WINDOWS\svchost.exe) -C:\WINDOWS\svchost.exe ()
[2011-10-30 18:07:07 | 000,070,207 | RHS- | C] () -- C:\host.exe
[2011-10-30 18:07:07 | 000,035,346 | ---- | C] () -- C:\WINDOWS\System32\temp1.exe
[2011-10-30 18:07:07 | 000,002,085 | ---- | C] () -- C:\WINDOWS\System32\temp2.exe
[2011-10-30 18:07:07 | 000,001,211 | RHS- | C] () -- C:\copy.exe
[2011-10-30 18:07:07 | 000,000,034 | RHS- | C] () -- C:\WINDOWS\autorun.inf
[2011-10-30 18:07:07 | 000,000,034 | RHS- | C] () -- C:\autorun.inf
[2011-10-30 18:07:06 | 000,001,211 | RHS- | C] () -- C:\WINDOWS\xcopy.exe
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wtnikami usuwania.

 

2. Wygeneruj nowy log z OTL opcją Skanuj (Extras już nie potrzebuję) + USBFix z opcji Listing. Dorzuć też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

Odnośnik do komentarza
Vinohrad

Vinohrad

Opublikowano
  • Autor
Opublikowano

Próbuje wrzucić ten raport z usuwania skryptu, ale dostaje alert, że nie mam uprawnień do wstawiania tego pliku, mimo, że jestem administratorem systemu.

 

temp2.exe pojawia się nadal. To chyba jakiś uparty Trojan

 

Programik Ad-Aware znalazł 3 trojany w: temp.exe, temp2.exe, oraz svhost.exe i autoran.inf

 

Może wkleję ręcznie:

 

All processes killed

========== OTL ==========

Item C:\WINDOWS\System32\svchost.exe is whitelisted and cannot be moved.

Registry value HKEY_USERS\S-1-5-21-682003330-1958367476-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\WINDOWS\svchost.exe deleted successfully.

C:\host.exe moved successfully.

File C:\WINDOWS\System32\temp1.exe not found.

C:\WINDOWS\system32\temp2.exe moved successfully.

C:\copy.exe moved successfully.

File C:\WINDOWS\autorun.inf not found.

C:\autorun.inf moved successfully.

C:\WINDOWS\xcopy.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Fizia

->Temp folder emptied: 386838690 bytes

->Temporary Internet Files folder emptied: 2409778 bytes

->FireFox cache emptied: 62738315 bytes

->Flash cache emptied: 1254 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 402 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2114584 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 2619 bytes

 

Total Files Cleaned = 433,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 10302011_194837

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

OTL.Txt

UsbFix.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Próbuje wrzucić ten raport z usuwania skryptu, ale dostaje alert, że nie mam uprawnień do wstawiania tego pliku, mimo, że jestem administratorem systemu.

 

Jaki administrator? To nie ma nic wspólnego z Twoim systemem. Nie wczytałeś się w zasady działu. Jedyny dopuszczalny format tekstowy dla Załączników to *.TXT, a raport jest jako *.LOG. Wystarczy zmienić nazwę pliku ....

 

 

temp2.exe pojawia się nadal. To chyba jakiś uparty Trojan

 

Nie rozumiem co masz na myśli pod "chyba", że to trojan to oczywiste. Jak mówię = nabyty z urządzenia przenośnego. A nośnikiem są aktualnie Twoje dyski C+D, widać w USBFix szkodliwe pliki ulokowane w root dysków. Wystarczy że je otworzysz z dwukliku = ponowne wykonanie infekcji z autorun.inf.

 

 

Programik Ad-Aware znalazł 3 trojany w: temp.exe, temp2.exe, oraz svhost.exe i autoran.inf

 

To cały czas to samo.

 

 

1. Ponawiasz akcję i tym razem wprowadzę też blokadę na odczyt plików autorun.inf przez system. w OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
RECYCLER /alldrives
C:\autorun.inf
C:\copy.exe
C:\host.exe
D:\9d6resf.exe
D:\autorun.inf
D:\copy.exe
D:\hk.exe
D:\host.exe
D:\jofk1wf.exe
D:\r3q63rok.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\xcopy.exe
C:\WINDOWS\autorun.inf
C:\WINDOWS\System32\temp*.exe
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"

 

Klik w Wykonaj skrypt.

 

2. Do oceny: log z wynikami usuwania + nowe logi z OTL (nie potrzebny już tak gruby = zaznacz Pomiń pliki Microsoftu) i USBFix.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zostały tylko odpadki do usunięcia. Aktualnie w systemie masz już wprowadzoną blokadę zabezpieczającą, która jest równoważna z użyciem opcji "Computer Vaccination" w Panda USB Vaccine. Kończymy:

 

1. Mikro poprawka, w OTL w sekcji Własne opcje skanowania / skrypt wklejasz co poniżej i klik w Wykonaj skrypt:

 

:OTL
F3 - HKU\S-1-5-21-682003330-1958367476-839522115-1003 WinNT: Load - (C:\WINDOWS\svchost.exe) - File not found
[2011-10-30 20:23:46 | 000,035,346 | ---- | M] () -- C:\WINDOWS\System32\temp1.exe
[2011-10-30 20:23:46 | 000,002,085 | ---- | M] () -- C:\WINDOWS\System32\temp2.exe

 

Następnie w OTL uruchom Sprzątanie, co zlikwiduje z dysku kwarantannę oraz p0rogram OTL.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Fatalny stan zabezpieczeń Windows (!):

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

Niezbędna instalacja SP3+IE8 (mimo że nieużywany, to komponent zintegrowany i musi być łatany) oraz wszystkich innych łat z Windows Update: INSTRUKCJE.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...