kondre Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Bardzo proszę o pomoc w usunieciu tego czegoś, wrzucam raporty z otl OTL http://wklej.org/id/792189/ Extras http://wklej.org/id/792186/ Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Tutaj jest sprawa o wiele bardziej skomplikowana. Ta infekcja nie jest jedyną, jest ich wiele, i akurat jest ona mniej istotna w kontekście znaków działania rootkita ZeroAccess. Rootkit występuje tu w starszej wersji, tej która infekuje sterowniki systemowe. Na taką kombinację trzeba wyciągnąć ciężki arsenał: 1. Z poziomu Trybu awaryjnego uruchom zgodnie ze wskazówkami ComboFix. 2. Po restarcie systemu wygeneruj nowe logi: OTL + GMER. Dołącz raport utworzony przez ComboFix w punkcie 1. . Odnośnik do komentarza
kondre Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Dziekuję za odpowiedź, już jest lepiej. Oto wyniki: http://wklej.org/id/792797/ raport ComboFix http://wklej.org/id/792799/ GMER http://wklej.org/id/792800/ OTL Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 GMER robiłeś w złym środowisku, nie zdjąłeś emulacji zgodnie z wytycznymi w ogłoszeniu (KLIK), działa sterownik SPTD: DRV - [2009-09-28 20:02:08 | 000,722,416 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) ComboFix przetwarzał wiele zadań: usunął elementy ZeroAccess i leczył zainfekowany sterownik systemowy, skasował Live Security Platinum, usuwał z wszystkich dysków ogłuszającą liczbę plików przeniesionych z zainfekowanego USB... Ale to niestety nie koniec. Pomijając już, że mamy co czyścić w odpadkach / adware, GMER nadal wykazuje aktywność rootkit, reloc na sterowniku ACPI.sys oraz podejrzane wątki "System". W OTL zresztą ACPI.sys widzialny bez sygnatury MS: DRV - [2008-04-14 21:24:40 | 000,188,544 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\acpi.sys -- (ACPI) Kolejna porcja czynności do wykonania: 1. Usuń sterownik SPTD od emulatora: KLIK. Zresetuj system. 2. Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i zaprezentuj log do oceny. Kaspersky tworzy log na dysku C. . Odnośnik do komentarza
kondre Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Oto log od Kasperskkiego: http://wklej.org/id/793010/ Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Ten system niewątpliwie jest zmasakrowany infekcjami. Wedle spodziewań, jest tu kolejny rootkit Rloader, a objawy które mu towarzyszą to m.in. strona Google zwraca 404 oraz nie działają pola Captcha. 1. Uruchom TDSSKiller i dla wyniku Virus.Win32.Rloader.a wybierz akcję Cure. Zresetuj system. 2. Zrób nowy log z GMER. Jeśli on wykaże brak infekcji rootkit, podam kolejne czynności czyszczące. . Odnośnik do komentarza
kondre Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 log z GMER http://wklej.org/id/793110/ Odnośnik do komentarza
kondre Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Pojawił się niestety, kolejny problem, po uruchomieniu komputera system całkowicie wiesza się po kilku sekundach. Działa tylko w trybie awaryjnym. Dorzucam log z OTL http://wklej.org/id/793643/ Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Pojawił się niestety, kolejny problem, po uruchomieniu komputera system całkowicie wiesza się po kilku sekundach. Działa tylko w trybie awaryjnym. Sam sobie nagrabiłeś. Doinstalowałeś Avast, podczas gdy w systemie siedzi ESET Smart Security. Skomasowanie antywirusów jest krytyczne, nie wolno takich rzeczy robić, to prosta droga na szubiennicę. Wg GMER rootkit został usunięty, ale jak mówiłam mamy jeszcze co czyścić, plus korekta nowej niefortunnej sytuacji: 1. Z poziomu Trybu awaryjnego musisz usunąć jeden z w/w, a że ESET jest tu dużo starszy (2009) i scrackowany, to on odpada. Popraw specjalistycznym narzędziem ESET Uninstaller. System powinien zostać odblokowany. 2. Kolejny krok to deinstalacje adware: - Przez Panel sterowania odinstaluj: Ask Toolbar, Complitly, flvto.com Freecorder Toolbar. - Otwórz Firefox i w Dodatkach odinstaluj: Ask Toolbar, Complitly 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services xgrercek wg4n ISODrive catchme :Files C:\WINDOWS\System32\mgking2.dll C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvtjecjo.default\searchplugins\askcom.xml netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :OTL NetSvcs: xgrercek - File not found NetSvcs: wg4n - File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC&o=15000&locale=en_US&apn_uid=A2889DDE-1746-4DF9-9064-7DAB7A0DFD06&apn_ptnrs=PV&apn_sauid=F274F09C-B6B5-492C-8853-E9E41FC37112&apn_dtid=YYYYYYYYPL&q=" O4 - HKLM..\Run: [TrialReset] C:\WINDOWS\regx32.exe () O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 5. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z usuwania OTL z punktu 3 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
kondre Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Dziękuję za ostrzeżenie, mam nadzieję, że zejdę z drogi na szubienicę. Na szczęście system już działa. Firefoxa mam już dawno odinstalowanego. Wrzucam nowe logi: http://wklej.org/id/794099/ log OTL z pkt. 3 http://wklej.org/id/794101/ log z pkt. 4 http://wklej.org/id/794102/ końcowy log z OTL Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zadania pomyślnie wykonane. Kolejne czynności: 1. Mini poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.4.4.113 :Files C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvtjecjo.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} rd /s /q C:\TDSSKiller_Quarantine /C rd /s /q C:\WINDOWS\erdnt /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. To znacznie wydłuży skan, ale da pewniejsze rezultaty. Przedstaw wyniki typu "Detected", o ile takowe będą. . Odnośnik do komentarza
kondre Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 http://wklej.org/id/794863/ oto wyniki co dalej??? Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 1. Wszystkie wyniki do usunięcia (infekcja z pendrive), z wyjątkiem Half-Life i kodstronywww.txt (to wygląda na fałszywe alarmy). Odinstaluj skaner Kasperskiego (o ile już to się nie stało = zamknięcie okna to inicjuje). 2. Nie zwróciłam uwagi na to: "Firefoxa mam już dawno odinstalowanego.". Załatw wszystko z dysku. Pobierz ponownie OTL, uruchom w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\Software\Mozilla] [-HKEY_LOCAL_MACHINE\Software\mozilla.org] [-HKEY_LOCAL_MACHINE\Software\MozillaPlugins] Klik w Wykonaj skrypt. Po tym Sprzątanie. 3. Ponów ręczne czyszczenie folderów Przywracania systemu: KLIK. 4. Zabezpiecz system przed infekcją z nośników USB. W Panda USB Vaccine zastosuj opcję Computer Vaccination. 5. Wykonaj ważne aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"FileZilla Client" = FileZilla Client 3.5.2"Google Chrome" = Google Chrome 6. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach. PS. Apropos Gadu-Gadu 10, to można zaopatrzyć się w lżejszą alternatywę, która tak nie deczy zasobów systemowych. W artykule Darmowe komunikatory poczytaj opisy: WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi