platinum security scan

[waldekk]

Rzecz jak w tytule zainstalowała się bez mojej wiedzy. Sparaliżowała kompa, nic nie da sie uruchomić , ciągłe monity o skanowanie tymże programem. NIe można się go pozbyć inaczej jak w trybie awaryjnym przy jednoczesnym cofnięciu systemu ( zegar przestawiony!)

Ponadto system( XP profesional 32 bit )od jakiegoś czasu niestabilny, w firefoxie wyświetla strony inne niż w klikniętym linku.

Proszę o pomoc.

Extras.Txt

OTL.Txt

[picasso]

W systemie większa ilość infekcji. I jest podejrzenie rootkita, sterownik ACPI nie ma oznakowania Microsoftu:

 

DRV - [2008-04-14 17:54:39 | 000,188,544 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\acpi.sys -- (ACPI)

 

Poproszę w pierwszej kolejności o skan rootkit. W związku z ciężkimi warunkami do skanowania łagodniejsza procedura. Uruchom Kaspersky TDSSKiller, jeśli cokolwiek wykryje nic jeszcze nie usuwaj i tylko przyznaj akcję Skip. Ze skanu powstanie log na dysku C, przedstaw log.

 

 

.

[waldekk]

Zrobione

TDSSKiller.2.7.48.0_31.07.2012_20.54.36_log.txt

[picasso]

Podejrzenie się sprawdziło, rootkit Rloader tu rezyduje.

 

1. Uruchom TDSSKiller i dla wyniku Virus.Win32.Rloader.a tym razem wybierz akcję Cure. Zresetuj system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F638C230045EF49B9FA959181CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\services
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\syssvc.exe
C:\WINDOWS\tasks\WJCOTEB.job
C:\WINDOWS\System32\ntdos8042.dll
 
:OTL
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe File not found
O4 - HKLM..\Run: [Total PC Defender 2010] C:\Program Files\SystemDefender2010\Total PC Defender 2010.exe File not found
O4 - HKU\S-1-5-21-1202660629-1532298954-839522115-1003..\Run: [Admin] C:\Documents and Settings\Admin\Admin.exe /i File not found
O4 - HKU\S-1-5-21-1202660629-1532298954-839522115-1003..\Run: [msravilibrary] rundll32.exe "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\msravilibrary\msravilibrary.dll", DllInit File not found
O4 - HKU\S-1-5-21-1202660629-1532298954-839522115-1003..\Run: [somefox] C:\DOCUME~1\Admin\USTAWI~1\Temp\a..exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll File not found
O20 - Winlogon\Notify\crypt: DllName - (crypts.dll) -  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
O29 - HKLM SecurityProviders - (digeste.dll) -  File not found
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 8893
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 8893
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 8893
FF - prefs.js..network.proxy.no_proxies_on: "localhost,127.0.0.1"
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 8893
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 8893
FF - prefs.js..network.proxy.type: 4
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
"ProxyEnable"=dword:00000000
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2.

 

 

 

.

 

[waldekk]

zrobione

08022012_142318.txt

OTL.Txt

[picasso]

Wszystko jakoby zdaje się być usunięte. Przejdź do kolejnej porcji zadań:

 

1. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w Kaspersky Virus Removal Tool. Przedstaw raport z wynikami typu "Detected" (inne typy mnie nie interesują), o ile coś zostanie znalezione.

 

 

.

Edytowane 16 Września 2012 przez picasso
16.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso