ruter321 Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witam mam ten sam problem https://www.fixitpc.pl/topic/10497-ukash-wirus/ ... Landuss jakbyś mógł pomóc z góry dziękuje! OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Te dwa wpisy sugeruję, że na tym systemie może być jeszcze rootkit: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje nic nie usuwaj tylko przydziel opcję Skip a tutaj załącz raport. Odnośnik do komentarza
ruter321 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Sorki za tamto ale nie wiedziałem że przydzielili mi temat dlatego stworzyłem nowy. Report.txt Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\scan.dll -- (scan) SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\b57xp32.sys -- (b57w2k) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\lgandadb.sys -- (androidusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandmodem.sys -- (ANDModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandgps.sys -- (AndGps) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lganddiag.sys -- (AndDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandbus.sys -- (Andbus) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=beacdbcc-75e8-11e1-b608-00120e9a6f8b" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=beacdbcc-75e8-11e1-b608-00120e9a6f8b&q={searchTerms}" IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=beacdbcc-75e8-11e1-b608-00120e9a6f8b&q={searchTerms}" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKCU\..\SearchScopes\{F340639B-99D7-4290-9156-C05DAE7DC053}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108756&babsrc=SP_ss&mntrId=b8acf7b30000000000000011d8e2b464" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=108756&babsrc=HP_ss&mntrId=b8acf7b30000000000000011d8e2b464" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=108756&babsrc=adbartrp&mntrId=b8acf7b30000000000000011d8e2b464&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=108756&babsrc=adbartrp&mntrId=b8acf7b30000000000000011d8e2b464&q=" [2011-05-21 17:52:37 | 000,000,000 | ---D | M] (Mario Forever Community Toolbar) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\{707db484-2428-402d-afb5-d85b387544c7} [2011-03-21 19:46:17 | 000,000,000 | ---D | M] (Veoh Web Player Community Toolbar) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e} [2011-09-03 18:26:19 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-05-21 17:52:35 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\engine@conduit.com [2012-01-23 19:50:20 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\ffxtlbr@babylon.com [2011-05-07 01:25:46 | 000,002,425 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\askcom.xml [2011-01-18 15:24:18 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\conduit.xml [2012-03-24 21:37:40 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\startsear.xml [2011-09-03 18:26:02 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\sweetim.xml [2011-03-15 23:43:17 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\web-search.xml [2012-03-24 21:37:51 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{7b08647c-bcbb-8c7d-7331-17af3b0e3164} [2012-01-23 19:50:03 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [WinSATAPI] C:\Documents and Settings\Ukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4526\WinSATAPI.exe () :Files C:\Documents and Settings\Ukasz\Dane aplikacji\hellomoto C:\Documents and Settings\Ukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4526 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
ruter321 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Zrobione OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Jeszcze raz przyjrzałem się na log extras i nie podobają mi się otwarte porty sugerujące, że jednak jest tu rootkit. Wykonaj mi jeszcze skan z Gmer pod kątem rootkitów. Odnośnik do komentarza
ruter321 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Wybacz że tak długo. W załączniku raport ze skanowania gmer raport.txt Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Jest rootkit, Gmer go widzi. W takiej sytuacji musisz to usunąć. Zastartuj do Konsoli Odzyskiwania i użyj polecenia FIXMBR. Jak wykonasz dajesz do wglądu nowy log z Gmer. Odnośnik do komentarza
ruter321 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Dobra co dalej gmer 2.txt Odnośnik do komentarza
Landuss Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Przejdź do finalizacji tematu: 1. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
ruter321 Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Wielkie dzięki i życzę dalszej sukcesywnej pracy. Odnośnik do komentarza
Rekomendowane odpowiedzi