skanio Opublikowano 10 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2012 Witam, Proszę o pomoc w pozbyciu się wirusa TR/ATRAPS.Gen2, TR/ATRAPS.Gen, który jest cały czas zgłaszany przez AVIRĘ. W załączeniu przesyłam obowiązkowe LOGi. Z góry dziękuję za pomoc. Damian Szkabar OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Jest trojan ZeroAccess. Potrzebny log dodatkowy pod kątem tej właśnie infekcji. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
skanio Opublikowano 13 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Witam, Załączam log z SystemLook: SystemLook 30.07.11 by jpshortstuff Log created at 14:50 on 13/08/2012 by Skaner Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Skaner\AppData\Local\{672e6522-60bd-ceb4-681d-c7e89c0f02c3}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [05:37 24/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [05:37 24/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- Pozdrawiam Damian Szkabar Odnośnik do komentarza
skanio Opublikowano 13 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Witam, Dodam jeszcze, że Avira tak jakby uporała się z problemem (już nie informuje o detekcji wirusa). Natomiast przy każdym uruchomieniu systemu ikony polpitu zmieniają swoje położenie (ustawia je równo w kolumnach od prawej strony). Pozdr Odnośnik do komentarza
Landuss Opublikowano 14 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 1. Wejdź w start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\.DEFAULT\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-18\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=14780&l=dis" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=A1977246-CC1D-4BD5-9028-577A55A2AA4A&apn_sauid=5D937784-D995-474A-891A-C1BA0E8D0533" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60327" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5577 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Hotspot Shield Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100010 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=VD&o=14778&locale=en_US&apn_uid=A1977246-CC1D-4BD5-9028-577A55A2AA4A&apn_ptnrs=VX&apn_sauid=5D937784-D995-474A-891A-C1BA0E8D0533&apn_dtid=YYYYYYYYPL&&q=" [2012-02-04 12:30:54 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Skaner\AppData\Roaming\mozilla\Firefox\Profiles\ub1v1qz6.default\extensions\DTToolbar@toolbarnet.com [2010-10-18 11:56:55 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Users\Skaner\AppData\Roaming\mozilla\Firefox\Profiles\ub1v1qz6.default\extensions\support@predictad.com [2012-02-01 22:11:42 | 000,000,000 | ---D | M] ("VDownloader Toolbar") -- C:\Users\Skaner\AppData\Roaming\mozilla\Firefox\Profiles\ub1v1qz6.default\extensions\toolbar@ask.com [2012-02-01 22:11:43 | 000,002,571 | ---- | M] () -- C:\Users\Skaner\AppData\Roaming\Mozilla\Firefox\Profiles\ub1v1qz6.default\searchplugins\askcom.xml [2009-07-01 14:20:48 | 000,000,890 | ---- | M] () -- C:\Users\Skaner\AppData\Roaming\Mozilla\Firefox\Profiles\ub1v1qz6.default\searchplugins\conduit.xml [2007-07-26 14:05:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml O4 - HKLM..\Run: [] File not found O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm File not found O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm File not found O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm File not found O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll File not found O33 - MountPoints2\{be157bc2-281f-11df-8b5f-0026180ba9aa}\Shell\AutoRun\command - "" = F:\MAKARENA///kosabuena.exe O33 - MountPoints2\{be157bc2-281f-11df-8b5f-0026180ba9aa}\Shell\open\command - "" = F:\MAKARENA///kosabuena.exe :Files C:\Users\Skaner\AppData\Local\{672e6522-60bd-ceb4-681d-c7e89c0f02c3} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1408650484-1467117183-2641387606-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: VDownloader Toolbar / DAEMON Tools Toolbar / Hotspot_Shield Toolbar / Hotspot Shield 1.30 / VDownloader Toolbar Updater 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
skanio Opublikowano 14 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Witam, Wszystko wykonałem zgodnie z instrukcją. W załączeniu pliki. Pozdrawiam SystemLook 30.07.11 by jpshortstuff Log created at 21:36 on 14/08/2012 by Skaner Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [05:37 24/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [05:37 24/09/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Wszystko zostało wykonane i problemy powinny minąć. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.0.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
skanio Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Wielkie dzięki za pomoc. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi