Onlyone Opublikowano 19 Października 2012 Zgłoś Udostępnij Opublikowano 19 Października 2012 Witam, kilka dni temu podmieniła mi się strona startowa w każdej przeglądarce na gaxpa-search.com/ Pomimo zmieniana preferencji po ponownym uruchomieniu jest to samo, dzisiaj rano komputer nie chciał się uruchomić, skorzystałem z naprawy systemu i przywróciło system do wcześniejszej daty, wszystko było ok dopóki znowu nie uruchomiłem komputera, strona startowa znowu podmieniona i Nod wykrył Trojana którego nie może usunąć. Chciałem użyć tego Combo ale wczytując się postanowiłem założyć temat żeby nie zepsuć sobie systemu Skorzystałem z podanego programu diagnozującego , logi w załączniku: Z góry dziękuję za udzieloną pomoc, forum mnie zainteresowało i na pewno wgłębię się w techniki dezinfekcji i zabezpieczeń komputera choć pewnie będzie to trudne dla takiego laika jak ja ; ) Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 19 Października 2012 Zgłoś Udostępnij Opublikowano 19 Października 2012 Rzeczywiście masz aktywną infekcję nadal i trzeba teraz to usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | Auto | Running] -- C:\Windows\TEMP\5689.sys -- (5689) IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Client Server Runtime Process] C:\Users\Bieszkowice\AppData\Roaming\System32\csrss.exe () O4 - HKCU..\Run: [HD VGA] C:\Users\Bieszkowice\AppData\Roaming\hrtgf.exe () O4 - HKCU..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Bieszkowice\AppData\Roaming\csrss.exe () O4 - HKCU..\Run: [Microsoft Windows Mgr] C:\Users\Bieszkowice\86df68d668d68d\winsro.exe (CcvNnYGSUt) O4 - HKCU..\Run: [Microsoft Windows Service] C:\Users\Bieszkowice\M-87-78985-6027-77788\winsvcr.exe () O4 - HKCU..\Run: [RAVCpl64] C:\Users\Bieszkowice\AppData\Roaming\RAVCpl64.exe () O4 - HKCU..\Run: [RegistryWm] C:\Users\Bieszkowice\AppData\Roaming\qtwm.exe () O4 - HKCU..\Run: [service Host Process for Windows] C:\Users\Bieszkowice\AppData\Roaming\System32\svchost.exe () O4 - HKCU..\Run: [sonyAgent] C:\Windows\Temp\temp01.exe () F3 - HKCU WinNT: Load - (C:\Users\BIESZK~1\LOCALS~1\Temp\mswfzrx.com) - C:\Users\BIESZK~1\LOCALS~1\Temp\mswfzrx.com () :Files C:\Users\Bieszkowice\AppData\Roaming\System32 C:\Users\Bieszkowice\86df68d668d68d C:\Users\Bieszkowice\57d57f7f5dd578f C:\Users\Bieszkowice\M-7789-987987-6027-979878 C:\Users\Bieszkowice\M-87-7677-6027-77788 C:\Users\Bieszkowice\M-87-78985-6027-77788 C:\Users\Bieszkowice\AppData\Roaming\hrtgf.exe C:\Users\Bieszkowice\AppData\Roaming\svchost.exe C:\Users\Bieszkowice\AppData\Roaming\rundll32.exe C:\Users\Bieszkowice\AppData\Roaming\csrss.exe C:\Users\Bieszkowice\AppData\Roaming\qtwm.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / InnoGames Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Onlyone Opublikowano 20 Października 2012 Autor Zgłoś Udostępnij Opublikowano 20 Października 2012 Przy 1 punkcie wyświetlił się niebieski ekran i nastąpił restart komputera, przy 2 punkcie byłem bezradny gdyż przy wciskaniu odinstaluj nie nastąpiła żadna reakcja, przeszedłem do punktu 3, po restarcie komputera zajrzałem ponownie w panel sterowania i w/w programów już nie było, punkt 4 w załączniku. Przepraszam że tak pózno ale miałem sporo pracy a wieczór spędziłem ze znajomymi, te operacje robiłem ok godziny 15, teraz robie tylko ponownie logi z OTL bo wtedy nie zdążyłem. Strona startowa dalej się podmienia ;( 2OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Skrypt nie został wykonany i dlatego strona się podmienia a infekcja nadal aktywna. Wykonaj raz jeszcze skrypt z punktu 1 z trybu awaryjnego. Odnośnik do komentarza
Onlyone Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Wykonałem z trybu awaryjnego, tym razem trwało to kilka minut i ukazał się raport po restarcie, wydaję mi się że wykonałem to tak jak należy, raport i nowy skan w załączniku. Raportu nie mogę dodać do załączników bo pokazuje że nie mam uprawnień, wrzucić na jakiś hosting czy nie jest potrzebny ? 3OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Raport z usuwania nie jest mi do niczego potrzebny. Doskonale widzę co zostało usunięte po nowym logu ze skanowania. Jeszcze jeden obiekt się ostał i plik hosts ma też nałożone atrybuty których mieć nie powinien więc wykonaj kolejny skrypt o takiej zawartości: :OTL O4 - HKU\S-1-5-21-3841802427-667441520-3185586369-1001..\Run: [Windows System Controler] c:\users\public\nvsvc32.exe () :Files attrib /d /s -r -s -h C:\Windows\System32\drivers\etc\hosts /C :Commands [reboot] Po wykonaniu skryptu pokazujesz nowy log ze skanowania. Odnośnik do komentarza
Onlyone Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Tym razem usuwanie trwało bardzo krótko, mniej niż 3s, przy nowym skanowaniu NOD wykrył wirsusa więc chyba jeszcze nie wszystko zostało wyleczone ;( Zapomniałem dodać że po tym usuwaniu na pulpicie pojawiły mi się nowe ikoni, ok 6 ikonek 2 z wordem ale nie można wyswietlić zawartości, jakis desktop i jakis zip, wszystkie ikoni są szarawe, wyróżniające sie od innych, coś jak pliki systemowe. 4OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Według loga wszystko zostało usunięte. A te ikonki na pulpicie to ukryte obiekty, OTL zmienił opcje widoku. Możesz je ponownie przestawić w panelu sterowania i zostaną ukryte. Wykonaj czynności końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.5 - Polish "Mozilla Firefox 10.0 (x86 pl)" = Mozilla Firefox 10.0 (x86 pl) Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
Onlyone Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Sciągam właśnie servis pack, mam tylko pytanie jak to wygląda z akyualizacjami systemu a jego legalnością gdyż zdaję sobie sprawę że windows wgrywał mi mój kuzyn informatyk... Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Aktualizacje systemu normalnie można wykonywać bez względu na to czy system jest oryginalny czy nie. To nie ma nic do rzeczy. Odnośnik do komentarza
Onlyone Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Dobrze, ale podczas ściągania znów wyświetlił mi się ten bluescreen i po restarcie Nod znowu dał komunikat o wirusie, oczywyście nie może go usunąć ;/ Teraz widzę że gdzieś zniknął mi ten OTL, zostały mi tylko po nim raporty ze skanowania w notatnikach. edit: ponowny komunikat Noda, koń trojański który nie może usunąć, zapamiętałem że jest on w folderze win/sys32/wdf101000.sys jakoś tak.. Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Teraz widzę że gdzieś zniknął mi ten OTL, zostały mi tylko po nim raporty ze skanowania w notatnikach. Przecież opcja Sprzątanie której użyłeś ma na celu usunięcie OTL i jego komponentów. Tego programu nigdy się nie trzyma na dysku bo często jest aktualizowany. po restarcie Nod znowu dał komunikat o wirusie Gdzie to wykrył? Jaki plik i lokalizacja? Odnośnik do komentarza
Onlyone Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Nie dało się skopiować tego komunikatu a teraz nie wiem jak to znaleść, z tego co zapamiętałem to był to folder: windows/system32/wdf10100.sys o ile się nie mylę. Odnośnik do komentarza
Landuss Opublikowano 21 Października 2012 Zgłoś Udostępnij Opublikowano 21 Października 2012 Ale screena przecież mogłeś zrobić. Pokaż jeszcze log z Gmer Odnośnik do komentarza
Onlyone Opublikowano 21 Października 2012 Autor Zgłoś Udostępnij Opublikowano 21 Października 2012 Udało mi się zrobić ss Log z gmer mam nadzieje prawidłowy, wyłączyłem Noda i zapore systemu. gmer.txt Odnośnik do komentarza
Landuss Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Log z Gmer jest podejrzany. Wykonaj skan za pomocą Kaspersky TDSSKiller i daj z niego raport. Odnośnik do komentarza
Onlyone Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Podany program wykrył wirusa, z opcja cure(leczenie) kontynuowałem proces, oto raport który był po restarcie: EDIT: podane w następnym poście. Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 To nie jest właściwy log z usuwania, szukaj tego, w którym jest nagrane usuwanie i podmień załączniki w poprzednim poście. I podaj też nowy log z GMER. Odnośnik do komentarza
Onlyone Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Początkowo nie mogłem znaleść tego raportu, okazało się że jest bezpośrednio na dysku C, ogólnie są tam 3 raporty ale dwa takie same jak już podałem, o to ten właściwy, przynajmniej tak mi sie wydaje, w poprzednim poście też już podmieniłem więc jest teraz podwójnie. TDSSKiller.2.8.13.0_23.10.2012_20.35.28_log.txt Nowy dokument tekstowy.txt Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Infekcja rootkit wygląda na pomyślnie wyleczoną. Wykonaj poprawki i zakończ temat: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Bieszkowice\AppData\Roaming\winsvcns.sys C:\Users\Bieszkowice\Desktop\sweetimsetup.exe :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Plik HOSTS nadal nie ma domyślnej zawartości z Windows 7 (na Windows 7 wszystkie linie są skomentowane = nieczynne), ani prawidłowych atrybutów. Uruchom GrantPerms, w oknie wklej: C:\Windows\System32\drivers\etc\hosts Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. AdwCleaner zniszczył układ domyślnych wyszukiwarek Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{8244774D-3D97-43CF-B5D1-AAA115717EC7}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 4. Usuń TDSSKiller, przez SHIFT+DEL skasuj kwarantannę C:\TDSSKiller_Quarantine. I ponów czyszczenie folderów Przywracania systemu. 5. Aktualizacje wskazane wcześniej nadal aktualne. 6. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Onlyone Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Wszystko gra, dziękuję ; ) Odnośnik do komentarza
Rekomendowane odpowiedzi