Wirus Weelsof + prawdopodobnie inne infekcje

[goddy]

Witam serdecznie wszystkich użytkowników.

Potrzebuję pomocy w analizowaniu loga z OTL.

Zostałem wezwany do pomocy przy komputerze, który został "zablokowany" przez Weelsofa.

Ale widzę, że nigdy na nim nie było antywirusa i prawdopodobnie jest jeszcze siedliskiem innego wszelkiego syfu.

Udalo mi się go przeskanować Dr. Cure i znalazł kilkanaście syfków, których się pozbył.

Przed wrzuceniem loga chciałem też go przekanować Spybotem, jednak ten chyba gryzie się z jakimś wirusem, bo podczas skanowania wywala jakieś errory, czego finałem jest wyłączenie kompa.

 

OTL.txt - http://wklej.org/id/858823/

extras.txt - http://wklej.org/id/858824/

 

Będę bardzo wdzięczy za rzut oka fachowca na ten temat.

[picasso]

Przed wrzuceniem loga chciałem też go przekanować Spybotem, jednak ten chyba gryzie się z jakimś wirusem, bo podczas skanowania wywala jakieś errory, czego finałem jest wyłączenie kompa.

 

Spybot Search & Destroy to przestarzały program, nie licz na niego. Jeśli go widzę zainstalowanego na cudzym systemie, polecam deinstalację a nie skanowanie ... Notuję także, że posługiwałeś się jeszcze większym próchnem ewido anti-spyware 4.0, to wymarły skaner sprzed wielu lat (rok 2006)! Zupełnie nieprzydatny i niezdolny reagować na najnowsze zagrożenia.

 

SRV - [2006-06-16 15:38:44 | 000,172,032 | ---- | M] (Anti-Malware Development a.s.) [Auto | Running] -- C:\Program Files\ewido anti-spyware 4.0\guard.exe -- (ewido anti-spyware 4.0 guard)
DRV - [2006-06-16 15:38:54 | 000,003,968 | ---- | M] () [Kernel | System | Running] -- C:\Program Files\ewido anti-spyware 4.0\guard.sys -- (ewido anti-spyware 4.0 driver)

 

 

Co my tu mamy: Weelsof, ślady podpinania zainfekowanych urządzeń USB i infekcja uruchamiana z Kosza oraz kompletnie nieaktualizowany Windows.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
C:\Documents and Settings\Ania\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Ania\Dane aplikacji\Gievor
C:\Documents and Settings\Ania\Dane aplikacji\Eboxp
C:\Documents and Settings\Ania\Dane aplikacji\Agisot
C:\Documents and Settings\Ania\Dane aplikacji\Omkir
C:\Documents and Settings\Ania\Dane aplikacji\Gyryi
C:\Documents and Settings\Ania\Dane aplikacji\Elew
C:\Documents and Settings\Ania\Dane aplikacji\Uvteu
C:\Documents and Settings\Ania\Dane aplikacji\Pohii
C:\Documents and Settings\Ania\Dane aplikacji\Moda
C:\Documents and Settings\Ania\Dane aplikacji\Dafooh
C:\Documents and Settings\Ania\Dane aplikacji\Cupit
C:\Documents and Settings\Ania\Dane aplikacji\Azob
C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\1mfl86e8.default\searchplugins\daemon-search.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
"WinampAgent"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
FF - prefs.js..extensions.enabledAddons: DTToolbar@toolbarnet.com:1.0.7.0088
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.7.0088
O12 - Plugin for: .spop - C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar. Pozbądź się wszystkich przestarzałych skanerów (Spybot, Ewido).

 

3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. By GMER prawidłowo się uruchomił, należy pozbyć się programów emulujących napędy i ich sterownika SPTD:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (a3bh5b12)
DRV - [2009-01-06 12:34:32 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Odpowiedz mi też na pytanie czy był tu używany BCrypt i czy znasz ten plik:

 

[2012-10-31 11:09:29 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\Ania\Dane aplikacji\bcrypt.html

 

 

 

.

[goddy]

Niestety, nie udało mi się skanowania GMER'em do końca, ponieważ dwukrotnie komputer się wyłączył - podejrzewam, że jest przegrzewa się procesor, jednak nie miałem przy sobie pasty termoprzewodzącej, żeby zdjąć i wyczyścić radiator. Dlatego ten pecet musi cierpliwie poczekać na moją następną wizytę.

Wobec tego przy następnej wizycie będę kontunuował i wtedy wkleję ponownie logi, bo podejrzewam, że przez ten okres może się coś nowego zalęgnąć.

Dziękuję za dotychczasową pomoc i chylę przed Wami czoła, Landuss i Picasso, za ogrom nieocenionej pracy, jaką wkładacie w naprawianie cudzych systemów!

[picasso]

Niestety, nie udało mi się skanowania GMER'em do końca, ponieważ dwukrotnie komputer się wyłączył - podejrzewam, że jest przegrzewa się procesor, jednak nie miałem przy sobie pasty termoprzewodzącej, żeby zdjąć i wyczyścić radiator.

 

Czy na pewno wykonałeś to: KLIK?

 

 

 

.

[goddy]

Czy na pewno wykonałeś to: KLIK?

 

Wstyd się przyznać, ale nie.

Wykonałem jedynie standardową deinstalację windowsową, z następującym później rebootem komputera.

Przy następnej wizycie wykonam tą instrukcję i wrzucę nowe logi, więc proszę o niezamykanie tematu.

Edytowane 6 Grudnia 2012 przez picasso
6.12.2012 - Upłynął ponad miesiąc. Temat zamykam. W razie potrzeby poproś na PW o jego otworzenie. //picasso