mortal Opublikowano 7 Listopada 2012 Zgłoś Udostępnij Opublikowano 7 Listopada 2012 Witam serdecznie. Zwracam się z prośbą o pomoc w usunięciu tego cholerstwa. Nie wiem kiedy, ani jak go złapałem, ale mam tego cudaka. W chwili pisania tego tematu korzystałem z trybu awaryjnego z obsługą sieci. Ten tryb działa poprawnie ( przynajmniej tak mi się wydaje ). Proszę o łopatologiczne wskazówki, co i jak zrobić aby się go pozbyć. Logi w załączniku Wczoraj po zrobieniu w/w logów przeskanowałem system Malwarebytes oraz antywirusem jaki mam zainstalowany. Malware znalazł 3 zagrożenia ( niestety log nie zapisał się ), ZoneAlarm znalazł też jakieś zagrożenie ( też nie mam loga ). W żadnym przypadku nie usuwałem znalezionych zagrożeń ( zamknąłem ZoneAlarm i Malwarebytes ). Dziś komputer uruchomiłem normalnie, tzn blokady nie ma, a Malwarebytes znajduje już tylko 1 zagrożenie w ścieżce: C:\Dokument and Seetings\All Users\Dane aplikacji\lsass.exe Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2012 Zgłoś Udostępnij Opublikowano 8 Listopada 2012 Masz też niedokładnie usunięty OnlineArmor i inne programy zabezpieczające. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Admin\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\Admin\Dane aplikacji\OnlineArmor C:\Documents and Settings\Admin\Dane aplikacji\Panda Security C:\Documents and Settings\Admin\Dane aplikacji\QFX Software C:\Documents and Settings\Admin\Dane aplikacji\QuickScan C:\Documents and Settings\Admin\Dane aplikacji\Returnil C:\Documents and Settings\Admin\Dane aplikacji\SurfSecret Privacy Suite C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\Hitman Pro C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro C:\Documents and Settings\All Users\Dane aplikacji\OnlineArmor C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\Privacyware C:\Documents and Settings\All Users\Dane aplikacji\QFX Software C:\Documents and Settings\All Users\Dane aplikacji\Returnil C:\Documents and Settings\NetworkService\Dane aplikacji\QuickScan :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Online Armor\oasrv.exe -- (SvcOnlineArmor) SRV - File not found [Auto | Stopped] -- C:\Program Files\Privacyware\Privatefirewall 7.0\pfsvc.exe -- (PFNet) SRV - File not found [Auto | Stopped] -- C:\Program Files\Online Armor\OAcat.exe -- (OAcat) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pwipf6.sys -- (pwipf6) DRV - [2012-09-13 21:26:02 | 000,031,912 | ---- | M] (Emsisoft) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OAnet.sys -- (OAnet) DRV - [2012-09-13 21:24:47 | 000,027,632 | ---- | M] (Emsisoft) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OAmon.sys -- (OAmon) DRV - [2012-09-13 21:24:27 | 000,044,592 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\oahlp32.sys -- (oahlpXX) DRV - [2012-09-13 21:24:17 | 000,208,312 | ---- | M] () [File_System | System | Stopped] -- C:\WINDOWS\system32\drivers\OADriver.sys -- (OADevice) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KernelFaultCheck"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
mortal Opublikowano 8 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2012 Dziękuje za pomoc. Niestety nie wszystko poszło zgodnie z planem. Mianowicie wkleiłem skrypt, zatwiedziłem klikiem w " Wykonaj skrypt ", po chwili ekran zrobił się czarny i wyskoczył BSOD o takiej oto treści Wymusiłem restart i komputer uruchomił się normalnie. Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2012 Zgłoś Udostępnij Opublikowano 8 Listopada 2012 Zapewne to z powodu brutalnego usuwania sterowników OnlineArmor (były aktywne). Idź dalej, tzn. dostarcz raporty, o które prosiłam. . Odnośnik do komentarza
mortal Opublikowano 8 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2012 W załączniku zamieściłem stosowny log który wykonałem po zresetowaniu PC po wystąpieniu BSODa. Po zresetowaniu komputera OTL nie wygenerował żadnego loga. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2012 Zgłoś Udostępnij Opublikowano 8 Listopada 2012 Nie wykonał się tylko spód skryptu. 1. Te dwa sterowniki OnlineArmor nie puściły: DRV - [2012-09-13 21:24:27 | 000,044,592 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\oahlp32.sys -- (oahlpXX)DRV - [2012-09-13 21:24:17 | 000,208,312 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\system32\drivers\OADriver.sys -- (OADevice) Uruchom Autoruns i w karcie Drivers odptaszkuj oahlpXX + OADevice. Zresetuj system. Jeśli nie będzie problemu, usuń te dwie usługi via Autoruns + ręcznie dokasuj powiązane pliki z dysku. 2. Poprawkowy skrypt. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KernelFaultCheck"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :Files C:\WINDOWS\System32\drivers\hitmanpro35.sys C:\WINDOWS\System32\drivers\sfi.dat C:\Documents and Settings\All Users\Dane aplikacji\1319727294.bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\1319716643.bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin C:\Documents and Settings\Admin\Dane aplikacji\Immunet :Commands [emptytemp] Klik w Wykonaj skrypt. Po restarcie w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj poniżej wyliczone: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> doinstaluj pakiet SP3"Opera 12.02.1578" = Opera 12.02 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () . Odnośnik do komentarza
mortal Opublikowano 9 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2012 1. Odptaszkowałem pliki, zresetowałem system. Restart przebiegł bez problemu. Mam teraz te pliki jakie odptaszkowałem wywalić z dysku ręcznie? 2. Wykonane. Zamieszczam loga do postu, gdyż dostaję informacje, że nie mam uprawnień do wysyłania tego typu plików. 3. Wyczyszczone 4. Adobe Reader zwracał informacje, że jest aktualny - pozostałe wykonane ( chyba poprawnie ). 5. Czy można w przyszłości w jakiś sposób uniknąć wizyty polcyjnego gościa? Log z OTL po wykonaniu skryptu: All processes killed ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully. Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully. Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page not found. Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully. Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully. ========== FILES ========== C:\WINDOWS\System32\drivers\hitmanpro35.sys moved successfully. C:\WINDOWS\System32\drivers\sfi.dat moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\1319727294.bdinstall.bin moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\1319716643.bdinstall.bin moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin moved successfully. C:\Documents and Settings\Admin\Dane aplikacji\Immunet folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Admin ->Temp folder emptied: 93737181 bytes ->Temporary Internet Files folder emptied: 33707799 bytes ->Java cache emptied: 5445426 bytes ->FireFox cache emptied: 80338639 bytes ->Opera cache emptied: 3035293 bytes ->Flash cache emptied: 10741 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 2103208 bytes ->Temporary Internet Files folder emptied: 44447 bytes User: NetworkService ->Temp folder emptied: 2039656 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 11402255 bytes RecycleBin emptied: 2201714325 bytes Total Files Cleaned = 2 321,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 11092012_075432 Files\Folders moved on Reboot... C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\~DF5A54.tmp moved successfully. File\Folder C:\WINDOWS\temp\ZLT02376.TMP not found! PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 1. Odptaszkowałem pliki, zresetowałem system. Restart przebiegł bez problemu. Mam teraz te pliki jakie odptaszkowałem wywalić z dysku ręczn Tak jak mówiłam: "Jeśli nie będzie problemu, usuń te dwie usługi via Autoruns + ręcznie dokasuj powiązane pliki z dysku". 2. Wykonane. Zamieszczam loga do postu, gdyż dostaję informacje, że nie mam uprawnień do wysyłania tego typu plików. Tak długo na forum a Pomocy nie przeczytałeś? Załączniki dopuszczają tylko *.TXT, a Ty próbujesz wstawiać *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. 4. Adobe Reader zwracał informacje, że jest aktualny - pozostałe wykonane ( chyba poprawnie ). Posiadasz Adobe Reader X, a najnowszy to wersja XI. Widocznie metoda aktualizacji nakładkowej nie wchodzi tu w grę (tak się dzieje czasem przy zbyt dużym przeskoku wersji) i należy tę wersję zainstalować na czysto. 5. Czy można w przyszłości w jakiś sposób uniknąć wizyty polcyjnego gościa? Do wglądu temat: KLIK. Piaskownica jest tu pewną metodą, infekcja nie wykona się w sposób rzeczywisty. . Odnośnik do komentarza
mortal Opublikowano 11 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2012 1. Wykonane. 2. Właśnie próbowałem zmienić rozszerzenie, ale nic to nie zmieniło 4. Zrozumiano Serdeczne dzięki za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi