cookiemonster Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Witam, na samym początku chciałbym przesłać wyrazy uznania dla "Picasso" i całego serwisu za wiedzę i pomoc w walce z wirusami. Osobiście pierwszy raz zakładam temat z prośbą o pomoc ale nie raz korzystałem z instrukcji "Picasso Inc." Respect. Tak więc uśmiecham się szeroko i kłaniam nisko, prosząc o pomoc w usunięciu robactwa. W zeszły czwartek, oczywiście z własnej głupoty, nabawiłem się infekcji. Jestem po weekendzie walki i wszystko wskazuje na to że poniosłem porażkę. Przeskanowałem zainfekowany system siedmioma programami typu "Rescue Boot CD" (Dr.Web Live CD; Kaspersky Rescue CD; BitDefender Rescue CD; Panda Safe CD; AVG Rescue CD; G-Data; AviraAntivir; wszystkie z w miarę aktualnymi bazami) niestety bez skutku. Oczywiście skanery usuwały robaki podczas skanowania lecz po odpaleniu systemu wirus dalej siedzi. Poniżej załączam logi z systemu po skanowaniu wcześniej wspomnianymi antywirusami: http://wklej.org/id/388181/ http://wklej.org/id/388183/ http://wklej.org/id/388184/ Za wszelką pomoc z góry dziękuję i pozdrawiam, M.A.D. Odnośnik do komentarza
Landuss Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Rozpoczynamy usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- -- (NMIndexingService) SRV - File not found [On_Demand | Stopped] -- -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\XtremeTuner\PMReader.sys -- (WINIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Dokumenty Mariusza\Overclocking\A64Tweaker_V0.6beta\cpuz.sys -- (cpuz) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex) FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14797" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=14797&q=" [2010-09-09 18:47:50 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Documents and Settings\-M-A-D-\Dane aplikacji\Mozilla\Firefox\Profiles\npns500x.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} O33 - MountPoints2\{8720d54a-ed7a-11de-9d3f-00508d957883}\Shell\AutoRun\command - "" = L:\k0maw.exe -- File not found O33 - MountPoints2\{8720d54a-ed7a-11de-9d3f-00508d957883}\Shell\open\Command - "" = L:\k0maw.exe -- File not found :Files C:\WINDOWS\Tasks\Wczgoreug.job C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
cookiemonster Opublikowano 12 Września 2010 Autor Zgłoś Udostępnij Opublikowano 12 Września 2010 nowe logi: http://wklej.org/id/388213/ http://wklej.org/id/388214/ Dodatkowe pytanie: w czasie zarażenia do systemu podpięte były jeszcze inne dyski twarde (partycje) z danymi. Ponieważ są na nich zapisane dosyć (nawet bardzo) ważne dla mnie dane, odłączyłem je na czas skanowania systemu. Czy jest prawdopodobieństwo że infekcja przeniosła się na te inne dyski twarde? Czy wystarczy skanowanie "Boot Rescue" antywirusami czy trzeba podpiąć z powrotem wszystkie dyski pod system i wykonać ponownie logi (skany) OTL, Gmer? Odnośnik do komentarza
Landuss Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 W takim rzie podepnij wszystkie dyski i uruchom USBFix z opcji Listing i pokaż wynikowy raport. Odnośnik do komentarza
cookiemonster Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Zrobię to zaraz po pracy. A czy te ostatnie logi z OTL są OK? System wygląda na zdrowy, tzn. nie zauważyłem tych wcześniejszych dziwnych procesów i Avast nie alarmuje o wirusach. Pozdrawiam, M.A.D. Odnośnik do komentarza
cookiemonster Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 raport z USBFix: http://www.wklej.org/id/388437/ dodam jeszcze nowe logi z OTL po podłączeniu wszystkich dysków ponieważ wydaje mi się że to nie koniec walki. System zaliczył blue screen'a podczas skanowania Gmer'em. W razie potrzeby dodam później. http://www.wklej.org/id/388440/ http://www.wklej.org/id/388441/ Odnośnik do komentarza
Landuss Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Gmera nie musisz mi pokazywać bo tam się nic nie zmienia. To rootkit detector, a u ciebie nie ma takiej infekcji. Przy podpiętych dyskach zamontuj taki skrypt do OTL: :Processes killallprocesses :Files RECYCLER /alldrives G:\autorun.inf Wynikowo podajesz log z usuwania OTL (powinien się otworzyć w notatniku) oraz nowy log z USBFix. Odnośnik do komentarza
cookiemonster Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 OTL: http://www.wklej.org/id/388453/ USBFix: http://www.wklej.org/id/388454/ Odnośnik do komentarza
Landuss Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Wszystko zostało pomyślnie usunięte. Wykonaj jeszcze na koniec poniższe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix - to nałoży zabezpieczenie 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1033-7B44-A70700000002}" = Adobe Reader 7.0.7 "Mozilla Firefox (3.0.5)" = Mozilla Firefox (3.0.5) "avast!" = avast! Antivirus Niezbędna instalacja SP3 + IE8, aktualizacja wersji Avast oraz pozostałych tu wyliczonych: INSTRUKCJE. . Odnośnik do komentarza
cookiemonster Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Jesteście wielcy. Nie wiem jak to robicie, dla mnie to czarna magia, ale to działa Zabieram się powoli za aktualizacje. Chciałbym jeszcze dla pewności prosić o sprawdzenie loga z systemu, który był zainstalowany na jednym z dysków podpiętych wtedy jako partycja (tzn. ten system wtedy nie był uruchomiony a dysk pełnił tylko funkcje partycji): http://www.wklej.org/id/388506/ http://www.wklej.org/id/388507/ Dziękuję. Odnośnik do komentarza
Landuss Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Nic tutaj nie ma. Jedynie też kłania się aktualizacja Avasta oraz IE i Service Packa. Odnośnik do komentarza
cookiemonster Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Jeszcze raz wielkie dzięki. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi