Skocz do zawartości

Proszę o pomoc w usunięciu robactwa


Rekomendowane odpowiedzi

Witam,

na samym początku chciałbym przesłać wyrazy uznania dla "Picasso" i całego serwisu za wiedzę i pomoc w walce z wirusami. Osobiście pierwszy raz zakładam temat z prośbą o pomoc ale nie raz korzystałem z instrukcji "Picasso Inc." :) Respect.

Tak więc uśmiecham się szeroko i kłaniam nisko, prosząc o pomoc w usunięciu robactwa. W zeszły czwartek, oczywiście z własnej głupoty, nabawiłem się infekcji. Jestem po weekendzie walki i wszystko wskazuje na to że poniosłem porażkę. Przeskanowałem zainfekowany system siedmioma programami typu "Rescue Boot CD" (Dr.Web Live CD; Kaspersky Rescue CD; BitDefender Rescue CD; Panda Safe CD; AVG Rescue CD; G-Data; AviraAntivir; wszystkie z w miarę aktualnymi bazami) niestety bez skutku. Oczywiście skanery usuwały robaki podczas skanowania lecz po odpaleniu systemu wirus dalej siedzi.

Poniżej załączam logi z systemu po skanowaniu wcześniej wspomnianymi antywirusami:

 

http://wklej.org/id/388181/

http://wklej.org/id/388183/

http://wklej.org/id/388184/

 

Za wszelką pomoc z góry dziękuję i pozdrawiam,

M.A.D.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rozpoczynamy usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Disabled | Stopped] --  -- (NMIndexingService)
SRV - File not found [On_Demand | Stopped] --  -- (ACDaemon)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\XtremeTuner\PMReader.sys -- (WINIO)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Dokumenty Mariusza\Overclocking\A64Tweaker_V0.6beta\cpuz.sys -- (cpuz)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex)
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14797"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=14797&q="
[2010-09-09 18:47:50 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Documents and Settings\-M-A-D-\Dane aplikacji\Mozilla\Firefox\Profiles\npns500x.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad}
O33 - MountPoints2\{8720d54a-ed7a-11de-9d3f-00508d957883}\Shell\AutoRun\command - "" = L:\k0maw.exe -- File not found
O33 - MountPoints2\{8720d54a-ed7a-11de-9d3f-00508d957883}\Shell\open\Command - "" = L:\k0maw.exe -- File not found
 
:Files
C:\WINDOWS\Tasks\Wczgoreug.job
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza

nowe logi:

 

http://wklej.org/id/388213/

http://wklej.org/id/388214/

 

 

Dodatkowe pytanie:

w czasie zarażenia do systemu podpięte były jeszcze inne dyski twarde (partycje) z danymi. Ponieważ są na nich zapisane dosyć (nawet bardzo) ważne dla mnie dane, odłączyłem je na czas skanowania systemu. Czy jest prawdopodobieństwo że infekcja przeniosła się na te inne dyski twarde?

 

Czy wystarczy skanowanie "Boot Rescue" antywirusami czy trzeba podpiąć z powrotem wszystkie dyski pod system i wykonać ponownie logi (skany) OTL, Gmer?

Odnośnik do komentarza

Gmera nie musisz mi pokazywać bo tam się nic nie zmienia. To rootkit detector, a u ciebie nie ma takiej infekcji.

 

Przy podpiętych dyskach zamontuj taki skrypt do OTL:

 

:Processes
killallprocesses
 
:Files
RECYCLER /alldrives
G:\autorun.inf

 

Wynikowo podajesz log z usuwania OTL (powinien się otworzyć w notatniku) oraz nowy log z USBFix.

 

 

 

Odnośnik do komentarza

Wszystko zostało pomyślnie usunięte. Wykonaj jeszcze na koniec poniższe kroki:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Użyj opcji Vaccinate z USBFix - to nałoży zabezpieczenie

 

3. Wykonaj obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15

"{AC76BA86-7AD7-1033-7B44-A70700000002}" = Adobe Reader 7.0.7

"Mozilla Firefox (3.0.5)" = Mozilla Firefox (3.0.5)

"avast!" = avast! Antivirus

Niezbędna instalacja SP3 + IE8, aktualizacja wersji Avast oraz pozostałych tu wyliczonych: INSTRUKCJE.

 

 

 

.

Odnośnik do komentarza

Jesteście wielcy. Nie wiem jak to robicie, dla mnie to czarna magia, ale to działa :)

Zabieram się powoli za aktualizacje.

 

Chciałbym jeszcze dla pewności prosić o sprawdzenie loga z systemu, który był zainstalowany na jednym z dysków podpiętych wtedy jako partycja (tzn. ten system wtedy nie był uruchomiony a dysk pełnił tylko funkcje partycji):

 

http://www.wklej.org/id/388506/

http://www.wklej.org/id/388507/

 

Dziękuję.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...