creyn Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Witam. Proszę o pomoc w wyleczeniu się z wirusów. Znalazłem go w C:\Documents and settings\All Users\Dane aplikacji\lsass.exe (i plik dsgds...pad) i usunąłem oba pliki. Dodatkowo usunąłem z autostartu. Czy takie zwykłe usunięcie wystarczy? Załączam logi z OTL sprzed usunięcia. Mam nadzieję, że poprawne. Pozdrawiam Creyn Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Załączam logi z OTL sprzed usunięcia. Logi powinny być po Twoim usuwaniu, ponieważ nie jest potwierdzone, czy infekcja nie wróciła. A prace jeszcze przed nami. To nie jedyna infekcja w systemie, w starcie uruchamia się tu kolejny trojan (z katalogu Zuarb), ponadto jest adware. 1. Odinstaluj adware: - Przez Dodaj/Usuń programy: 50 FREE MP3s +1 Free Audiobook!, AVG Security Toolbar, Download Updater (AOL LLC), Facemoods Toolbar, Foxit PDF Creator Toolbar, FoxTab PDF Converter, Mario Forever Toolbar, McAfee Security Scan Plus, Przyspiesz Komputer v2.1, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.0, Winamp Toolbar. - Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację AVG Secure Search, Facemoods, SweetIM for Facebook 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-527237240-616249376-1177238915-1003..\Run: [{F7FF3C5F-198B-AD40-3AB2-812F0704A23D}] C:\Documents and Settings\Marta\Dane aplikacji\Zuarb\ozce.exe () O4 - HKLM..\Run: [] File not found IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=ST9160411ASG_5TG0PTT0____5TG0PTT0&ts=1348788169" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=ST9160411ASG_5TG0PTT0____5TG0PTT0&ts=1348788169" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={70669793-7123-11E1-A971-001E101FA7A5}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110406205043343&tb_oid=06-04-2011&tb_mrud=06-04-2011" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=F4&apn_dtid=YYYYYYYYPL&apn_uid=5F68B144-9ED4-437A-99D7-23D7D1531CD0&apn_sauid=39625652-D1C6-42CC-8C6B-87F7ECD4C007" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bcd44987000000000000002186e41baa&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={2399494E-651A-4241-B70D-DDA90584C4B3}&mid=9b726f9a3f0947d08891d15756fb2a1a-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=pl&ds=pd011&pr=sa&d=2012-09-28 01:24:25&v=12.2.5.34&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={70669793-7123-11E1-A971-001E101FA7A5}" IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110406205043343&tb_oid=06-04-2011&tb_mrud=06-04-2011" DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS -- (OMCI) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) :Files C:\Documents and Settings\Marta\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Marta\Dane aplikacji\OpenCandy C:\Documents and Settings\Marta\Dane aplikacji\PriceGong C:\Documents and Settings\Marta\Dane aplikacji\Zuarb C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\owaxu.raw C:\Program Files\mozilla firefox netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Przed uruchomieniem GMER musisz wykonać ogłoszenie o oprogramowaniu emulacyjnym i usunąć ofensywne sterowniki: DRV - [2011-03-13 13:23:28 | 000,223,128 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi)DRV - [2011-03-13 13:18:59 | 000,642,560 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
creyn Opublikowano 18 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2012 Dziękuję za odpowiedź. Wykonałem teraz: 1. odinstalowanie Adware 2. skrypt OTL 3. odinstalowanie DeamonToolsa i sterownika (programem SPTDinst) Niestety nie udało mi się uruchomić programu AdwCleaner. Dostaję błąd: Autolt Error: Unable to open the script file. Załączam też nowe logi OTL oraz z Gmera. Pozdrawiam Creyn OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Log z GMER jest kompletnie pusty ... Popraw. 3. odinstalowanie DeamonToolsa i sterownika (programem SPTDinst) Wg OTL został jeszcze ten sterownik: DRV - [2011-03-13 13:23:28 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi) Załączę go w poniższym skrypcie. Niestety nie udało mi się uruchomić programu AdwCleaner. Dostaję błąd: Autolt Error: Unable to open the script file. Tylko się upewnię: czy na pewno mówimy o najnowszej wersji 2.008 pobranej świeżo z linków w przyklejonym? Póki co podaję poprawkę na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\vfgtrbtb.sys -- (vfgtrbtb) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\nefkwmoz.sys -- (nefkwmoz) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ilkqsscd.sys -- (ilkqsscd) DRV - [2011-03-13 13:23:28 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi) DRV - [2012-11-13 01:14:55 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) Klik w Wykonaj skrypt. . Odnośnik do komentarza
creyn Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Dziękuję za odpowiedź. No nie popisałem się z gmerem Załączam: 1. nowy raport GMER (po wykonaniu już dzisiejszego skryptu OTL) 2. nowy raport OTL Co do AdwCleaner, to tak, jest to najnowsza wersja 2.008 z przyklejonego postu. Zapewne nie mam czegoś zainstalowanego, niestety nie znalazłem żadnych wymagań na stronie Adw. Pozdrawiam Creyn gmer2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Zadania wykonane, została jeszcze korekta domyślnych wyszukiwarek IE, ale z tym się wstrzymuję, bo jeśli AdwCleaner da radę tu uruchomić, to i tak "zepsuje" tę robotę i po nim trzeba będzie ustawiać ponownie. W kwestii: Co do AdwCleaner, to tak, jest to najnowsza wersja 2.008 z przyklejonego postu. Zapewne nie mam czegoś zainstalowanego, niestety nie znalazłem żadnych wymagań na stronie Adw. Skąd uruchamiasz AdwCleaner? Sprawdź taki scenariusz: uruchom AdwCleaner z Pulpitu siedząc w Trybie awaryjnym Windows (aktywności antywirusa zostaną zdjęte). . Odnośnik do komentarza
creyn Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 AdwCleanera uruchomiony w trybie awaryjnym z pulpitu też zwraca ten sam błąd. Rozumiem, że bez tego też będzie wszystko ok z komputerem, bo jeśli nie robi nic ważnego, to może pominąć AdwCleanera? Pozdrawiam Creyn Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Ten błąd sugeruje, że coś przeszkadza AdwCleaner i gdyby nie to, że w Trybie awaryjnym też nie wchodzi, podejrzewałabym antywirusa. Czy AdwCleaner pobrał się "w całości"? Dobra, zostawmy AdwCleaner w spokoju. 1. Zamiennie użyj Junkware Removal Tool. Przedstaw wynikowy log. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
creyn Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Tak, AdwCleaner ściągnął się w całości, dwa razy. Ale użyłem JRT i logi załączam. Sprzątnąłem OTLa i wyczyściłem foldery Przywracania systemu. AntiMalware wykrył jeden plik, który usunąłem. Logi również zamieszczam. JRT.txt mbam-log-2012-11-22 (17-51-31).txt mbam-log-2012-11-22 (18-21-06).txt Pozdrawiam Creyn Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 JRT: nieco śmieci adware pokasował. MBAM: wykrył cracka do NOD... Finalizuj temat: 1. Drobna poprawka na domyślną wyszukiwarkę Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Przez SHIFT+DEL skasuj folder C:\JRT oraz narzędzie i jego log. Ponów czyszczenie folderów Przywracania systemu. 3. Wg raportu OTL masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Foxit Reader" = Foxit Reader"Opera 12.10.1652" = Opera 12.10 Odinstaluj starą Java i zastąp najnowszą, zaktualizuj Operę, upewnij się, że Foxit Reader oraz wtyczka Adobe Flash w Operze są najnowsze, a także zainstaluj pakiet SP3 dla Office 2003. PS. Widzę zainstalowane Gadu-Gadu 10. Polecam alternatywne lżejsze programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi