Wirus System Progresive Protection

[marcinszpak]

Cześć

 

U rodziców na kompie wyskoczył wirus System Progresive Protecion.

 

Prośba o usunięcie

 

Załączam OTL.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{C3F41A1F-409E-46D3-83E0-4F1513B9D8BB}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=E9ABDC6B-E183-4853-A307-3FF10A42A150&apn_sauid=7A9326A7-77A3-4BCD-A691-32EE3CF20F81"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\RunOnce: [2C43838CFF22671000002C43574E6BD4] C:\Documents and Settings\All Users\Dane aplikacji\2C43838CFF22671000002C43574E6BD4\2C43838CFF22671000002C43574E6BD4.exe ()
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Reg Error: Key error.)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab" (Reg Error: Key error.)
SRV - [2012-05-15 14:54:29 | 000,060,928 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\rwina.exe -- (rwina)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\3.0.207\McCHSvc.exe -- (McComponentHostService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
 
:Files
C:\Documents and Settings\Ewa i Jan\Pulpit\System Progressive Protection.lnk
C:\Documents and Settings\All Users\Dane aplikacji\2C43838CFF22671000002C43574E6BD4
C:\Documents and Settings\All Users\Dane aplikacji\529C5411006E1F57000076DD0CDF108C
C:\Documents and Settings\All Users\Dane aplikacji\Avg7
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\Grisoft
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). Opuść Tryb awaryjny.

 

2. Google Chrome: Wejdź do ustawień i w Rozszerzeniach odinstaluj adware SweetIM for Facebook.

 

3. Firefox: wyczyść z adware przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Chodzi o najnowszą wersję, była tu kiedyś używana starsza.

 

5. Od razu przez Dodaj / Usuń programy odinstaluj archaiczny skaner Skaner on-line mks_vir.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[marcinszpak]

Witam,

 

Wszystko wykonane

 

Załączam logi

OTL.Txt

gmer.txt

AdwCleanerS2.txt

[picasso]

4. Uruchom AdwCleaner (...) Chodzi o najnowszą wersję, była tu kiedyś używana starsza.

 

Użyłeś AdwCleaner v2.007. Najnowsza to 2.008. Pobierz, uruchom i przedstaw log.

 

EDIT: A Google Chrome wygląda na odinstalowane, będę usuwać szczątki.

 

 

.

[marcinszpak]

Sorki

 

Miałem Adw z piatku - podpinam log z nowego

 

Co do Google chrom: Nie mam google chroma obecnie na kompie.

Nakładkę do facebook odinstalowałem już wczoraj z poziomu dodaj/usuń programy.

Teraz mam tam tylko jakis update tej nakładki - nie ma opcji odinstaluj.

 

Pozdrawiam

AdwCleanerS3.txt

[picasso]

Co do Google chrom: Nie mam google chroma obecnie na kompie.

 

Już się zorientowałam i zedytowałam powyżej post. W systemie są szczątki i będę to usuwać.

 

W międzyczasie system nabył nową infekcję, czyli usługę kierującą na plik WwYNcN.exe.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012-11-19 18:02:19 | 000,060,928 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\WwYNcN.exe -- (WwYNcN)
NetSvcs: WwYNcN - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\CPUID\PC Wizard 2010\pcwiz_x32.sys -- (cpuz134)
O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre7\bin\jusched.exe" File not found
 
:Files
C:\Documents and Settings\Ewa i Jan\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Enigma Software Group
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
[-HKEY_CURRENT_USER\Software\Google]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[marcinszpak]

Wykonane

 

Dodatkowo międzyczasie zainstalowałem Avasta.

 

Podaję OTL

OTL.Txt

[picasso]

Dodatkowo międzyczasie zainstalowałem Avasta.

 

To widać w raportach. A zadania niestety nie przetworzone w całości, w ogóle nie puścił ten obiekt infekcji:

 

SRV - [2012-11-20 14:39:38 | 000,060,928 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\WwYNcw.exe -- (WwYNcw)

 

Uruchom zgodnie ze wskazówkami ComboFix i przedstaw wynikowy log.

 

 

.

[marcinszpak]

Przesyłam log z Combo

ComboFix.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

Driver::
WwYNcw
 
File::
c:\windows\system32\WwYNcw.exe
 
FCopy::
c:\windows\ServicePackFiles\i386\aec.sys | c:\windows\system32\drivers\aec.sys

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Przedstaw wynikowy raport ComboFix.

 

 

 

.

[marcinszpak]

Załaczam Combofixa po wykonaniu Skryptu

ComboFix(1).txt

[picasso]

Coś nie puszcza ten obiekt. Wprawdzie ComboFix skasował usługę, ale nie plik, nadal widoczny na dysku:

 

2012-11-20 13:39 . 2012-11-20 13:39	60928	----a-w-	c:\windows\system32\WwYNcw.exe

 

Powtórka:

 

1. Zrób nowy plik CFScript.txt, tym razem o zawartości:

 

File::
c:\windows\system32\WwYNcw.exe

 

Uruchom w taki sam sposób jak poprzednio.

 

2. Przedstaw do oceny wynikowy log z ComboFix.

 

 

 

.

[marcinszpak]

Załączam Combo

ComboFix(2).txt

[picasso]

Ten plik stoi jak przyklejony. Zrób skanowanie zewnętrzne z poziomu płyty Kaspersky Rescue Disk. Zapisz raport na dysku twardym i przedstaw.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso