Komputer został zablokowany

[armin]

Witam mam ten sam problem co kolega https://www.fixitpc.pl/topic/14297-wirus-ukashweelsof-nie-wiem-jak-sie-pozbyc/.

 

Logi wykonane z poziomu zainfekowanego konta w trybie awaryjnym z obsługą sieci.

OTL.Txt

Extras.Txt

[picasso]

Są na dysku ślady wskazujące, że jest tu znacznie gorsza infekcja niż "policja", czyli rootkit Necurs:

 

[2012-11-21 17:13:15 | 000,058,112 | ---- | M] () -- C:\WINDOWS\System32\drivers\a1590beefbb9e269.sys

 

Rootkit ma priorytet. Poproszę o zaległy raport z GMER.

 

 

 

.

[armin]

Wykonałem log w GMER lecz przed uruchomieniem pojawiły sie nie standardowe komunikaty oto one :

 

Następnie wykonałem polecenie przeszukaj.

log.txt

[Landuss]

1. Uruchom zgodnie z opisem ESET Necurs Remover.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\sfsync02.sys -- (sfsync02)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\User\USTAWI~1\Temp\pnicml.sys -- (pnicml)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=156ef01d-f256-402f-97de-41c6b453ddc1&apn_sauid=2B570D4D-3D35-4CFC-9CD2-44385F705553&"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-12-18 23:06:28 | 000,002,573 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\otf2qxmr.default\searchplugins\askcom.xml
O4 - HKLM..\Run: [syshost32] C:\WINDOWS\Installer\{09AA3707-C8CE-8374-2366-447202FECE09}\syshost.exe ()
 
:Files
C:\WINDOWS\Installer\{09AA3707-C8CE-8374-2366-447202FECE09}
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\User\Menu Start\Programy\Autostart\ctfmon.lnk
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart komputera.

 

Po restarcie wejdź normalnie do systemu (blokady być nie powinno).

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras)

[armin]

Polecenie 1 i 2 wykonane. Blokada zniknęła mam nadzieje że już wszystko ok.

 

Ps. W czasie pracy OTL AVG wyświetlił 2 powiadomienia.

 

"Infekcja";"Koń trojański BackDoor.Generic16.OQS";"c:\WINDOWS\system32\drivers\a1590beefbb9e269.sys.vir";"N/D";"2012-11-23, 00:54:21"

"Infekcja";"Koń trojański Dropper.Generic7.NFU";"c:\WINDOWS\Installer\{09AA3707-C8CE-8374-2366-447202FECE09}\syshost.exe";"N/D";"2012-11-23, 00:43:53"

OTL.Txt

[Landuss]

To by było wszystko jeśli chodzi o proces usuwania. Wykonaj poniższe czynności na koniec:

 

1. Start > Uruchom > cmd i wklep to polecenie - sc delete a1590beefbb9e269

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij przywracanie systemu: KLIK

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 6.0.2900.5512)

"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5

"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE

"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[armin]

Programy zaktualizowane lecz nie mogę zainstalować

Adobe Reader. Znika instalka po uruchomieniu. Może jeszcze coś zostało?

[Landuss]

Nic nie zostało. Może pobierz ją z innego źródła.

[armin]

Kończymy?

[Landuss]

No tak to wszystko jeżeli już nie ma problemów, sam oceń czy jest dobrze. Jeśli tak to temat zamykam.

[armin]

Jest w porządku można zamykać. Dzięki wielkie, wiszę flaszkę