adaman Opublikowano 14 Października 2010 Zgłoś Udostępnij Opublikowano 14 Października 2010 Witam Mam laptopa kilka dni, próbowałem zainstalować program antywirusowy i wszystko jest dobrze do momentu próby uaktualnienia bazy wirusów. Wyskakuje błąd "nie można połączyć się z serwerem". Przeskanowałem komputer programem COmodo bez aktualizacji bazy wirusów, ale nic nie znalazł. Wygenerowałem raport w Combofix.Poczytałem forum, powywalełem programy emulujące napędy i utworzyłem log ogólny OTL.Przy próbie utworzenia loga GMER-em program pracuje przez chwile i restartuje system. Użyłem programu SPTDinst i opcja deinstalacji była nieaktywna. Bardzo proszę o pomoc pozdrawiam adaman OTL.Txt Extras.Txt RootRepeal report 10-14-10 (16-23-56).txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2010 Zgłoś Udostępnij Opublikowano 15 Października 2010 Skoro nie dołączyłeś loga z ComboFix w pierwszym poście, należało ten post po prostu edytować, a nie pisać nowy. Posty łączę razem. ComboFix nie powinieneś stosować na własną rękę, jest napisane dlaczego w ogłoszeniu. Użytkownik który nie umie sam zanalizować raportu ComboFix, nie powinien użytkować narzędzia, bo w jaki sposób może ocenić co narzędzie zrobiło. Infekcja jest obecna w systemie. Skoro już masz ComboFix, to go wykorzystam do usuwania głównej infekcji. Natomiast śmieci po iMeshu / Bearshare / WRU zostaną usunięte potem, już via OTL. 1. Otwórz Notatnik i wklej w nim: Rootkit:: c:\windows\system32\bkyefuod.dll Driver:: fzymaqvoi moivcyxx NetSvc:: moivcyxx Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7421:TCP"=- Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. [Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach] 2. Do oceny: wynikowy log z ComboFix oraz nowy log z OTL. Odpowiedz także na pytanie czy wprowadzone tu OpenDNS to wynik Twoich kombinacji, czy może nie masz pojęcia o co chodzi? . Odnośnik do komentarza
adaman Opublikowano 15 Października 2010 Autor Zgłoś Udostępnij Opublikowano 15 Października 2010 Witam załączam pliki combofix i otl Combofixa użyłem wcześniej gdyż najpierw trafiłem na niego, a potem na Wasze forum. Co do DNS to podał mi je administrator sieci, bo jak twierdził strony otwierają się szybciej. Nie bardzo wiem jakie to ma znaczenie. Poczekam na ocenę, ale jesteście wielcy, antywirus się uaktualnia pozdrawiam ComboFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2010 Zgłoś Udostępnij Opublikowano 16 Października 2010 Główna infekcja tylko częściowo usunięta. Nadal w logu widzę jej plik: [2004-08-04 00:44:02 | 000,163,032 | RHS- | C] () -- C:\WINDOWS\System32\bkyefuod.dll Prócz tego, będziemy usuwać i odpadki po paskach narzędziowych wprowadzonych przez programy P2P oraz zapiski "not found". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2004-08-04 00:44:02 | 000,163,032 | RHS- | C] () -- C:\WINDOWS\System32\bkyefuod.dll [2010-10-12 16:45:56 | 000,000,000 | ---D | M] (Yoono) -- C:\Documents and Settings\Anetka\Dane aplikacji\Mozilla\Firefox\Profiles\xfg81lt5.default\extensions\{d9284e50-81fc-11da-a72b-0800200c9a66} [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Anetka\Dane aplikacji\Mozilla\Firefox\Profiles\xfg81lt5.default\searchplugins\BearShareWebSearch.xml [2010-03-24 11:34:04 | 000,002,456 | ---- | M] () -- C:\Documents and Settings\Anetka\Dane aplikacji\Mozilla\Firefox\Profiles\xfg81lt5.default\searchplugins\iMeshWebSearch.xml [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml [2010-03-24 11:34:04 | 000,002,456 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\iMeshWebSearch.xml FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search" FF - prefs.js..browser.search.order.1: "iMesh Web Search" FF - prefs.js..browser.startup.homepage: "http://search.imesh.com/" FF - prefs.js..extensions.enabledItems: {d9284e50-81fc-11da-a72b-0800200c9a66}:7.4.1 FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&q=" IE - HKU\S-1-5-21-1757981266-484763869-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = InfoSpace Search IE - HKU\S-1-5-21-1757981266-484763869-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = "http://dpxml.infospace.com/info/dog/webresults.htm?&qkw={searchTerms}" IE - HKU\S-1-5-21-1757981266-484763869-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Value error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Anetka\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptyflash] [emptytemp] Rozpocznij przez Wykonaj skrypt. Nastąpi restart komputera. Otrzymasz log z tego działania. 2. Odinstaluj przez Dodaj / Usuń śmiecia Windows Searchqu Toolbar. O ile także jest cały deinstalator WRU (nie widzę tego na liście Extras), także usuń ten wątpliwy program z dysku. 3. Prezentujesz do oceny: log powstały z usuwania OTL w punkcie 1 oraz nowy log z OTL wykonany opcją Skanuj już po deinstalacji tego paska. Co do DNS to podał mi je administrator sieci, bo jak twierdził strony otwierają się szybciej. Nie bardzo wiem jakie to ma znaczenie Pytałam, by się zorientować czy próbując naprawiać brak aktualizacji programów sam tego nie wprowadziłeś. . Odnośnik do komentarza
adaman Opublikowano 16 Października 2010 Autor Zgłoś Udostępnij Opublikowano 16 Października 2010 witam usunąłem z Program Files katalog WRU w którym był tylko plik WRU.exe, nie było go w Dodaj/Usuń Programy. DNS wprowadzałem przy konfiguracji połączenia sieciowego pozdrawiam OTL.Txt Extras.Txt 10162010.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Wszystko zostało pomyślnie usunięte skryptem OTL. Jednak deinstalacja Windows Searchqu Toolbar nie odbyła się w sposób kompletny, pozostawiła rozszerzenie w Firefox, oraz są jeszcze drobne śmieci po Wru. 1. Przeglądarka Firefox musi być zamknięta. W OTL w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: {7FF99715-3016-4381-84CE-E4E4C9673020}:1.0 [2010-06-19 00:42:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Wru O4 - HKLM..\RunOnce: [removedatamngr] File not found O4 - HKLM..\RunOnce: [removetoolbar] File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\Wru\Wru.exe"=- Jak poprzednio: Wykonaj skrypt. Nie będzie restartu. 2. Pokaż tylko ten log z usuwania, tyle wystarczy. Po tym podam finałowe kroki czyszczące. . Odnośnik do komentarza
adaman Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 witam 10172010_130722.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 W porządku. Wykonaj te kroki: 1. Posprzątaj po używanych narzędziach: W Start > Uruchom > wklej polecenie "c:\documents and settings\Anetka\Pulpit\ComboFix.exe" /uninstall W OTL wywołaj funkcję Sprzątanie To usunie kwarantanny i składniki narzędzi, a dodatkowo także zostanie zresetowany stan folderów Przywracania systemu. 2. Wykonaj skan przez Malwarebytes' Anti-Malware i podaj tu wynikowy raport. . Odnośnik do komentarza
adaman Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 witam mbam-log-2010-10-17 (13-52-49).txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Na koniec zaktualizuj oprogramowanie (INSTRUKCJE): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0"ie7" = Windows Internet Explorer 7"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) I to byłby koniec trudów z infekcją, jeśli nie notujesz już żadnych objawów chorobowych. . Odnośnik do komentarza
adaman Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 (edytowane) Witam Serdeczne dzięki za pomoc w uporaniu się z problemem. Edytowane 17 Października 2010 przez picasso Temat rozwiązany, więc go zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi