Jacob555 Opublikowano 16 Czerwca 2013 Zgłoś Udostępnij Opublikowano 16 Czerwca 2013 Witam Problem rozpoczął się od przyniesienia pendrive z punktu ksero, gdzie mój pendrive został zainfekowany. Powstał na nim skrót do niego samego o nazwie "removable disk" i dopiero po kliknięciu na niego można było otworzyć dane na pendrive. Jednak ścieżka tego skrótu prowadziła gdzieś do katalogów systemowych, bodajże win32. Po podłączeniu tel do komputera, tak samo stało się z dyskiem telefonu, co za tym idzie telefon padł. Udało mi się ogarnąć te dyski płytką live z Kaspersky Rescue Disk, ale na moim PC nijak nie chce się ona odpalić. W związku z tym, że komputer został zainfekowany, nie mogę teraz wkładać do USB żadnych dysków. A sam komputer zaczął chodzić bardzo wolno, długo się również włącza. Nie pojawiają się żadne powiadomienia. Załączam wymagane logi, z prośbą o pomoc w wyleczeniu kompa (log z gmera może być nie pełny, gdyż program pod koniec wiesza się. Sprawdzałem motyw z wirtualnymi dyskami, zgodnie z opisem, ale nigdy nawet nie miałem niczego takiego zainstalowane i wszystko jest ok.). Z góry dziękuję, Jacob555 News: Przeskanowałem wszystko za pomocą bootowalnej płytki z G-Datą i wyskakują takie pozycje: Trojan.autorun.EU Trojan.Generic.1667814 .1928886 .1758796 Trojan.Perlovga.B Z półtora tysiąca pozycji usunęło może z trzy... Komp dalej chodzi tragicznie. gmer logi.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2013 Zgłoś Udostępnij Opublikowano 17 Czerwca 2013 System jest zainfekowany i każdy nośnik podpinany do tego systemu będzie przerabiany na skróty: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 35246 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccawuu.cmd (Hause) O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Mama\csrss.exe) - C:\Documents and Settings\Mama\csrss.exe (4KrzUjDzx) Poza tym, w systemie działają też śmieci adware. 1. Odinstaluj adware i zbędniki: - Przez Dodaj/Usuń programy: AVG Security Toolbar, BrowserProtect, Delta Chrome Toolbar, Delta toolbar, Deinstalator Strony V9, Logitech Desktop Messenger, Update for Video Converter, Video Converter Packages, Yontoo 1.10.03. - W Google Chrome w Roszerzeniach: Delta Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-57989841-1202660629-725345543-1003..\Run: [] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 35246 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccawuu.cmd (Hause) O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Mama\csrss.exe) - C:\Documents and Settings\Mama\csrss.exe (4KrzUjDzx) [2012-12-25 20:16:00 | 000,001,211 | RHS- | C] () -- C:\WINDOWS\xcopy.exe [2012-12-25 20:16:00 | 000,000,000 | RH-- | C] () -- C:\WINDOWS\svchost.exe O32 - AutoRun File - [2006-05-09 20:36:18 | 000,000,034 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2006-05-09 20:36:18 | 000,000,034 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2006-05-09 19:36:18 | 000,000,034 | RHS- | M] () - F:\autorun.inf -- [ FAT32 ] :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing przypodpiętej maksymalnej ilości urządzeń zewnętrznych. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Jacob555 Opublikowano 17 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2013 Wykonałem wszystko zgodnie z poleceniami, załączam logi. Dzięki za pomoc, nawet już praca komputera znacznie się poprawiła UsbFix Listing 1 X-25559698B83D4.txt AdwCleanerS1.txt OTL2.Txt 06172013_162508.txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2013 Zgłoś Udostępnij Opublikowano 17 Czerwca 2013 O ile większość zrobiona, to niestety ten wpis infekcji nadal aktywny (tylko się wymieniły ścieżki do plików): O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Kuba\csrss.exe) - C:\Documents and Settings\Kuba\csrss.exe (4KrzUjDzx) Poza tym, na dyskach H do J występuje ukryty folder "DOBRABRE" i plik autorun.inf uruchamiając trojana z tego folderu. Kolejne akcje: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Kuba\csrss.exe C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job C:\Documents and Settings\All Users\Dane aplikacji\Common Files H:\autorun.inf H:\DOBRABRE I:\autorun.inf I:\DOBRABRE J:\autorun.inf J:\DOBRABRE rd /s /q C:\RECYCLER /C rd /s /q D:\RECYCLER /C rd /s /q E:\RECYCLER /C rd /s /q F:\Recycled /C rd /s /q "D:\Kaspersky Rescue Disk 10.0" /C del /q D:\REMOVE_THIS_FILE.livecd.swap /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. Dołącz log z wynikami usuwania OTL z punktu 1. . Odnośnik do komentarza
Jacob555 Opublikowano 17 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2013 Wykonane Ad (18.06). - Dziś komputer chodzi już strasznie... Muł jak nigdy... Logi: UsbFix Listing 2 X-25559698B83D4.txt OTL3.Txt 06172013_174225.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2013 Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Nie wszystko zostało usunięte, folder I:\DOBRABRE odmówił posłuszeństwa. 1. Uruchom GrantPerms i w oknie wklej: I:\DOBRABRE I:\autorun.inf Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files I:\DOBRABRE I:\autorun.inf Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania skryptem. Ad (18.06). - Dziś komputer chodzi już strasznie... Muł jak nigdy... Był uruchamiany GMER, toteż sprawdź transfer dysku czy nie spadł z DMA do PIO. Jest to w instrukcji GMER: KLIK. . Odnośnik do komentarza
Jacob555 Opublikowano 21 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2013 Polecenia wykonane, faktycznie było przestawione na PIO, teraz śmiga jak rakieta Załączam LOG z usuwania oraz dodatkowo pełny do przejrzenia. Napisałaś w skryptach tylko adres I:\ - to wystarczy? Inne dyski zewnętrzne były ok? OTL.Txt 06212013_232011.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2013 Zgłoś Udostępnij Opublikowano 26 Czerwca 2013 (edytowane) Napisałaś w skryptach tylko adres I:\ - to wystarczy? Inne dyski zewnętrzne były ok? vs. Nie wszystko zostało usunięte, folder I:\DOBRABRE odmówił posłuszeństwa. DOBRABRE + autorun.inf zostały pomyślnie skasowane z innych dysków w pierwszym podejściu. Tylko składniki na I stawiły opór. I nadal go stawiają, usuwanie niepomyślne: Folder move failed. I:\DOBRABRE scheduled to be moved on reboot. Wejdź na dysk I:\ i sprawdź czy urządzenie w ogóle działa w trybie zapisu, tzn. spróbuj utworzyć tam przykładowy plik lub folder. Podaj czy akcja jest możliwa lub czy zwraca jakiś błąd. . Edytowane 21 Lipca 2013 przez picasso 21.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi