daja100 Opublikowano 5 Grudnia 2013 Zgłoś Udostępnij Opublikowano 5 Grudnia 2013 Witam! Mam problem z tym wirusem, i bardzo proszę o szybką pomoc, wyjeżdżam w delegacje i potrzebuje laptopa. Laptop działa na koncie gościa. Z konta gościa przeskanowałem antywirusem laptopa oraz ściągnąłem OTL. Proszę o wskazówki. FRST.txt OTL.Txt Extras.Txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2013 Zgłoś Udostępnij Opublikowano 5 Grudnia 2013 Niestety, ale konto Gość się nie nadaje do analizy. Po pierwsze: z jego poziomu w ogóle nie widać wpisów innego konta zainfekowanego. Po drugie: konto nie ma uprawnień administracyjnych. Logi muszą być zrobione z poziomu konta które jest zainfekowane. - Przenieś FRST64.exe ze ścieżki konta Gość do ścieżki niezależnej od konta czyli wprost na C:\ - Zastartuj do Trybu awaryjnego z Wierszem polecenia. Zaloguj się na konto zasadnicze Daniel. W linii komend wpisz C:\FRST64.exe i ENTER. Zrób skan (zaznacz, by powstał plik Addition ponownie) i dostarcz wynikowe raporty. . Odnośnik do komentarza
daja100 Opublikowano 5 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2013 Witam, przeskanowałem laptopa programem antywirusowym SPYHUNTER, z konta gościa i wszystko działa !Ale proszę bardzo o sprawdzenie logów: FRST.txt OTL.Txt Addition.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2013 Zgłoś Udostępnij Opublikowano 6 Grudnia 2013 Log z FRST jest niekompletny, urwany w połowie. Skaner SpyHunter nie jest tu polecany (zła reputacja). I skaner ten wcale nie rozwiązał sprawy infekcji. Infekcja nadal siedzi (i cała pula jej plików na dysku): S2 Winmgmt; C:\ProgramData\rbmqgglf.pss [60528 2013-12-04] (Microsoft Corporation) Przejęta ścieżka usługi Instrumentacji Windows, w związku z czym WMI nie działa poprawnie: ==================== Could not list processes =============== ==================== Restore Points ========================= Could not list Restore Points. Check WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check WMI. Poza tym, w systemie są też obiekty adware. Akcja: 1. Otwórz Notatnik i wklej w nim: S2 Winmgmt; C:\ProgramData\rbmqgglf.pss [60528 2013-12-04] (Microsoft Corporation) C:\ProgramData\rbmqgglf.bxx C:\ProgramData\rbmqgglf.fvv C:\ProgramData\rbmqgglf.reg C:\ProgramData\rbmqgglf.pss C:\ProgramData\flggqmbr.dss S2 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [x] S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [ ] () HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=121845&tt=300513_ctrl&babsrc=HP_ss_din2g&mntrId=78E1B4749F7CFA20 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&tt=300513_ctrl&babsrc=SP_ss&mntrId=78E1B4749F7CFA20 SearchScopes: HKCU - {E580A7CF-496D-405A-8814-DFE3B679AD48} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} BHO-x32: No Name - {11111111-1111-1111-1111-110311551174} - No File BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com) Task: {1697AE11-3902-4DAB-A8FA-C4479D48E624} - System32\Tasks\EPUpdater => C:\Users\Daniel\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-06-06] () Task: {1BDB97E7-F671-455C-9496-398237B2FC76} - System32\Tasks\{7E744F06-54FD-40B7-829D-6CB3A3D4F36C} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {28AED510-B9D7-4082-BD0C-53EFE16E5597} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {2AC34955-E82C-4333-87A7-2304530E178D} - System32\Tasks\{BC465414-0B21-416B-9F54-EAD420F490A8} => D:\Gry\Silkroad\PHMediaPatcher.exe Task: {3B876E3F-67B5-4520-8D58-116859FFE0E2} - System32\Tasks\{268C256F-60D4-4233-9F87-FDADEE528352} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {3D3B9F02-8D55-4B47-B798-F8AD049D6C7A} - System32\Tasks\{63EEB7A0-4032-42E1-B91D-4612C969638D} => D:\Gry\Silkroad\HackShield.exe Task: {3DBF4EAF-B9B1-40FC-A41B-F5865C6467C7} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {64D526D7-39FF-41CD-A754-9105923D002D} - System32\Tasks\{3C0DF22B-0D76-4300-9F8D-3E97DCBA06E6} => D:\BUT\_iBot__Public_Released_v1.1.22\iBot.exe Task: {68A6A398-7B85-4E8E-A367-9AB56B41EA10} - System32\Tasks\{66D35A6E-0D44-42C3-A19A-7C855FC6CD34} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {70A509F2-B8B3-4954-B1C7-503B1CB5FEDD} - System32\Tasks\FTdownloader V4.0-updater => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe Task: {7EB0F415-BF35-49B3-ADB7-FEA386F723A7} - System32\Tasks\{F95A42F4-3CCC-4986-9F34-51AB93CE30C8} => D:\Gry\Silkroad\HackShield.exe Task: {8764DCF5-985D-432F-8928-AB7E67A71150} - System32\Tasks\{4AF807FA-5C96-4C60-8F33-5632CCF3B2BD} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {88845DF1-F960-4E0D-B8E0-57D6088B69EB} - System32\Tasks\{784FE6C4-E1A3-4BFA-996D-48F228B8C05B} => D:\Gry\Silkroad\PHMediaPatcher.exe Task: {99AB9A16-4F4A-4E96-BD74-3FC6440740A2} - System32\Tasks\FTdownloader V4.0-codedownloader => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe [2013-07-30] (installdaddy) Task: {A8902AAB-2D92-42B6-826E-5AB942A66FF8} - System32\Tasks\{06A027AB-C6D0-41CE-B65F-E56C1B99EE2B} => D:\Gry\Silkroad\edxSilkroadLoader5.exe Task: {AD35E4C7-25AF-47CC-81D8-80364098FF77} - System32\Tasks\{4704723B-4555-4CBE-B47F-049B01A8E0FF} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {B15DC677-B88F-44E9-9D43-CF46999A08D0} - System32\Tasks\{2D4AAD47-86B3-4682-9A98-50080C9274CD} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {B297DBE4-0CD3-463E-8B21-9A880C94B964} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {B6248EAD-FBD1-47FC-9B7F-C8CB6FCF3967} - System32\Tasks\{7F244934-0717-4D5F-A853-BD2869FE669C} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {B6735352-72DF-4F0B-8285-1AAC55A24D3D} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Task: {B674956C-9704-467A-84B5-D4384D73FC45} - System32\Tasks\{C210BA7C-80D1-40A7-B5C1-AD0F7560656C} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {CF61DA91-1D79-409E-8151-B32B687C8887} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {D40C9A6C-C2ED-471F-ADB9-1E99FDC66EF1} - System32\Tasks\{BCA25812-B11A-4DC2-8948-8D2DD22F046D} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {D640C074-793F-4597-97F6-D9D44DD6C984} - System32\Tasks\{8D811548-651D-4B26-83BF-A8621319EB90} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {DE00F2E5-DA46-4DB8-91F1-4CBE26DBDB1F} - System32\Tasks\{BF00A45A-3EA6-4C2F-83DD-D694588B09E6} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {E49BAADE-EA02-4D29-A0D5-8BED5A069814} - System32\Tasks\FTdownloader V4.0-enabler => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe Task: {E85A9096-EBA7-4C4E-9F3C-77067F6411BB} - System32\Tasks\{50588703-192A-4BB0-8E22-58CA31736955} => D:\BUT\_iBot__Public_Released_v1.1.22\iBot.exe Task: {E952A982-8A0F-4177-B449-D139F24C969A} - System32\Tasks\{7AE56822-ADD1-4039-ADD8-C1032D1C0481} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {EF991A13-5397-482F-B482-10173AE9F040} - System32\Tasks\{E6527CE4-09FF-4CDF-AFA0-1A84C59F5F93} => D:\Gry\Silkroad\PHMediaPatcher.exe Task: C:\Windows\Tasks\FTdownloader V4.0-codedownloader.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe Task: C:\Windows\Tasks\FTdownloader V4.0-enabler.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe Task: C:\Windows\Tasks\FTdownloader V4.0-updater.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe C:\Users\Daniel\AppData\Local\Google\Chrome Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: BrowserProtect, Delta Chrome Toolbar, Delta toolbar, FTDownloader, FTdownloader V4.0. Od razu pozbądź się też SpyHunter. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (zaznacz, by ponownie powstał Addition). Upewnij się, że log jest kompletny. Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. . Odnośnik do komentarza
daja100 Opublikowano 10 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 Proszę: AdwCleanerR0.txt AdwCleanerS0.txt Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2013 Zgłoś Udostępnij Opublikowano 11 Grudnia 2013 Ale przecież zmieniłeś kolejność. Logi powstały przed wykonaniem skryptu: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-12-2013 Ran by Daniel (administrator) on DANIEL-KOMPUTER on 10-12-2013 22:06:19 Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-12-2013 Ran by Daniel at 2013-12-10 22:19:23 Run:1 Dlatego nie wykazują żadnych zmian. Zrób nowe raporty z FRST (ponownie zaznacz, by powstał Addition). . Odnośnik do komentarza
daja100 Opublikowano 11 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2013 Mam nadzieje, że teraz będzie okey. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2013 Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Jeszcze drobne poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {8A36D528-E38F-4268-BDAC-559789481759} - System32\Tasks\{BD9A3024-06DF-4005-94C9-9EBC0F0173E3} => D:\opera.exe [2013-11-04] (Opera Software) Task: {A7469511-BC42-4672-8701-4335EA301EEA} - System32\Tasks\{626E839E-DDCF-4593-BDBE-B9C10F94F0BC} => D:\opera.exe [2013-11-04] (Opera Software) Task: {C455AD20-73A3-4C48-93C0-194093593EF8} - System32\Tasks\{43E1D553-2A44-4D92-B2F3-BC1871AF82EF} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {C5E67A95-8E6C-4B53-A242-C5A4A806A766} - System32\Tasks\{29ED08F5-5BF8-4CC5-A85E-A34999384CD1} => D:\opera.exe [2013-11-04] (Opera Software) Task: {F46D8905-BAA0-4AB5-848C-43B3A0A590A3} - System32\Tasks\{EAF9BE5D-77B1-4F72-884C-1A7EECF5628F} => D:\opera.exe [2013-11-04] (Opera Software) S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x] S2 vToolbarUpdater13.0.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.0.0\ToolbarUpdater.exe [x] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] 2013-12-05 01:33 - 2012-06-22 11:01 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys 2013-12-05 01:09 - 2013-12-05 01:09 - 00000000 ____D C:\Program Files\Enigma Software Group 2013-12-05 01:04 - 2013-12-05 01:04 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\Gość\Desktop\SpyHunter-Installer.exe 2013-12-05 00:25 - 2013-12-10 21:40 - 00000000 ____D C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
daja100 Opublikowano 12 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Proszę. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2013 Zgłoś Udostępnij Opublikowano 12 Grudnia 2013 Brakuje nowego skanu FRST. Uzupełnij. Odnośnik do komentarza
daja100 Opublikowano 13 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Ok, zrobione. FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2013 Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Infekcja usunięta, a problem z WMI nadal i taki oto odczyt: ==================== Could not list processes =============== Coś tu jest nie w porządku. Podaj mi wyciągi na temat naprawianej usługi Winmgmt. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s CMD: sc query Winmgmt CMD: winmgmt /salvagerepository Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Doczep wynikowy fixlog.txt. . Odnośnik do komentarza
daja100 Opublikowano 13 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Zrobione. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2013 Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Usługa w rejestrze wygląda poprawnie ale jest w stanie zatrzymano. To dziwne, przecież systewm miał być resetowany (użycie TFC - Temp Cleaner to wymusza). Podaj mi wynik próby uruchomienia usługi. Otwórz Notatnik i wklej w nim: CMD: sc start Winmgmt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Doczep wynikowy fixlog.txt. . Odnośnik do komentarza
daja100 Opublikowano 13 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2013 Proszę. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2013 Zgłoś Udostępnij Opublikowano 14 Grudnia 2013 Hmmm, próba uruchomienia usługi zwraca komunikat o stanie "przejściowym" START_PENDING. Zresetuj system. Zrób nowy skan FRST (bez Addition). . Odnośnik do komentarza
daja100 Opublikowano 14 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2013 Proszę: FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2013 Zgłoś Udostępnij Opublikowano 15 Grudnia 2013 Jest dobrze. Procesy zostały odczytane poprawnie przez FRST, co oznacza, że uprzednio uszkodzona przez infekcję usługa Winmgmt już funkcjonuje poprawnie. Przejdź do wykończeń: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj trzy wyliczone poniżej programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) ----> wtyczka dla Firefox/Opera Adobe Reader 9.5.0 - Polish (x32 Version: 9.5.0) Mozilla Firefox 25.0.1 (x86 pl) (x32 Version: 25.0.1) . Odnośnik do komentarza
daja100 Opublikowano 15 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2013 dziękuje! Odnośnik do komentarza
Rekomendowane odpowiedzi