Trojan win32boaxxe.cs oraz ponmocupaa

[kuros]

Witam bardzo serdecznie.Piszę z trybu awaryjnego ,ponieważ kiedy włączam komputer nic nie działa. Jak działa to bardzo wolno ...Proszę o pomoc gdyż nabawiłem się wirusów ściągając kodeki do nowego filmu Dragon balla.

co minuta po infekcji w nodzie wyskakiwał mi komunikat o ponmocuppie który dobiera mi się do komputera i po nastepnym restarcie już nic mi nie działało...

mam system operacyjny win7 64bit

wirusy to :Trojan win32boaxxe.cs oraz ponmocupaa

 

logi wysłałem z otl

Extr3as.Txt

OTL3.Txt

Addition.txt

FRST.txt

[jessica]

Gdzie to jest wykrywane (ścieżki)?

 

Zrób logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

 

jessi

[kuros]

dadałem pliki w pierwszym poscie. Wykrywa nod który niestety jest tylko włączony w normalnym trybie który mi nie działa...

Kurde nie chce robić formatu mam tyle rzeczy na dysku.Da rade z tego wybrnąć?

[jessica]

uTorrentControl2 Toolbar (HKLM-x32\...\uTorrentControl2 Toolbar) (Version: 6.8.5.1 - uTorrentControl2) <==== UWAGA

 

Odinstaluj ten program..

 

Gdzie to jest wykrywane (ścieżki)?

 

Nie odpowiedziałeś na pytanie.

 

Otwórz Notatnik i wklej w nim:

 

Task: {496F45B1-03CD-403B-9F43-3F2B243A6199} - System32\Tasks\onkv => Rundll32.exe "C:\Windows\SysWOW64\wksprtPSL.dll",Fsilnvibjw

C:\Windows\SysWOW64\wksprtPSL.dll

Task: {08B3B933-FEF6-43EB-A795-0613D71133F8} - System32\Tasks\{73887E8C-FA95-4A40-9111-341ADB81B4A3} => pcalua.exe -a C:\Users\Kamil\Downloads\VirtualDubMod_1.5.10.3_build_2550_PL\VirtualDubMOD\VirtualDubMod.exe -d C:\Users\Kamil\Downloads\VirtualDubMod_1.5.10.3_build_2550_PL\VirtualDubMOD

Task: {721B80A4-4D89-472D-943B-F4FCED7098FD} - System32\Tasks\{1D928971-B40A-4ECB-AD15-7484F3687279} => pcalua.exe -a "D:\filmy\Z archiwum X\Medieval II Total War + Kingdoms\Patches\Medieval II Patch 1.3\setup.exe" -d "D:\filmy\Z archiwum X\Medieval II Total War + Kingdoms\Patches\Medieval II Patch 1.3"

Task: {C37CE2D4-AF36-433F-B01C-7D0BDA112537} - System32\Tasks\{0A92337F-4AE3-4505-A161-C5F974A11922} => pcalua.exe -a "F:\programy\Daemon Tools Pro Advanced\Install v4.10.218.0.exe" -d "F:\programy\Daemon Tools Pro Advanced"

Task: {D16D8042-6A98-481D-85F5-56AE2597F988} - System32\Tasks\{321955E7-246E-4AC9-A818-8F2A14AD625C} => pcalua.exe -a "D:\filmy\Z archiwum X\Medieval II Total War + Kingdoms\Medieval 2 Total War Kingdoms\MED2TWK_1\setup.exe" -d "D:\filmy\Z archiwum X\Medieval II Total War + Kingdoms\Medieval 2 Total War Kingdoms\MED2TWK_1"

AlternateDataStreams: C:\Windows:6CEC45F883458661

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"

HKU\S-1-5-21-2223399182-3555716993-268681125-1000\...\Run: [MSNetDDNowiz] => "C:\Users\Kamil\AppData\Local\Temp\1347323652.exe" <===== UWAGA

HKU\S-1-5-21-2223399182-3555716993-268681125-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www2.delta-search.com/?babsrc=HP_ss&mntrId=520D001FD00B103B&affID=124064&tsp=5005

URLSearchHook: HKLM-x32 - uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll Brak pliku

URLSearchHook: HKU\S-1-5-21-2223399182-3555716993-268681125-1000 - uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll Brak pliku

BHO-x32: uTorrentControl2 Toolbar -> {687578b9-7132-4a7a-80e4-30ee31099e03} -> C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll Brak pliku

oolbar: HKLM-x32 - uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll Brak pliku

Toolbar: HKU\S-1-5-21-2223399182-3555716993-268681125-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} -  Brak pliku

Toolbar: HKU\S-1-5-21-2223399182-3555716993-268681125-1000 -> Brak nazwy - {687578B9-7132-4A7A-80E4-30EE31099E03} -  Brak pliku

FF DefaultSearchUrl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}

FF SearchPlugin: C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\5q1t7ki3.default\searchplugins\conduit.xml [2013-02-12]

CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Kamil\AppData\Roaming\BabSolution\CR\Delta.crx <nie znaleziono>

CHR HKLM-x32\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\Kamil\AppData\Local\Temp\ccex.crx <nie znaleziono>

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

C:\Users\Kamil\Desktop\SpyHunter-Installer.exe

C:\Users\Kamil\AppData\Local\Ixrqsoft

C:\Windows\Minidump\*.dmp

C:\Windows\Tasks\onkv.job

C:\Windows\System32\Tasks\onkv

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK

Kliknij na "Uruchom ponownie".

Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"

 

Zrób nowe logi z FRST.

 

jessi

 

[kuros]

Gdzie to jest wykrywane (ścieżki)?.Odpowiedziałem , że w nodzie który mi działa w normalnym trybie ,który z kolei działał przed infekcją.Teraz tylko działa tryb awaryjny.

co do utorrent control2 , nie dało rady go skasować z miejsca dolecowego czyli z programfiles(przynajmniej nie w trybie awaryjnym.)

Wiec skasowałem go ręcznie.

Co dalej zrobić,będąc szczerym nie mam bladego pojęcia co z tym zrobić

[jessica]

Gdzie to jest wykrywane (ścieżki)?.Odpowiedziałem , że w nodzie

Czy dobrze zrozumiałam: zarażony jest NOD?

C:\Program Files\ESET

 

 

wróć do mojego poprzedniego postu - dopisałam tam

 

Zapomniałam, że w Trybie Awaryjnym nie da się odinstalowywać programów.

 

jessi

[kuros]

chodziło gdzie jest plik z wirusem tak?

usunąłem go.tzn włączyłem plik z wideo ale nie chciało się odtworzyć . Z boku był napis "kodek for dragon ball".Po wcisnięciu komputer ostro zmulił  ,wtedy to nod wykrył pierwszy raz wirusa, chciałem skasować plik z kodekiem ale się nie dało wiec otworzyłem procesy i skasowałem nie pasujący proces po czym skasowałem i kodek(wirusa).

dodałem załącznik z fixlogiem

 

teraz po fixlogu to nawet pulpit się nie pokazuje w normalnym trybie ,

Fixlog.txt

[jessica]

teraz po fixlogu to nawet pulpit się nie pokazuje w normalnym trybie ,

 

Szkoda, bo to oznacza, że już nic się nie da zrobić. Twój System już nie istnieje.

Jest to o tyle dziwne, że ta infekcja nigdy dotąd nie niszczyła Systemu.

 

 

UWAGA: Przywracanie systemu jest wyłączone

 

Nie możesz nawet zrobić zwykłego "Przywracania Systemu".

 

jessi

[kuros]

kurde!Komputer zaczął po którymś włączeniu działać poprawnie.(3 razy z rzędu czarny monitor, no i kolejny raz ,już miał być ostatni.Włączył się ekran i komputer powoli chodził .Nałożyłem nakładkę ściągnietą w trybie awaryjnym i po restarcie działa jak przed

ale pewnie to nie załatwiło tego wirusa/ów

co dalej zrobić?Zostawić kompa jak jest czy próbować go oczyścić?

[jessica]

ale pewnie to nie załatwiło tego wirusa/ów

 

Infekcji już nie powinno być, ale możesz zrobić kontrolne logi z FRST.

 

jessi

[kuros]

infekcja jest , a chociażby nod wykrywa boxi(dodaje załącznik)

ale dzięki za pomoc  pomocupaa dało rade skasować!!!!

ale pojawiła się nowa"menda"

[jessica]

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

 

tmp*.exe

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[kuros]

zrobione

Search.txt