Konie trojanskie

[pau]

Witam,

 

od paru dni mam problem z trojanami i wirusami. Zainfekowały mi pendrive i na penie pokazywaly sie tylko pliki o wielkości 1KB. Peny juz sformatowałam na innym komputerze, bo na moim nie mogłam, ale trojany na laptopie nadal mam. Usuwam je AVG Anti-virus Free ale to srednio dziala, bo jest ich coraz wiecej.

 

Ciagle zawiesza mi sie komputer, dziala bardzo wolno i wyskakuja mi jakies strony w Explorer

 

Zalaczam logi.

 

Z gory dzieki za pomoc

Extras.Txt

OTL.Txt

[picasso]

Nie doczytałaś chyba zasad działu. Raport z OTL zrobiony na ustawieniach z innego forum, proszę nie zakładać że wszędzie używa się identycznej konfiguracji. Zabrakło także obowiązkowego loga z GMER i nie przygotowałaś systemu do jego uruchomienia (KLIK), działa sterownik emulacyjny:

 

DRV - [2011-04-18 19:49:50 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\Bpulea.exe
C:\WINDOWS\Bpuleb.exe
C:\WINDOWS\tasks\Ytmysnm.job
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
C:\Documents and Settings\Paulina\mqxoq.exe
C:\Documents and Settings\Paulina\Dane aplikacji\Ruqife
C:\Documents and Settings\Paulina\Dane aplikacji\Owlam
C:\Documents and Settings\Paulina\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Paulina\Dane aplikacji\FunWebProducts
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
 
:OTL
SRV - [2011-05-12 17:19:21 | 000,031,744 | ---- | M] (Epcjocdjq Software) [Auto | Stopped] -- C:\WINDOWS\TEMP\piau\setup.exe -- (AMService)
IE - HKU\S-1-5-21-1202660629-963894560-1644491937-1003\..\URLSearchHook: *{00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1202660629-963894560-1644491937-1003\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found
O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} -  File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} -  File not found
O4 - HKLM..\Run: [babylonToolbar]  File not found
O4 - HKLM..\Run: [Preeminence CD/DVD Helper]  File not found
O4 - HKLM..\Run: [uIUCU]  File not found
O4 - HKU\S-1-5-21-1202660629-963894560-1644491937-1003..\Run: [5GUTNY6MFK] C:\WINDOWS\Bpulea.exe ()
O4 - HKU\S-1-5-21-1202660629-963894560-1644491937-1003..\Run: [ares]  File not found
O4 - HKU\S-1-5-21-1202660629-963894560-1644491937-1003..\Run: [iGoD]  File not found
O4 - HKU\S-1-5-21-1202660629-963894560-1644491937-1003..\Run: [mqxoq] C:\Documents and Settings\Paulina\mqxoq.exe ()
O4 - HKU\S-1-5-21-1202660629-963894560-1644491937-1003..\Run: [R8388QA8U8]  File not found
O4 - Startup: C:\Documents and Settings\Paulina\Menu Start\Programy\Autostart\Tchatche Messenger.lnk =  File not found
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z tego działania.

 

 

2. Deinstalacji oprogramowania sponsoringowego:

• Przejdź do Dodaj / Usuń programy i odinstaluj śmiecia DAEMON Tools Toolbar oraz Babylon toolbar.
  
• Otwórz menedżer rozszerzeń Firefox i odinstaluj: Productivity 2.2 Community Toolbar, DAEMON Tools Toolbar, Conduit Engine oraz Babylon
  

 

3. W systemie nie ma pliku HOSTS:

 

Hosts file not found

Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odptaszkuj "Ukrywaj rozszerzenia znanych typów plików". Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

 

4. Po wykonaniu wszystkich powyższych zadań generujesz nowy log z OTL + log z GMER. Dołącz także log powstały z usuwania OTL w punkcie 1.

 

 

 

 

.

[pau]

Witam,

 

dziękuję za szybka odpowiedź i pomoc. Nieprzygotowanie i brak plików wynika z tego, iż kompletnie sie na tym nie znam (dziewczyna) i nieszczególnie miałam czas na czytanie ;/

Na szczęście zawsze znajdzie się pomocna dłoń

 

 

 

UDAŁO SIĘ załączyć, dziękuję

log OTL.txt

log z GMER.txt

log z OTL pkt 1.TXT

[picasso]

natomiast gdy chce wgrac LOG z pkt. 1 i log z GMER wyskakuje mi komunikat "Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku"

 

Tu można wgrywać tylko rozszerzenie *.TXT a nie *.LOG. Zmień rozszerzenie, a pliki się dołączą. Zedytuj post wyżej, a ja mając komplet danych przystąpię do analizy.

 

 

EDIT: Logi dodane. Szkodniki zostały usunięte skryptem, ale zaczęły się odtwarzać.... Ponadto, nie wykonałaś punktów 2 + 3, nadal widzę te sponsoringowe rozszerzenia w menedżerze Firefox oraz brak pliku HOSTS:

 

Hosts file not found

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Paulina\cuiful.exe
C:\Documents and Settings\Paulina\jouwoad.exe
C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
C:\Documents and Settings\Paulina\Dane aplikacji\Mozilla\Firefox\Profiles\iggm6a8i.default\searchplugins\conduit.xml
C:\Documents and Settings\Paulina\Dane aplikacji\Mozilla\Firefox\Profiles\iggm6a8i.default\searchplugins\daemon-search.xml
C:\Documents and Settings\Paulina\Dane aplikacji\Mozilla\Firefox\Profiles\iggm6a8i.default\extensions\{e84cc2c1-b722-48fc-a39c-edb8b525c777}
C:\Documents and Settings\Paulina\Dane aplikacji\Mozilla\Firefox\Profiles\iggm6a8i.default\extensions\DTToolbar@toolbarnet.com
C:\Documents and Settings\Paulina\Dane aplikacji\Mozilla\Firefox\Profiles\iggm6a8i.default\extensions\engine@conduit.com
C:\Documents and Settings\Paulina\Dane aplikacji\Mozilla\Firefox\Profiles\iggm6a8i.default\extensions\ffxtlbr@babylon.com
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"jouwoad"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Productivity 2.2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2903601&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.0.19
FF - prefs.js..extensions.enabledItems: {e84cc2c1-b722-48fc-a39c-edb8b525c777}:3.3.0.19
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=14a8ebd00000000000000013029f1e86&tlver=1.4.19.19&instlRef=sst&affID=17161&q="
 
:Commands
[emptyflash]
[emptytemp]

Jak poprzednio: Wykonaj skrypt > restart > otrzymasz log.

 

2. Do wykonania uprzednio przeze mnie opisana akcja z plikiem HOSTS. Przypominam: jego nazwa nie może mieć rozszerzenia (np. TXT). Plik ma mieć nazwę hosts.

 

3. Wygeneruj nowy log z OTL. Dołącz ten z usuwania. Zrób także log z AD-Remover.

 

 

 

.

Edytowane 13 Czerwca 2011 przez picasso
13.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso