Monika1983 Opublikowano 26 Maja 2011 Zgłoś Udostępnij Opublikowano 26 Maja 2011 Witam, Mam problem z wyskakującymi okienkami z reklamami i coś chce się też instalować. Przekierowali mnie do Państwa z forum.idg ponieważ mam poważną infekcję a tam do lipca nie będzie osoby, która może mi pomóc. Poniżej link do loga OTL (czy mam robić jeszcze jakiś inny?). Będę bardzo wdzięczna za pomoc. http://wklejto.pl/98258 Pozdrawiam Monika Odnośnik do komentarza
picasso Opublikowano 26 Maja 2011 Zgłoś Udostępnij Opublikowano 26 Maja 2011 Niepełny zestaw logów: brakuje OTL Extras (nie zaznaczyłaś "Rejestr - skan dodatkowy" na "Użyj filtrowania") oraz obowiązkowego loga z GMER. By GMER dało się uruchomić, należy zdjąć emulację wirtualnych napędów (KLIK): DRV - [2007-11-20 18:33:58 | 000,685,816 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Proszę dostarczyć te dane. Preferowana droga na prezentację logów: Załączniki forum. . Odnośnik do komentarza
Monika1983 Opublikowano 26 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2011 Dziękuję za odpowiedź. W załącznikach logi. Pozdrawiam Monika log_gmer.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Maja 2011 Zgłoś Udostępnij Opublikowano 26 Maja 2011 Jest tu ogromna ilość szkodników. Pokłosie braku aktualizacji Windows, przestarzałego antywirusa.... 1. Siedzi tu rootkit w MBR dysku. On ma pierwszeństwo. ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 TDL4@MBR code has been found Zastosuj Kaspersky TDSSKiller dobierając dla tego wyniku akcję Cure. Po restarcie systemu: 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives RECYCLER /alldrives q9.cmd /alldrives G:\skajhdjashugdkahusgdnkwuaeq C:\Documents and Settings\Monia\fv6ap3xh7c.exe C:\Documents and Settings\Monia\Dane aplikacji\Yvqi C:\Documents and Settings\Monia\Dane aplikacji\Gelue C:\Documents and Settings\Monia\Dane aplikacji\nsgdpj.exe C:\Documents and Settings\Monia\Dane aplikacji\rkxkxw.exe C:\Documents and Settings\Monia\Dane aplikacji\mzrp.exe C:\Documents and Settings\Monia\Dane aplikacji\shqq.exe C:\Documents and Settings\Monia\Dane aplikacji\sbqh.exe C:\Documents and Settings\Monia\Dane aplikacji\zcfh.exe C:\Documents and Settings\Monia\Dane aplikacji\idyq.exe C:\Documents and Settings\Monia\Dane aplikacji\uoagxd.exe C:\Documents and Settings\Monia\Dane aplikacji\veef.exe C:\Documents and Settings\Monia\Dane aplikacji\hgmfrl.exe C:\Documents and Settings\Monia\Dane aplikacji\Opmems.exe C:\Documents and Settings\Monia\Dane aplikacji\New-Threat.exe C:\Documents and Settings\Monia\Dane aplikacji\update-googleAdv.exe C:\Documents and Settings\Monia\Menu Start\Programy\Autostarthello.exe C:\Documents and Settings\Monia\Menu Start\Programy\Autostart\avcheck.exe C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\nevy.exe C:\Program Files\hidfind.exe C:\Readme.exe C:\WINDOWS\Otugaa.exe C:\WINDOWS\Otugab.exe C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\WINDOWS\System32\maoibubu.dll C:\WINDOWS\System32\mcysbbui.dll C:\WINDOWS\System32\mlbhbhnt.dll C:\WINDOWS\System32\olhrwef.exe C:\WINDOWS\System32\nmdfgds0.dll C:\WINDOWS\System32\nmdfgds1.dll C:\WINDOWS\System32\nmdfgds2.dll C:\WINDOWS\System32\systeme.acm C:\WINDOWS\System32\drivers\wcscd.sys :Services AMService :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\Temp\pfwa\setup.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AntiVirus"=- "hidfind"=- "Regedit32"=- "update-googleAdv"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "{5825F67E-629A-426A-C50B-E05820B0A465}"=- "4ECYTQ9SIC"=- "AntiVirus"=- "cdoosoft"=- "fv6ap3xh7c"=- "update-googleAdv"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AMService"=- [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AMService"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Windows zostanie zrestartowany i otrzymasz z tego log. 3. System nie ma pliku HOSTS: Hosts file not found Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz "Ukrywaj rozszerzenia dla znanych typów plików". Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 4. Przejdź do Dodaj / Usuń programy i odinstaluj śmiecia sponsoringowego PDFCreator Toolbar oraz zbędnik nie związany z pracą sprzętu Logitech Desktop Messenger. 5. Wygeneruj nowe logi z OTL i GMER do oceny. Przy czym log z OTL zrób na dostosowanym warunku = w oknie Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!). DIR /A C:\ /C DIR /A D:\ /C DIR /A G:\ /C W sumie masz pokazać: logi z usuwania TDSSKiller oraz OTL powstałe w punktach 1 i 2, nowy log z OTL wykonany według powyższej konfiguracji, log z GMER. . Odnośnik do komentarza
Monika1983 Opublikowano 26 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2011 Zrobione zgodnie z instrukcją, w załączniku logi. Niestety nie mogę dodać jednego jako załącznik ("nie masz uprawnień by wgrywać ten rodzaj pliku") więc poniżej link do niego. http://www.wklejto.pl/98296 Pozdrawiam TDSSKiller.2.5.3.0_26.05.2011_21.45.47_log.txt log_gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Maja 2011 Zgłoś Udostępnij Opublikowano 26 Maja 2011 Komentując wyniki: - Mój skrypt do OTL ładnie przetworzył wszystkie widzialne rzeczy (i te które dośpiewałam na podstawie typu infekcji), aczkolwiek niektóre wpisy oznaczone jako pomyślnie usunięte są nadal widoczne, choć jako puste. To już odpadki. - Kaspersky TDSSKiller poradził sobie i aktualny log z GMER nie pokazuje uprzednich modyfikacji. Jednakże w TDSSKiller był drugi wynik punktujący fałszowanie sum kontrolnych sterownika ATI: 2011/05/26 21:49:31.0437 24100 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ati2mtag.sys. Real md5: 4fbbe3d1d0732d09138b484335fcd542, Fake md5: a1789368b4a31d2111af7aeda0c8d3fc 2011/05/26 21:49:31.0453 24100 ati2mtag - detected ForgedFile.Multi.Generic (1) - Urządzenie G wyglądające na aparat cyfrowy jest zainfekowane. Już je na oko czyściłam z niektórych elementów, teraz widzę grubszy spis: Wolumin w stacji G to NIKON D3100 Numer seryjny woluminu: FFFF-FFFF Katalog: G:\ 2010-06-02 06:48 512 NIKON001.DSC 2010-06-02 06:48 DCIM 2011-05-06 09:22 13-1-2012 2011-05-26 17:29 page 2011-05-26 17:29 AEXRGYH 2011-05-26 22:01 0 i_love_u.txt.vbs 2011-05-26 22:01 239 Hi.txt.vbs 2011-05-26 22:01 239 Help-Me.txt.vbs 2011-05-26 22:01 239 [Filtr wulgaryzmów]_You!.txt.vbs 2011-05-26 22:01 239 New_Message.txt.vbs 2011-05-26 22:01 239 i_hate_you.txt.vbs 2011-05-26 22:01 239 Kiss-Me.txt.vbs 2011-05-26 17:30 118Ë™784 run.exe Z tego samego dnia pochodzą pliki skryptowe *.vbs posługujące się sztuczką z podwójnym rozszerzeniem, dziwny plik run.exe oraz kilka folderów. Od infekcji z pewnością jest AEXRGYH. Nie jestem jednak pewna co jest w folderach 13-1-2012 + page. Sprawdź ich zawartość. 1. Uruchom Kaspersky TDSSKiller ponownie i sprawdź czy ten wynik z ATI nadal się pokazuje. 2. Czyszczenie drobnych resztek widzialnych w OTL i urządzenia G. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files G:\*.vbs G:\run.exe G:\AEXRGYH :OTL O3 - HKU\S-1-5-21-2000478354-746137067-725345543-1003\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O4 - HKLM..\Run: [Regedit32] File not found O4 - HKU\.DEFAULT..\Run: [AMService] File not found O4 - HKU\S-1-5-18..\Run: [AMService] File not found O4 - HKU\S-1-5-21-2000478354-746137067-725345543-1003..\Run: [{5825F67E-629A-426A-C50B-E05820B0A465}] File not found Jak poprzednio: Wykonaj skrypt > restart systemu > powstanie log. 3. Skorzystaj z Panda USB Vaccine i opcji USB Vaccination w celu wyprodukowania na urządzeniu G zabezpieczającego sfałszowanego pliku autorun.inf. Natomiast opcja Computer Vaccination już powinna się pokazać jako wykonana, bo w moim pierwszym skrypcie OTL importowałam modyfikację rejestru równoważną z tym co robi Panda. 4. Do oceny: log z TDSSKiller, log z usuwania OTL oraz nowy log z OTL (już bez wklejania warunków). Gdy te raporty będą obiecujące, przejdziemy do skanowania systemu automatami. Niestety nie mogę dodać jednego jako załącznik ("nie masz uprawnień by wgrywać ten rodzaj pliku") więc poniżej link do niego. Nie dopuszczam w Załącznikach rozszerzenia *.LOG, tylko *.TXT. Jeśli zmienisz nazwę, plik się dołączy. . Odnośnik do komentarza
Monika1983 Opublikowano 27 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2011 Zrobione. Na dysku G nie widzę folderów "13-1-2012 + page" - faktycznie to karta z aparatu. W TDSSKiller wyszło że chyba wszystko jest ok. OTL.Txt TDSSKiller.2.5.3.0_27.05.2011_13.10.56_log.txt ss.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2011 Zgłoś Udostępnij Opublikowano 27 Maja 2011 W porządku. Kaspersky milczy, w OTL nie widzę już żadnych znaków infekcji, plik zabezpieczający Pandy figuruje na G. Możemy przejść do skanerów automatycznych: 1. Pozbądź się kopii szkodników, by skanery nie wykrywały rzeczy nieistotnych: z dysku skasuj przez SHIFT+DEL folder kwarantanny C:\_OTL oraz wyczyść foldery Przywracanie systemu: KLIK. 2. Wykonaj pełne skanowanie następującymi programami: Malwarebytes Anti-Malware + Kaspersky Virus Removal Tool. 3. Do oceny raporty ze skanerów oraz dodatkowo: Na dysku G nie widzę folderów "13-1-2012 + page" Wykonaj ostatni log z OTL prezentujący zawartość urządzenia. OTL skonfiguruj następująco: wszystkie opcje ustaw na Brak + Żadne, a w sekcji Własne opcje skanowania / skrypt wklej poniższy warunek i klik w Skanuj. DIR /A /S G:\ /C . Odnośnik do komentarza
Monika1983 Opublikowano 27 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2011 Zrobione. Logi w załącznikach. Pozdrawiam kaspersky.txt mbam-log-2011-05-27 (16-14-16).txt mbam-log-2011-05-27 (16-16-34).txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 Narzędzia już nie dużo tu miały do roboty. Zaś te foldery "13-1-2012" + "page" na urządzeniu G to jednak były twory infekcji: 2011-05-27 18:49:32 Zagrożenie: Trojan.Win32.Phorpiex.ii G:\13-1-2012\ekrn.exe 2011-05-27 18:49:32 Zagrożenie: Worm.Win32.FFAuto.ey G:\page\tasktop.exe 2011-05-27 18:49:48 Usunięty: Trojan.Win32.Phorpiex.ii G:\13-1-2012\ekrn.exe 2011-05-27 18:49:49 Usunięty: Worm.Win32.FFAuto.ey G:\page\tasktop.exe Kaspersky usunął składniki tych folderów, ale same foldery (już jako puste) nadal są na urządzeniu: 2011-05-06 09:22 13-1-2012 2011-05-26 17:29 page Mówiłaś, że ich nie widzisz? Mimo że puste, usuń je do końca. W OTL w sekcji Własne opcje skanowania / skrypt wklej: :Files G:\13-1-2012 G:\page Klik w Wykonaj skrypt. Pójdzie błyskawicznie bez restartu. Na koniec usuń ponownie folder C:\_OTL. I koniec zadania z logami. Narzędzie Kaspersky Virus Removal Tool możesz już odinstalować. Przechodzimy do fazy aktualizacji: 1. System: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Krytyczny status aktualizacji. Obowiązkowa instalacja Service Pack 3 + Internet Explorer 8: KLIK. Po zainstalowaniu bazowych uaktualnień uruchom Windows Update i zainstaluj wszystkie krytyczne łatki, które zostały wydane po SP3. 2. Aplikacje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "{45A54FAD-AADB-4CD2-9E56-2507A15F013D}" = Opera 9.23 "{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish "avast!" = avast! Antivirus "Gadu-Gadu" = Gadu-Gadu 7.7 "KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.6.1 "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) - (Obowiązkowo) Avast jest tu w przestarzałej wersji 4 z roku 2007. Odinstaluj i wymiań na najnowszy. Wszystkie przeglądarki, Java i Adobe Reader do aktualizacji: KLIK. - (Opcjonalnie) Można unowocześnić kodeki. Gadu-Gadu 7 to niefortunna wersja: nie obsługuje już własnej sieci, jest mniej bezpieczna (brak szyfrowania). Zamiast się męczyć na tym trupie, można się wyposażyć w alternatywny program z obsługą sieci Gadu. Popatrz tu: KLIK. Osobiście polecam WTW. Po wykonaniu tych czynności zgłoś się z podsumowaniem i jasną wypowiedzią co się dzieje z systemem. Czy są jeszcze jakieś problemy. . Odnośnik do komentarza
Monika1983 Opublikowano 28 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2011 Wszystko zrobione zgodnie z instrukcją. Wydaje mi się że wszystko już jest dobrze ale niestety średnio się na tym znam więc muszę jeszcze chwilę poobserwować. Zdecydowanie nie odpalają się już jakieś reklamy i nic nie chce się już instalować. WTW bardzo mi się podoba, pozostało odinstalować gg. Bardzo, bardzo dziękuję za nieocenioną pomoc. Mam jeszcze pytanie jak się uchronić przed infekcjami z pendrive`ów. Bardzo często podłączam do komputera różne nośniki, czy ten nowy avast wystarczy? Pozdrawiam Monika Odnośnik do komentarza
picasso Opublikowano 28 Maja 2011 Zgłoś Udostępnij Opublikowano 28 Maja 2011 (edytowane) Zapomniałam o ważnej rzeczy: Zmień wszystkie hasła logowania, gdyż rootkity MBR mają predyspozycje do wycieku danych. Mam jeszcze pytanie jak się uchronić przed infekcjami z pendrive`ów. Bardzo często podłączam do komputera różne nośniki, czy ten nowy avast wystarczy? Ja już zabezpieczyłam Twój system przed wykonaniem infekcji z autorun.inf. Na samym początku w skrypcie OTL importowałam wpis: :Reg[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]""="@SYS:DoesNotExist" Ta edycja rejestru jest tym samym co wykonuje Computer Vaccination w Panda USB Vaccine. A nowy Avast dostarcza dodatkowe osłony trybu rzeczywistego i powinien się sprawdzić przy skanowaniu nośników USB. . Edytowane 29 Czerwca 2011 przez picasso 29.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi