stachu Opublikowano 16 Czerwca 2011 Zgłoś Udostępnij Opublikowano 16 Czerwca 2011 Proszę o wyrozumiałość Mam laptop Toshiba Rating 3,2 Procesor Intel Pentium Dual 1.73GHz Pamięć 2GB System tape 32 - bit Operating system Około tyg. temu złapałem wirus. Zaraz po tym czynność "mbam" szybki skan i wykrywa 12 trojanów ,marwale, itp. dalej usuń i automatyczny restart kompa.Po ponownym włączeniu zniknęła zawartość pulpitu i paska menu, dysk : C 20GB free of 90GB lecz żadnych folderów nie pokazuje. Spanikowałem Restart tryb awaryjny F8 i ponownie skan "mbam" lecz tu informacja o ponownej instalacji programu. Potwierdzam install a potem skan - nic nie znalazło a pulpit nadal pusty. Na pulpicie PPM opcja pokaż ikony na pulpicie. Udało się odzyskać połowę dalej foldery odblokuj ukryty i trochę wróciło. Wszystko dla mnie cenniejsze skopiowane na dysk : E i pendrive. wygląda dobrze ale coś mnie nie pokoji Skype cały czas "logowanie" Mozilla po wpisaniu strony przekierowuje mnie na hxxp: gameroom.com lub hxxp: 2c.findology.com. I tu zrobiłem błąd zapytałem o pomoc kolegę "Specialista" ponowna próba w trybie awaryjnym F8 nic nie zrobił dalej regedit.exe ale wygląda ok tzn explorer.exe i nic już nie wymyślił tylko "Combofix" skan znalazł wirusy ale nic z tym nie zrobił. Jak już się dowiedziałem z opisu z waszym dziale "Combofix-a" nie używać. Ponownie F8 i przywracanie systemu z przed dnia infekcji. Udało się pulpit wrócił , pasek menu ale programy nadal nie działają Skype nadal "Logowanie" , a potem informacja program przestał pracować poprawnie"mbam" informacja MBAM_ERROR_EXPANDING_VARIABLE(0,4530) potwierdzam "OK" i " Wystąpił błąd. Prosimy o przesłanie kodu błędu do naszego zespołu pomocy" MBAM_ERROR_MISSING_FILE(3,0, mbamswissarmy.sys)DVD Player nie odpowiada na komend. "Dr Web" - Pobieramy i Install , Skan znalazł 4 trojany [Test pamiêci] Proces w pamiêci: C:\Windows\explorer.exe:1988 zainfekowany wirusem BackDoor.Tdss.565 - zniszczony a w kwarantannie - discript.ion - ION File 27902aba49831 -File PREV_GoogleDesktopSetup.exe - Aplikacja I jeszcze żeby było tego mało wczoraj złapałem jakiś marwale który skanuje mi cały czas kompa i wyświetla informację że znalazło 27 wirusów i żebym kupił program antywirusowy za 70 $ Internet Explprer jak nie jest zablokowany to przekierowuje mnie na strony z grami online Proszę o wyrozumiałość i podanie brakujących informacji do udzielenia pomocy Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2011 Zgłoś Udostępnij Opublikowano 16 Czerwca 2011 [Test pamiêci] Proces w pamiêci: C:\Windows\explorer.exe:1988 zainfekowany wirusem BackDoor.Tdss.565 - zniszczony Wątpię czy "zniszczony". To jest rootkit, a wynik tu podany to tylko usunięcie działania rootkita z pamięci procesu powłoki, nietrwałe dopóki jest główne body. Proszę o wyrozumiałość i podanie brakujących informacji do udzielenia pomocy Niezbędne są logi z OTL + GMER. A skoro jest tu działanie rootkita TDL wyłowione, dorzuć log z Kaspersky TDSSKiller. Nic jeszcze w nim nie usuwaj, wszystkim wynikom przyznaj Skip i tylko zaprezentuj raport do oceny. . Odnośnik do komentarza
stachu Opublikowano 17 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Dziękuje za dalsze pokierowanie Oto logi OTL + GMER + TDSSKiller Czekam na kolejne instrukcje OTL.Txt GMER.txt TDSSKiller.2.5.5.0_17.06.2011_08.42.59_log.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2011 Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Nie usunąłeś sterownika emulacji SPTD (podstawa przed uruchomieniem GMER) zgodnie z ogłoszeniem KLIK: DRV - [2008-11-30 20:23:45 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Zaś infekcja TDL jest tu w postaci zarażonego sterownika systemowego volsnap.sys. Uruchom TDSSKiller ponownie, tym razem dla wyniku z volsnap.sys wybierz akcję Cure i zatwierdź restartem komputera. Po restarcie wykonaj nowe logi z GMER + TDSSKiller. Jeśli rootkit zostanie pomyślnie usunięty, zajmę się resztą zagadnień widoczną w OTL. Odnośnik do komentarza
stachu Opublikowano 2 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Przepraszam za tak długą przerwę - Planowany do bardzo długo urlop. Zrobiłem według instrukcji z usunięciem sterownika emulacji SPTD ale nie jestem pewien czy udało się. Dołączam logi Proszę o kolejne instrukcje jeśli znów jest coś żle lub czegoś brakuje. Z góry dzięki GMER.txt tdsskiller.log.txt Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2011 Zgłoś Udostępnij Opublikowano 4 Lipca 2011 Na podstawie najnowszych raportów GMER i TDSSKiller można wnioskować, że infekcja TDL została usunięta. Możemy się zająć mniejszymi wagowo wpisami widocznymi w ostatnim dostarczonym logu OTL, a m.in. są to obiekty po infekcji przejmującej EXE oraz mapowanie pozostałe po podpinaniu zarażonego urządzenia USB. 1. Pobierz najnowszą wersję OTL. Uruchom program i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\STACHU\AppData\Local\nsmzcnxp.exe C:\Users\STACHU\AppData\Local\Ngatozikequw.dat C:\Users\STACHU\AppData\Local\Uxogitih.bin C:\Users\STACHU\AppData\Local\y4051468i1onf8wyt6238hkv4850u8sc6c765hfp3un5n C:\Users\STACHU\AppData\Local\605mcc14d74nw837 C:\Users\STACHU\AppData\Local\05re0r73hpdmdp8g0u15a6u6kmy4 C:\Users\STACHU\AppData\Local\7d34t16snostcdvlr1fx05d0p28v406d1j3q6fah3hdl C:\Users\STACHU\AppData\Local\1W776Uj3GddX C:\ProgramData\y4051468i1onf8wyt6238hkv4850u8sc6c765hfp3un5n C:\ProgramData\605mcc14d74nw837 C:\ProgramData\05re0r73hpdmdp8g0u15a6u6kmy4 C:\ProgramData\7d34t16snostcdvlr1fx05d0p28v406d1j3q6fah3hdl C:\ProgramData\1W776Uj3GddX C:\ProgramData\40886008 C:\ProgramData\~40886008r C:\ProgramData\~40886008 C:\Users\STACHU\AppData\Roaming\AnVi C:\Users\STACHU\AppData\Roaming\Aske C:\Users\STACHU\AppData\Roaming\Hiuzz C:\Users\STACHU\AppData\Roaming\Yboxir C:\Users\STACHU\AppData\Roaming\Iggil C:\Users\STACHU\AppData\Roaming\lowsec C:\Users\STACHU\AppData\Roaming\36A4.1A3 C:\Users\STACHU\AppData\Roaming\kuhzmn.dat C:\Users\STACHU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Shield.lnk C:\Users\STACHU\AppData\Local\Temp(1937) C:\$RECYCLE(0).BIN :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: {3A149812-36FE-42BB-B813-DF39C3FA81E2}:1.9.1 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - No CLSID value found. O3 - HKU\S-1-5-21-408722605-22452316-1379768568-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-408722605-22452316-1379768568-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-408722605-22452316-1379768568-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - Startup: C:\Users\STACHU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZooskMessenger.lnk = File not found O33 - MountPoints2\{c355e430-745f-11dd-b592-001644d31fa1}\Shell\AutoRun\command - "" = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe O33 - MountPoints2\{c355e430-745f-11dd-b592-001644d31fa1}\Shell\open\command - "" = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe O35 - HKU\S-1-5-21-408722605-22452316-1379768568-1000..exefile [open] -- "%1" %* O37 - HKU\S-1-5-21-408722605-22452316-1379768568-1000\...exe [@ = exefile] -- "%1" %* @Alternate Data Stream - 48 bytes -> C:\Windows:638DB0F4890954A7 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{5EE769D8-A5AA-47FA-A0DF-7DD060BB23DD}C:\windows\explorer.exe"=- "TCP Query User{73CF5BB9-F9EF-4054-B448-77EEAE2175E2}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{1CFE2150-B31C-41D7-80FE-D6502CF46074}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{9BAB9BFB-37E9-42FA-BA42-E4F46F7683B1}C:\windows\explorer.exe"=- :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i automatycznie powinien się otworzyć log z wynikami skanowania. 2. Do oceny: nowy log z OTL z opcji Skanuj, log z usuwania z punktu 1 oraz log trybu skanu z AD-Remover. . Odnośnik do komentarza
stachu Opublikowano 10 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2011 Nowe logi do oceny z OTL Nie jestem pewien czy o to chodziło tzn log z usuwania z pt. 1 I log z Ad-remover Nie wiem czy to ważne ale pojawiło mi się kilka nowych folderów i plików lekko przyciemnionych Jeśli coś jest źle proszę o sprostowanie OTL.Txt log..txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2011 Zgłoś Udostępnij Opublikowano 11 Lipca 2011 Nie jestem pewien czy o to chodziło tzn log z usuwania z pt. 1 Prawidłowy log wstawiłeś. Nie wiem czy to ważne ale pojawiło mi się kilka nowych folderów i plików lekko przyciemnionych Procedury OTL przestawiają widoczność ukrytych plików, dlatego nagle ujrzałeś "blade". One nie pojawiły się, one już były w systemie. Widocznością takich obiektów steruje się za pomocą dwóch opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: Pokaż ukryte pliki i foldery + Ukryj chronione pliki systemu operacyjnego. Nic jednak ręcznie nie musisz wykonywać, gdyż finalizacja tematu zakłada skorzystanie z opcji sprzątającej w OTL, która resetuje te ustawienia na powrót do domyślnych ustawień Windows i ukryte znów przestaniesz widzieć. Jest dobrze. Zadanie ze skryptem prawidłowo wykonane i w nowych logach nic wielkiego już nie widzę. AD-Remover wykrył drobnostki, ale jak mówię to tylko drobnostki. Lecimy dalej: 1. Ostatnia poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\SOFTWARE\Mozilla\Firefox\Extensions] "{3A149812-36FE-42BB-B813-DF39C3FA81E2}"=- [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Fun Web Products] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\FunWebProducts] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\MyWebSearch] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FCBA2C7B-B038-412F-A12C-9FA7C8C49EB7}] :Files C:\Users\STACHU\AppData\Local\{3A149812-36FE-42BB-B813-DF39C3FA81E2} C:\Program Files\AskTBar C:\Users\STACHU\AppData\LocalLow\FunWebProducts C:\Users\STACHU\AppData\LocalLow\MyWebSearch Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Usuń używane narzędzia: uruchom Sprzątanie w OTL, co zlikwiduje kwarantannę programu oraz sam program jako taki z dysku. Opcja wymaga restartu. Odinstaluj AD-Remover. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Na wszelki wypadek przeskanuj ten system przez Kaspersky Removal Tool i podaj raport wynikowy. . Odnośnik do komentarza
stachu Opublikowano 12 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2011 (edytowane) dzięki skrypt wklejony. Sprzątanie w OTL zrobione. Wyczyść foldery Przywracania systemu - zrobione I raport z Kaspersky removal Już chyba zbliżamy się do końca lecz niepokoi mnie nadal kilka rzeczy np MBAM wystąpił błąd informacja MBAM_ERROR_EXPANDING_VARIABLE(0,453) i przy każdym włączeniu kompa info od Nero BackItUp object has failed. ERROR (-2147022808)The service cannot be started.... Może inne programy też mają podobne błędy z uruchomieniem. Zatem moje pytanie jak sobie z tym poradzić czy po prostu być cierpliwy bo do tego jeszcze dojdziemy. Edytowane 13 Lipca 2011 przez picasso Zbędny Załącznik usunięty. //picasso Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2011 Zgłoś Udostępnij Opublikowano 13 Lipca 2011 Ale mnie chodziło o raport z Kasperskiego zawężony tylko do konkretnych informacji tzn. przedstawiający wykryte zagrożenia / infekcje a nie całość. Bezużyteczne odczyty typu "OK" "Plik skompresowany" "Zahasłowane", a tylko takie są. Log usuwam. Jedna tylko uwaga, skasuj ten plik z dysku: 2011-07-11 21:06:16 Archive: InstallShield C:\Program Files\QuickMediaConverter\askToolbarInstaller.exe/data0000.res Plik askToolbarInstaller.exe to instalator śmiecia paskowego Ask Toolbar, dołączanego niestety do wielu programów, w tym tu widzianego QuickMediaConverter. A narzędzie Kaspersky Virus Removal możesz już odinstalować z systemu. MBAM wystąpił błąd informacja MBAM_ERROR_EXPANDING_VARIABLE(0,453) Spróbuj reinstalacji. Użyj narzędzie mbam-clean.exe, zainstaluj MBAM z nowego instalatora. przy każdym włączeniu kompa info od Nero BackItUp object has failed. ERROR (-2147022808)The service cannot be started.... Tak, bo usługa Nero BackItUp jest wyłączona (i to nie jest raczej pochodna infekcji): SRV - [2008-09-24 15:32:48 | 000,935,208 | ---- | M] (Nero AG) [Disabled | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator, dwuklik w tę usługę i Typ uruchomienia ustaw na Automatyczny. Zresetuj system. . Odnośnik do komentarza
stachu Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 Też mi się tak wydawało że o nie o to chodziło - mój błąd sorki Czy potrzebujesz jeszcze ten raport? Co do Plik askToolbarInstaller.exe czasem zainstaluje coś co nie jest potrzebne dzięki za pomoc w lokalizowaniu tego syfu :-) MBAM już działa , Nero tak samo DZIĘKI Jeśli coś jeszcze to proszę o instrukcję jeśli to wszystko to Bardzo Dziękuje i w jak można ci to wynagrodzić. Naprawdę fajna stronka można znaleźć tu dużo niezłych informacji. Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2011 Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Czy potrzebujesz jeszcze ten raport? Ależ nie. W nim po prostu nie ma wykrytych zagrożeń, co dałam już do zrozumienia. Jeśli coś jeszcze to proszę o instrukcję Tak, jeszcze mamy tu do wykonania przewidywane na finał operacje. 1. Aktualizacja oprogramowania. Spis Twoich programów: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 19"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish"7-Zip" = 7-Zip 4.57"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Google Chrome" = Google Chrome"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full) Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE. 2. W związku z kolejnymi zmianami konfiguracyjnymi jeszcze raz wyczyść foldery Przywracania systemu. 3. Dla własnego bezpieczeństwa zmień hasła logowań w serwisach. . Odnośnik do komentarza
stachu Opublikowano 15 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Kolejny raz dzięki zrobione wedle zaleceń. Nie sądziłem że ten komp będzie jeszcze działał jak dawniej. lol Co do tego "DAŁAM JUŻ DO ZROZUMIENIA" - ??????????? Jestem pod ogromnym wrażeniem "Picasso" kojarzy mi się z kimś innym :-) Jeśli mogę się jakoś odwdzięczyć to powiem że bardzo chętnie to zrobie! Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2011 Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Temat ukończony, zamykamy. Jeśli mogę się jakoś odwdzięczyć to powiem że bardzo chętnie to zrobie! Można wspomóc forum via system dotacji. Nie traktuj tej uwagi jako nacisk psychiczny. Jeśli ktoś może, miło mi. Jeśli nie może, nic się nie stanie. Pomocy i tak udzielam za darmo. . Odnośnik do komentarza
Rekomendowane odpowiedzi