Vaterial Opublikowano 2 Lipca 2011 Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Witam, na wstępie chciałbym napisać, że nie jestem specem w tej dziedzinie, więc proszę o wyrozumiałość. Postaram się dość dokładnie przedstawić swój problem, może to jakoś pomoże. Moja "przygoda" z tym problemem zaczęła się 30 czerwca, tj. 2 dni temu. Wszedłem na jakąś nieznaną mi stronę w celu uzyskania pewnych informacji po czym wyskoczył mi komunikat XP Security 2012 o zagrożeniu. Następnie zaczęło się skanowanie systemu, po czym owy skaner wyświetlił paręnaście informacji o trojanach. Gdy chciałem wejść w jakąkolwiek przeglądarkę dostęp był zablokowany. Nie mogłem wyłączyć skanowania, program domagał się zapłacenia za pełną wersję. Z tego co pamiętam zrobiłem skan avastem, który wykrył trojana (o ile dobrze pamiętam) w pliku ebayshortcuts.exe, którego dał do kwarantanny. Jeżeli mnie pamięć nie myli były dwa wirusy, ale drugiego niestety nie pamiętam. Następnego dnia, gdy chciałem uruchomić system od samego progu przywitało mnie skanowanie dysku XP Security 2012. Nie mogłem nic zrobić (nie było nawet paska ze startem, sama tapeta i wirus). Przeczytałem na laptopie poradę by przywrócić system, w tym celu wszedłem w tryb awaryjny (na Administratora, nie swojego użytkownika, nie wiem czy popełniłem błąd) i cofnąłem system do 30 czerwca, godzina ok. 5 (wirusa złapałem po 18). Po resecie nie było już żadnego skanowania, jednak komputer wolno się wczytywał. System kazał mi również wybrać za pomocą czego ma otwierać plik rundll32.exe, nie wiedząc o co chodzi wybrałem notatnik, który później zamknąłem (był również inny plik systemowy, którego nazwy nie pamiętam.) Po chwili zorientowałem się, że żadne programy się nie wgrały (żadnych ikon w tray'u - brak m.in. GG, avasta). Gdy chcę otworzyć jakiś plik .exe wyświetla się opcja "Otwieranie za pomocą...". Nie mogę wejść w parę operacji systemowych (np. w godzinę, Dodaj/usuń programy, zapora systemu windows), wszędzie wyskakuje błąd z rundll32.exe. Po uruchomieniu Firefox'a (oczywiście przez "Otwieranie za pomocą") wywala błąd związany z Java, mimo jednak przeglądarka się włącza, następnie otwiera się pobieranie Firefoxa, jednak po naciśnięciu "anuluj" można wchodzić na strony. Reasumując problemy : - pliki .exe nie otwierają się prawidłowo - błąd związany z plikiem systemowym rundll32.exe - brak ładowania się programów przy starcie systemu P.S. Mam również problem z odinstalowaniem Daemon'a, za pierwszym razem gdy chciałem go odinstalować przez uninstall po podaniu ścieżki do .exe wprawdzie pasek odinstalowywania ruszył się (nie pamiętam czy doszedł do końca), jednak program wciąż jest, teraz unistall nie dodaje się do listy programów w "Otwieranie za pomocą...", więc nie mogę go wybrać. W "Dodaj/usuń programy" nie mogę wejść. Kolejnym kłopotem jest drugi krok, nie wiem jaką wersję ściągnąć SPTDinst, ponieważ nie pamiętam jaki mam system ("Właściwości" mojego komputera nie działają), ściągnąłem wprawdzie obie wersje, ale w jednej pokazuje się komunikat o błędnej aplikacji Win32 (ściągałem ok. 6-7 razy), a w drugiej mniej więcej coś takiego : "Usage: sptdinst action Installs/unistalls SCSI Pass Through Direct (SPTD) layer. Action must be 'add' or 'remove'. Z racji obecności tych problemów nie będę załączał loga z GMER'a. Poza tym widzę jakąś wzmiankę również w OTL o owym sterowniku SPTD. P.S.2 Przy skanie programem OTL odznaczyłem "Pomiń znane dobre pliki". (nie było o tym wzmianki w instrukcji). Pozdrawiam, Vaterial. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 2 Lipca 2011 Zgłoś Udostępnij Opublikowano 2 Lipca 2011 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\windows\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\krystek\Ustawienia lokalne\Dane aplikacji\2d1t64kx207hj8dco0onrqd1b2322ru6d65e84w C:\Documents and Settings\All Users\Dane aplikacji\2d1t64kx207hj8dco0onrqd1b2322ru6d65e84w :OTL FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=" [2011-03-31 07:59:05 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\krystek\Dane aplikacji\Mozilla\Firefox\Profiles\t0lccpmx.default\extensions\toolbar@ask.com [2010-11-29 22:39:55 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\krystek\Dane aplikacji\Mozilla\Firefox\Profiles\t0lccpmx.default\extensions\vshare@toolbar [2008-11-28 08:49:23 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\krystek\Dane aplikacji\Mozilla\Firefox\Profiles\t0lccpmx.default\searchplugins\ask.xml O4 - HKU\S-1-5-21-583907252-1060284298-839522115-1004..\Run: [] File not found O35 - HKU\S-1-5-21-583907252-1060284298-839522115-1004..exefile [open] -- "C:\Documents and Settings\krystek\Ustawienia lokalne\Dane aplikacji\qwf.exe" -a "%1" %* O37 - HKU\S-1-5-21-583907252-1060284298-839522115-1004\...exe [@ = exefile] -- "C:\Documents and Settings\krystek\Ustawienia lokalne\Dane aplikacji\qwf.exe" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj pasek sponsoringowy Ask Toolbar oraz wtyczkę wątpliwej reputacji vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
Vaterial Opublikowano 2 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Wykonane. Po resecie wyświetlił się log, nie wiem czy jest potrzebny, na wszelki wypadek również wrzucę. EDIT : Huh, zapomniałem napisać, że już na pierwszy rzut oka zaczęło działać. OTL.Txt 07022011_211605.txt Odnośnik do komentarza
Landuss Opublikowano 2 Lipca 2011 Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Wygląda na to, że infekcja została usunięta i problemy powinny minąć. Wykonaj pozostałe czynności: 1. Wklej do OTL taki końcowy skrypt: :OTL O3 - HKU\S-1-5-21-583907252-1060284298-839522115-1004\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1060284298-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1060284298-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O33 - MountPoints2\{5b7f1bb8-1930-11de-800a-001a9272e2f1}\Shell\AutoRun\command - "" = K:\xsia.bat O33 - MountPoints2\{5b7f1bb8-1930-11de-800a-001a9272e2f1}\Shell\open\Command - "" = K:\xsia.bat Klik w Wykonaj skrypt. Restartu teraz nie będzie a ty już logów nie pokazujesz. W zamian za to użyj opcji Sprzątanie z OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.2 - Polish "Mozilla Firefox (3.5.19)" = Mozilla Firefox (3.5.19) Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK Odnośnik do komentarza
Vaterial Opublikowano 2 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Zrobione. Wielki,wielkie dzięki. Jestem pod silnym wrażeniem. Pozdrawiam, wszystkiego dobrego. Odnośnik do komentarza
Rekomendowane odpowiedzi