damek Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Witam Dostałem komputer od kuzyna, który jest strasznie zaśmiecony, do tego brak możliwości uruchamiania plików EXE. Proszę o pomoc, poniżej logi. Z góry dziękuję za pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Tak, mamy tu infekcję przejmującą EXE. Będę także resetować plik HOSTS wprowadzony przez Spybota, bo tak ogromny plik ma skutki uboczne w zetknięciu z procesem cachowania DNS i może się męczyć svchost.exe. Zresztą sam Spybot to zdezelowany program. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKU\S-1-5-21-573312739-419828771-1311072155-1005..exefile [open] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\kii.exe" -a "%1" %* O37 - HKU\S-1-5-21-573312739-419828771-1311072155-1005\...exe [@ = exefile] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\kii.exe" -a "%1" %* O4 - HKU\S-1-5-21-573312739-419828771-1311072155-1005..\Run: [3480443423] File not found O4 - HKU\S-1-5-21-573312739-419828771-1311072155-1005..\Run: [NtWqIVLZEWZU] C:\Documents and Settings\user\Ustawienia lokalne\Temp\Gks.exe (Simon Tatham) O4 - HKU\S-1-5-21-573312739-419828771-1311072155-1005..\Run: [YDZ1QVAGOJ] C:\Documents and Settings\user\Ustawienia lokalne\Temp\Gkr.exe (Simon Tatham) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) [2011-07-19 17:36:36 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-07-19 17:35:04 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-06-28 17:16:37 | 000,016,228 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\qpo65e85cobqj1pcni02q1boh4cq5e0r7ss125v5m [2011-06-28 17:16:36 | 000,016,228 | -HS- | M] () -- C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qpo65e85cobqj1pcni02q1boh4cq5e0r7ss125v5m [2011-06-20 12:42:18 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job [2011-06-20 12:42:14 | 000,106,496 | RHS- | C] () -- C:\WINDOWS\System32\mciwavet.dll [2011-06-20 12:42:14 | 000,000,310 | -HS- | C] () -- C:\WINDOWS\tasks\zvwy.job :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien się otworzyć automatycznie log z wynikami usuwania. 2. Wygeneruj do oceny nowy log z OTL opcją Skanuj oraz zaległy GMER. Dołącz także log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
damek Opublikowano 19 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Załączam logi z OTL po uruchomieniu skryptu (nie wygenerował się plik Extras.txt). Log z GMERa dodam jak tylko ukończy skanowanie. Niestety nie mogę załączyć pliku wygenerowanego przez OTL natychmiast po restarcie (otrzymuję info z forum, że nie mam uprawnień ;/) dlatego wklejam jako kod: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-573312739-419828771-1311072155-1005_Classes\exefile\shell\open\command\\'' updated successfully. File "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\kii.exe" -a "%1" %* not found. Registry key HKEY_USERS\S-1-5-21-573312739-419828771-1311072155-1005_Classes\.exe\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-573312739-419828771-1311072155-1005_Classes\exefile\ deleted successfully. HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully! Registry value HKEY_USERS\S-1-5-21-573312739-419828771-1311072155-1005\Software\Microsoft\Windows\CurrentVersion\Run\\3480443423 deleted successfully. Registry value HKEY_USERS\S-1-5-21-573312739-419828771-1311072155-1005\Software\Microsoft\Windows\CurrentVersion\Run\\NtWqIVLZEWZU deleted successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temp\Gks.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-573312739-419828771-1311072155-1005\Software\Microsoft\Windows\CurrentVersion\Run\\YDZ1QVAGOJ deleted successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temp\Gkr.exe moved successfully. Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7} C:\WINDOWS\Downloaded Program Files\gp.inf not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found. C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully. C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\qpo65e85cobqj1pcni02q1boh4cq5e0r7ss125v5m moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qpo65e85cobqj1pcni02q1boh4cq5e0r7ss125v5m moved successfully. C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job moved successfully. C:\WINDOWS\system32\mciwavet.dll moved successfully. C:\WINDOWS\tasks\zvwy.job moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\ deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYFLASH] User: Administrator ->Flash cache emptied: 42059 bytes User: All Users User: Default User ->Flash cache emptied: 41946 bytes User: LocalService User: NetworkService User: user ->Flash cache emptied: 88717 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 185574 bytes ->Temporary Internet Files folder emptied: 2654488 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33597 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: user ->Temp folder emptied: 67606406 bytes ->Temporary Internet Files folder emptied: 101475220 bytes ->Java cache emptied: 2009056 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 558116 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 81920 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 167,00 mb OTL by OldTimer - Version 3.2.26.1 log created on 07192011_182123 Files\Folders moved on Reboot... C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YE43CVC7\search[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\R2P58OBL\iframeproxy-6[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\NU1QWQS8\page__p__318[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\NU1QWQS8\pixeling-0.2.min[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HTJFS5UU\3855-wybierz-program-ktorego-chcesz-uzyc[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HTJFS5UU\4775-infekcja-exe-prawdopodobnie-sporo-dodatkowego-syfu[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HTJFS5UU\iu[1].htm moved successfully. C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HTJFS5UU\prod-am[1].htm moved successfully. Registry entries deleted on Reboot... OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Skrypt prawidłowo wykonany, teraz EXE już powinny działać. Załączam logi z OTL po uruchomieniu skryptu (nie wygenerował się plik Extras.txt). Brak uwagi przy konfiguracji. OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a "Użyj filtrowania" to opcja odpowiedzialna za tworzenie Extras. Ale ja tu wcale nie proszę po raz drugi o Extras, gdyż ten fragment raportu nic już nie wniesie do sprawy. Wystarczy mi on pokazany tylko raz. Niestety nie mogę załączyć pliku wygenerowanego przez OTL natychmiast po restarcie (otrzymuję info z forum, że nie mam uprawnień ;/) W zasadach działu jest napisane, że Załączniki przyjmują tylko rozszerzenie *.TXT a nie *.LOG. Zmieniłbyś nazwę pliku, dołączyłby się. Poza tym, wklejenie go do posta jest OK, jest na tyle krótki, że nie burzy to porządku rzeczy. Log z GMERa dodam jak tylko ukończy skanowanie. Tak więc czekam na ten log. Dołącz go w poście wyżej, a ja tu swój post zedytuję i podam kolejne instrukcje. EDIT: Log dodany i jest OK. Idziemy dalej: 1. W OTL użyj Sprzątanie, co usunie z dysku kwarantannę OTL z trojanami oraz sam program jako taki. Funkcja wymaga restartu. 2. Przeskanuj system przez Malwarebytes' Anti-Malware i zaprezentuj wynikowy raport. . Odnośnik do komentarza
damek Opublikowano 19 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2011 2. Przeskanuj system przez Malwarebytes' Anti-Malware i zaprezentuj wynikowy raport. Dzięki za szybką odpowiedź, załączam log. mbam-log-2011-07-19 (20-54-00).txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 1. Wszystko co zostało wykryte przez program MBAM usuń za pomocą tego programu. To są składniki infekcji o której tu rozważamy. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Aktualizacje oprogramowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Gadu-Gadu" = Gadu-Gadu 7.7"KLiteCodecPack_is1" = K-Lite Codec Pack 7.1.0 (Full)"McAfee Security Scan" = McAfee Security Scan Plus"ShockwaveFlash" = Adobe Flash Player 9 ActiveX"Spyware Doctor" = Spyware Doctor 7.0 - Oprogramowanie zabezpieczające: nie ma tu żadnego antywirusa. Spyware Doctor jest w starszej wersji (aktualna to 8). Zaś Spybot, który - jak punktowałam - jest po prostu przestarzały, do deinstalacji. Również proponuję usunięcie McAfee Security Scan Plus, który jak przypuszczam nie był instalowany celowo tylko jako konsekwencja nie odznaczenia tego w którejś z paczek Adobe. Zostaw za to MBAM, bardzo dobry program do skanów na żądanie. - Pozostałe wyróżnione aplikacje do aktualizacji: INSTRUKCJE. - Kuzyna namów na wymianę przestarzałego GG7 alternatywą. Ni to bezpieczne, ni to sprawne. W temacie Darmowe komunikatory są opisane liczące się na dzień dzisiejszy alternatywy: AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW, który dobrze obsługuje sieć Gadu i cechy GG10, umie importować archiwum Gadu, nie ma reklam i jest portable. . Odnośnik do komentarza
damek Opublikowano 20 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2011 Dzięki wielkie za pomoc, czy możesz polecić jakiś program do ciągłej ochrony oprócz Spyware Doctor? Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2011 Zgłoś Udostępnij Opublikowano 20 Lipca 2011 Po wstawieniu antywirusa w zasadzie Spyware Doctor (i tak nie jest to najnowsza wersja) kwalifikuje się do eliminacji, gdyż rozmnożą się osłony rezydentne, a też aktualnie antywirusy adresują "spyware". Patrząc na darmowe, zaproponowałabym Avast. Wielopłaszczyznowa osłona rezydentna. Odnośnik do komentarza
damek Opublikowano 20 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2011 Spyware Doctor już wyrzuciłem wczoraj, dlatego w tej chwili nie ma nic. A czy polecasz Internet Comodo Security, z niego korzystam na swoich komputerach? Jeszcze raz dzięki za pomoc. Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2011 Zgłoś Udostępnij Opublikowano 20 Lipca 2011 (edytowane) A czy polecasz Internet Comodo Security, z niego korzystam na swoich komputerach? Też w porządku. Wychodzę z założeń, że oprogramowanie ochronne może być dobrane dowolnie, pod warunkiem, że: jest to marka dobrze znana, użytkownik potrafi obsłużyć program (w przeciwnym wypadku nic mu nie pomoże nawet najbardziej wysublimowane zabezpieczenie, skoro nie rozumie z tego nic a nic). Edytowane 20 Sierpnia 2011 przez picasso 20.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi