Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

2 problemy [ Jestem zielony :-( ]

Koks

Przez Koks
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Wg raportu ComboFix sobie poradził tylko z podmianą pliku svchost.exe, ale pozostał jeszcze explorer i userinit:

 

c:\windows\system32\userinit.exe . . . jest zainfekowany!!
.
Zainfekowana kopia c:\windows\system32\svchost.exe została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\system volume information\_restore{9381EAFF-7EE0-442E-AB58-F287D6233571}\RP14\A0014332.exe 
.
c:\windows\explorer.exe . . . jest zainfekowany!!

Wg spisu Combofix jest więcej plików wyglądających albo na uszkodzone leczeniem albo na zainfekowane (niestety pokłosie infekcji Virut), ale podmieniam tylko pliki kluczowe. Reszta zostanie nadpisana potencjalną aktualizacją SP3, ale tej aktualizacji - jak mówiłam - teraz nie zadaję ze względu na złe warunki systemowe.

 

 

1. Pobierz świeże pliki: KLIK. Utwórz katalog C:\Pliki i w nim ulokuj pobrane i rozpakowane pliki z linka.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\pliki\userinit.exe | c:\windows\system32\dllcache\userinit.exe
C:\pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe
C:\pliki\userinit.exe | c:\windows\system32\userinit.exe
C:\pliki\explorer.exe | c:\windows\explorer.exe
 
NetSvc::
wyqakuge
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

3. Zaprezentuj: log wygenerowany operacją ComboFix + nowy log z GMER.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wygląda jakby lepiej .... Tzn. nie widzę ani w ComboFix ani w GMER zainfekowanych plików podstawowych i hooków charakterystycznych dla infekcji Virut. W ComboFix są jeszcze pliki Microsoftu bez sygnatury, albo uszkodzone albo zarażone, ale tymi plikami się zajmę potem.

 

1. Odinstaluj ComboFix, w Start > Uruchom > wklejając komendę:

 

"c:\documents and settings\Pawel\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

2. W OTL uruchom funkcję Sprzątanie, co zlikwiduje z dysku kwarantannę OTL oraz program jako taki.

 

3. Kolejne obowiązkowe skanowania dla potwierdzenia, że nie są znajdowane zarażone pliki: najpierw użyj ponownie VirutKiller, gdy ukończy rób pełny skan całego dysku w Kaspersky Virus Removal Tool. Z Kasperskiego jak poprzednio: zapisz raport i go pokaż, o ile coś będzie wykryte.

 

 

 

 

.

Odnośnik do komentarza
Koks

Koks

Opublikowano
  • Autor
Opublikowano

kurde jeszcze raz skanuje za pierwszym razem dałem coś i sie komp ponownie uruchomił. Wl sie Kaspersky ale skanowanie sie zakończyło nie wiem dlaczego. Wcześniej tak sie nie robiło. Ale przy 25% wtedy co sie wl to zapisałem log.

 

Status: Quarantined   (events: 2)

2011-07-27 16:05:10 Quarantined virus HEUR:Virus.Win32.Generic C:\WINDOWS\system32\logonui(2).exe High

2011-07-27 16:15:28 Quarantined virus HEUR:Virus.Win32.Generic D:\programy\GoldWave\GoldWave.exe High

Status: Disinfected (events: 1)

2011-07-27 16:06:37 Disinfected virus Virus.Win32.Virut.ce C:\WINDOWS\system32\userinit.exe High

Status: Detected (events: 1)

2011-07-27 16:15:10 Detected virus HEUR:Virus.Win32.Generic D:\programy\Ivona_Rehab-1.0\TesterSAPI.exe High

Odnośnik do komentarza
Koks

Koks

Opublikowano
  • Autor
Opublikowano (edytowane)

Za 2 razem 2 infekcje:

 

Status: Quarantined   (events: 2)

2011-07-27 17:24:08 Quarantined virus HEUR:Virus.Win32.Generic D:\System Volume Information\_restore{9381EAFF-7EE0-442E-AB58-F287D6233571}\RP17\A0015732.exe High

2011-07-27 17:24:24 Quarantined virus HEUR:Virus.Win32.Generic D:\System Volume Information\_restore{9381EAFF-7EE0-442E-AB58-F287D6233571}\RP17\A0015733.exe High

 

Skanuje jeszcze raz. Sukces! zero zainfekowanych :-)

Edytowane przez picasso
Posty połączone. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skoro tak, przejdź do tej części:

 

1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Pobierz z linków i zainstaluj: Service Pack 3 + Internet Explorer 8. Po tych uzupełnieniach wejdź na Windows Update i załaduj wszystkie krytyczne łatki wydane po czasie SP3.

 

4. Wszystkie programy, które nie działają po leczeniu Virutem, należy przeinstalować z nowopobranych instalek.

 

5. Zgłoś się tu z podsumowaniem akcji.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Lipa1 mówiłam: jeśli nikt pod Tobą nie odpisał jeszcze, zamiast pisać w ciągu 2 / 3 / X ... postów, używaj funkcję "Edytuj". Znów posty łączę. Nowe odpowiedzi są za to naturalne, gdy już pojawia się mój post i Ty nań odpowiadasz.

 

 

Jak to zrobić?

 

Najpierw masz wykonać wszystkie operacje z punktów 1 + 2, następnie masz zainstalować SP3 + IE8 z podanych linków. I dopiero po tym otwierasz stronę Windows Update, strona ta sama przeskanuje komputer, wykryje że jest SP3 zainstalowany i podstawi odpowiednie linki brakujących aktualizacji.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Jak włączam komputera to wyskakują jakieś okienka

 

Niestety ... to jest wpis trojana / keyloggera, którego tu usuwałam już dwa razy (napierw w katalogu install był server.exe, potem winupdate.exe, a teraz znów to wróciło). Lipa1 pytam się: czy w międzyczasie nie uruchamiałeś jakiś gier / botów / cracków?

 

Zaczynamy od początku: komplet świeżych logów z OTL i GMER .... I ja powoli przymierzam się do sformatowania systemu, bo widzę słabą skuteczność moich działań.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
włączałem 2 boty ale wcześniej je skanowałem

 

Zapomnij o tych botach, są zaprawione keyloggerem / trojanem. Którym skanerem się posługiwałeś? Skaner nie daje żadnej gwarancji i nie wszystko może rozpoznać. W temacie tu wyszło, że wszystkie pobrane przez Ciebie "dodatki" okazały się infekcjami (tak prawił Kaspersky). Nie wiem które boty teraz załadowałeś, ale definitywnie to pliki dla naiwnych, by wprowadzić trojana w system. Usuwam w kółko tego samego trojana, już po raz trzeci. Za czwartym razem odmówię, bo to nie ma żadnego sensu.

 

Co jeszcze widzę w raporcie: patrząc na spis OTL Exras wygląda, że instalacja SP3 wcale nie nadpisała wszystkich plików Microsoftu. Plik maszyny skryptowej (WScript.exe) jest pozbawiony sygnatury MS. Brakuje także pliku Buforu drukarki. W gruncie rzeczy logi są dość mocno limitowane i ja nie wiem ile szkód po Virucie jest, a zgłaszasz niepokojącą rzecz o jakiś niebieskich ekranach ...

 

 

1. Pobierz nowe pliki: KLIK. Jak poprzednio, wypakuj je do katalogu C:\Pliki.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\dllcache\wscript.exe|C:\Pliki\wscript.exe /replace
C:\WINDOWS\System32\dllcache\spoolsv.exe|C:\Pliki\spoolsv.exe /replace
C:\WINDOWS\System32\wscript.exe|C:\Pliki\wscript.exe /replace
C:\WINDOWS\System32\spoolsv.exe|C:\Pliki\spoolsv.exe /replace
C:\WINDOWS\install
C:\Documents and Settings\Pawel\Dane aplikacji\chrtmp
C:\Documents and Settings\Pawel\Dane aplikacji\Pawellog.dat
C:\Documents and Settings\Pawel\.IBot
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HKCU"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HKLM"=-
 
:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (block_reader)
DRV - File not found [Kernel | Unknown | Running] --  -- (30140786)
DRV - File not found [File_System | Unknown | Running] --  -- (2809484drv)
O4 - Startup: C:\Documents and Settings\Pawel\Menu Start\Programy\Autostart\_uninst_59038325.lnk =  File not found
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Znajoma sekwencja: system będzie restartował i otrzymasz log.

 

3. Przejdź do Dodaj / Usuń programy i odinstaluj YouTube Downloader Toolbar. To była zaległa drobnostka wspominana w moim pierwszym poście.

 

4. Wygeneruj nowy log z OTL, ale zaznacz Pomiń pliki Microsoftu, gdyż tych danych już nie potrzebuję. Dołącz też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadanie się wykonało. Niby wygląda dobrze, ale powtarzam raz jeszcze: to co pobrałeś było spreparowane.

 

1. Dokasuj z dysku przez SHIFT+DEL wszystkie boty, które pobierałeś.

 

2. Sprawdź czy masz aktualną wtyczkę Flash otwierając po kolei w przeglądarkach Internet Explorer + Opera tę stronę: Find Flash Player version. Najnowszą wersję Flash pobierzesz z tego linka: KLIK (link należy otworzyć po kolei w przeglądarce Internet Explorer + Opera, gdyż są podawane inne instalatory dla tych przeglądarek).

 

3. Widzę w OTL Extras, że Przywracanie systemu ma wyłączony sterownik. Korzystając z instrukcji czyszczenia folderów Przywracania systemu (KLIK) spróbuj Przywracanie włączyć (zapewne będzie to wymagać restartu).

 

4. Zainstaluj pełną ochronę. Za darmo proponuję Avast. Wykonaj nim od razu pełne skanowanie systemu.

 

Podsumuj co się dzieje w systemie.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...