Problem z plikami exe / XP Security

[adi245]

Witam

 

Wszedłem na jakąś nieznaną mi stronę w celu uzyskania pewnych informacji po czym wyskoczył mi komunikat XP Security 2012 o zagrożeniu. Następnie zaczęło się skanowanie systemu, po czym owy skaner wyświetlił paręnaście informacji o trojanach. Gdy chciałem wejść w jakąkolwiek przeglądarkę dostęp był zablokowany. Nie mogłem wyłączyć skanowania, program domagał się zapłacenia za pełną wersję. Z tego co pamiętam zrobiłem skan nodem32, który wykrył trojana i go usunal. Gdy chcę otworzyć jakiś plik .exe wyświetla się opcja "Otwieranie za pomocą...". Nie mogę wejść w parę operacji systemowych (np. w godzinę, Dodaj/usuń programy, zapora systemu windows), wszędzie wyskakuje błąd z rundll32.exe. Po uruchomieniu Firefox'a (oczywiście przez "Otwieranie za pomocą") wywala błąd związany z Java, mimo jednak przeglądarka się włącza, następnie otwiera się pobieranie Firefoxa, jednak po naciśnięciu "anuluj" można wchodzić na strony. Piszac tego posta korzystalem z innego ale z tym samym problem i sobie nie poradzielm z rozwiazaniem. Bardzo prosze o pomoc. dolaczam pliki OTL. Pozdrawiam. Adrian

 

Reasumując problemy :

- pliki .exe nie otwierają się prawidłowo

- błąd związany z plikiem systemowym rundll32.exe

OTL.Txt

Extras.Txt

[picasso]

Hiszpański Windows, więc zgodnie z locale opcje OTL chyba widzisz po hiszpańsku. W instrukcjach podaję polskie nazwy opcji, licząc iż dopasowanie odpowiedników językowych z Twojej strony to żadna trudność.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O4 - HKCU..\Run: [1312587189]  File not found
O35 - HKCU\..exefile [open] -- "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\qki.exe" -a "%1" %*
O37 - HKCU\...exe [@ = exefile] -- "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\qki.exe" -a "%1" %*
[2011/07/27 19:12:41 | 000,014,972 | -HS- | M] () -- C:\Documents and Settings\All Users\Datos de programa\2gnw7v2q8ho1rs0ua554pmj7srk
[2011/07/27 19:12:41 | 000,014,972 | -HS- | M] () -- C:\Documents and Settings\Administrador\Configuración local\Datos de programa\2gnw7v2q8ho1rs0ua554pmj7srk
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie powinien się otworzyć log z wynikami usuwania.

 

2. Pliki EXE zaczną działać, ustąpią też błędy rundll32. Możesz w komfortowy sposób przeprowadzić deinstalację śmieci w Dodaj / Usuń programy. Chodzi o sponsoringowe Conduit Engine, DVDVideoSoftTB Toolbar, softonic.com4 Toolbar. Dodatkowo odinstaluj zbędny Akamai NetSession Interface.

 

3. Dostarcz do oceny log z wynikami usuwania pozyskany w punkcie 1 oraz zrobione na świeżo: log z OTL z opcji Skanuj (Extras mi już niepotrzebny), log z AD-Remover trybu skanowania oraz zaległy log z GMER. Przeszkoda dla GMER to sterowniki emulacji napędów wirtualnych i zablokowany przez nie systemowy atapi.sys:

 

DRV - [2009/09/08 17:53:34 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2004/04/30 09:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\a347bus.sys -- (a347bus)
DRV - [2004/04/30 09:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\a347scsi.sys -- (a347scsi)
DRV - [2008/04/13 22:10:32 | 000,096,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\atapi.sys -- (atapi)

By dało się uruchomić GMER, należy wykonać kroki opisane w ogłoszeniu KLIK. Czyli: całkowita deinstalacja programów emulujących napędy oraz spożycie narzędzia SPTDinst.

 

 

 

.

[adi245]

Dzieki za pomoc, w zalaczniku wysylam log z wynikami usuwania pozyskany w punkcie 1 oraz zrobione na świeżo: log z OTL z opcji Skanuj. Niestety jestem zielony jesli chodzi o komputer i nie wiem jak zrobic log z AD-Remover trybu skanowania oraz zaległy log z GMER.

OTL.Txt

07282011_191546.txt

[picasso]

Niestety jestem zielony jesli chodzi o komputer i nie wiem jak zrobic log z AD-Remover trybu skanowania oraz zaległy log z GMER.

 

Przecież instrukcje są podane.... Klikasz w niebieskie linki i w tematach wszystko jest opisane w sposób szczegółowy. Proszę uzupełnij te dane.

[adi245]

Sorki, nie zauwazylem. Reszta danych:

gmer.txt

Ad-Report-SCAN1.txt

[picasso]

Mowiłam, by przed uruchomieniem GMER ściągnąć emulatory wirtualnych napędów .... Raport z GMER wykazuje, że to się nie stało. O ile już tego GMERa zostaw w spokoju, to ja i tak zalecam całkowite wywalenie aktualnej wersji DAEMON Tools z systemu. Jest to przestarzała wersja posługująca się archaicznymi sterownikami z roku 2004, które blokują systemowy atapi.sys. Potencjalne problemy, które mogą z tego wynikać: KLIK / KLIK.

 

DRV - [2004/04/30 09:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\a347bus.sys -- (a347bus)
DRV - [2004/04/30 09:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\a347scsi.sys -- (a347scsi)
DRV - [2008/04/13 22:10:32 | 000,096,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\atapi.sys -- (atapi)

 

Przechodząc do aspektów infekcji: skrypt się wykonał prawidłowo, jedynie szczątki adware zostały do usunięcia.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Conduit
C:\Archivos de programa\Conduit
C:\Documents and Settings\Administrador\Datos de programa\PriceGong
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\17d47058-c164-47b7-b642-d42848fd5bdb]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{89541520-2D31-11D2-A166-0060081C43D9}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{8954152E-2D31-11D2-A166-0060081C43D9}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2269050]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2431232]
[-HKEY_CURRENT_USER\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\Toolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
"{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}"=-

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Do oceny wystarczy mi tylko log z wynikami usuwania.

 

 

 

 

.

[adi245]

dzieki bardzo zalaczam log

07292011_095556.txt

[picasso]

Kończymy:

 

1. Usuń odpadki po używanych narzędziach: odinstaluj AD-Remover + zastosuj Sprzątanie w OTL.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE

 

3. Aktualizacje:

 

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6
"{375943E2-B268-4AD7-B7A4-0FD90E9C2AC7}" = Skype™ 3.2
"{86A6E235-C08F-4A14-B14C-793C7D8844A0}" = ESET NOD32 Antivirus
"{AC76BA86-7AD7-1034-7B44-A81000000003}" = Adobe Reader 8.1.0 - Español
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Eset NOD32 v3.0.642 FiX1.2 by TemDono_is1" = NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up 

- Antywirus ESET jest tu w starej (i to jeszcze scrackowanej) wersji. Rozważ wymianę na coś nowocześniejszego.

- Przypominam też o sfatygowanym DAEMON Tools.

- Wszystkie pozostałe wyliczone do aktualizacji: INSTRUKCJE.

 

 

 

 

.

[adi245]

Jeszcze raz wielkie dzieki za pomoc. Jestem pod wrazeniem uratowalas mi zycie! Pozdrawiam.