karczo Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Witam. Mam następujący problem. Mój kuzyn dał mi komputer do przeinstalowania systemu, ponieważ bardzo wolno chodzi i się zawiesza. Czasami wyskakuję bluescreen, innym razem zawiesza system i resartuje się. Przeskanowałem system programem DrWeb LiveCD 6.00 i znalazłem ponad 100 zainfekowanych plików przez: - Tool.BtcMine - Trojan.BtcMine - Vk.Base - Trojan.Download - Trojan.Downloader Program usunął potencjalne zagrożenia, ale przy ponownym skanowaniu (około 11 godzin!), wyszukał kolejne... U mnie komputer jest od 48 godzin i rzeczywiście szybkością działania nie zachwyca. Duże opóźnienia w uruchamianiu się aplikacji oraz działaniu całości. Zaobserwowałem również problemy z wczytywaniem się niektórych stron internetowych. Infekcja prawdopodobnie zaczęła się od zainstalowania zainfekowanego programu lub gry od znajomego, jednak nie udało mi się ustalić dokładnie która z aplikacji spowodowała infekcję. Na komputerze nie było żadnego akrtywnego programu Antywirusowego. Był zainstalowany Avast, jednak był wyłączony. Proszę o pomoc w usunięciu problemów. Załączam logi z GMER i OTL. Pozdrawiam i z góry dziękuję za pomoc GMER.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Rzeczywiście jest tutaj infekcja pochodząca z Facebooka. To łatwo usunąć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\*.jpg C:\Program Files\*.jpeg C:\WINDOWS\update* C:\WINDOWS\av_ico C:\WINDOWS\ufa C:\WINDOWS\rpcminer C:\WINDOWS\phoenix C:\WINDOWS\info1 C:\WINDOWS\unrar.exe C:\WINDOWS\phoenix.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\tasks\Norton Security Scan for dd.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :OTL SRV - File not found [Auto | Stopped] -- -- (wxpdrivers) SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32) SRV - File not found [Auto | Stopped] -- -- (srviecheck) SRV - File not found [Auto | Stopped] -- -- (srvbtcclient) SRV - File not found [Auto | Stopped] -- -- (ddservice) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110319084849062&tb_oid=19-03-2011&tb_mrud=19-03-2011&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18047&q=" [2011-08-21 08:28:12 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-03-19 17:28:44 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\aol-web-search.xml [2011-03-05 20:03:57 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\askcom.xml [2011-06-07 13:44:45 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [1683263.exe] File not found O4 - HKLM..\Run: [1731917.exe] File not found O4 - HKLM..\Run: [7200222.exe] File not found O4 - HKLM..\Run: [7360995.exe] File not found O4 - HKLM..\Run: [75623956-loader2.exe] File not found O4 - HKLM..\Run: [8630967.exe] File not found O4 - HKLM..\Run: [avast] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [KMCONFIG] File not found O4 - HKLM..\Run: [l1rezerv.exe] File not found O4 - HKLM..\Run: [sysdriver32.exe] File not found O4 - HKLM..\Run: [sysdriver32_.exe] File not found O4 - HKLM..\Run: [systemup] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico0] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [wxpdrv] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj stamtąd zbędne pozycje - Akamai NetSession Interface / Babylon toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
karczo Opublikowano 28 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Witam. Wykonałem podane kroki, załączam logi z OTL i AD-Remover. Pozdrawiam. OTL.TxtPobieranie informacji ... Ad-Report-SCAN1.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Wszystko ładnie zeszło. Wykonaj jeszcze jeden skrypt już kosmetyczny do OTL: :Files C:\WINDOWS\System32\drivers\etc\hîsts C:\Documents and Settings\dd\Dane aplikacji\OpenCandy C:\Documents and Settings\dd\Ustawienia lokalne\Dane aplikacji\OpenCandy :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. Do obejrzenia dajesz już tylko log z usuwania OTL i z Ad-Remover. Odnośnik do komentarza
karczo Opublikowano 29 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2011 Witam. Skrypt do OTL wykonany. Przesyłam logi z OTL i AD-R. Pozdr. 08292011_164057.txtPobieranie informacji ... Ad-Report-SCAN2.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 29 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2011 W porządku, infekcja w całości została usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Otwórz Google Chrome > Narzedzia > Rozszerzenia i usuń stamtąd szczątek po babylon Toolbar: Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) 3. Zaktualizuj Internet Explorer, Firefox i Java: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. . Odnośnik do komentarza
karczo Opublikowano 30 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Oczyszczanie wykonałem, pozostały już tylko aktualizacje. Dziękuję za pomoc i pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi