MatiK Opublikowano 30 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Dostałem do naprawienia komputer który włączał się i po kilkudziesięciu sekundach uruchamiał się ponownie. Tryb awaryjny robił tak samo. Po drugim uruchomieniu udało mi się podejrzeć msconfig i zobaczyłem tam dużo podejrzanych wpisów. Skorzystałem sobie z OTLPE i udało mi się wygenerować log (w załączniku OTL1 i Extras1). Najpier usunąłem kilka plików ręcznie (konkretnie te C:\WINDOWS\update.2\svchost.exe -- (srviecheck) C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient) C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32) C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers) a potem przy pomocy OTL-a wykonałem skrypt który jest w załącznikach do postu nazwany skrypt1. Potem zrobiłem drugi skan (OTL2 i Extras2) poprawiłem wcześniejszą niedokładność skryptem2 i uruchomiłem ponownie komputer. Uruchomił się ładnie i pierwszą rzeczą którą zrobiłem to logi z OTL (OTL3 i Extras3) oraz GMER. Następnie użyłem MBAM i Kaspersky Virus Removal Tool które same pousuwały trochę rzeczy. Usunałem też katalog _OTL z dysku C. Następnie wykonałem kolejne skanowanie OTL (OTL4 i Extras 4) po którym uruchomiłem skrypt3. Na samym końcu odaliłem po raz kolejny OTL i ostateczny log który chciałbym aby został sprawdzony czy jest "czysty" to OTL5 i Extras 5. Oczywiście niezaktualizowane oprogramowanie zaktualizuję. OTL1.txtPobieranie informacji ... Extras1.txtPobieranie informacji ... skrypt1.txtPobieranie informacji ... skrypt1efekt.txtPobieranie informacji ... Extras2.txtPobieranie informacji ... skrypt2efekt.txtPobieranie informacji ... OTL3.TxtPobieranie informacji ... Extras3.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... mbam-log-2011-08-30 (12-47-07).txtPobieranie informacji ... OTL4.TxtPobieranie informacji ... Extras4.TxtPobieranie informacji ... skrypt3.txtPobieranie informacji ... skrypt3efekt.txtPobieranie informacji ... OTL5.TxtPobieranie informacji ... Extras5.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 30 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 W systemie była infekcja pochodząca z Facebooka. Najpierw sprostowanie w skrypcie 1, który był wykonywany - otóż poniższe pozycje nie powinny być usuwane. DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) O33 - MountPoints2\{d89dd366-9dd1-11e0-846b-0013e8980e35}\Shell - "" = Autorun [2011/01/02 07:08:44 | 000,081,920 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll [2011/01/02 07:08:44 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll "File not found" w powyższej grupie usług systemowych to normalne zjawisko i jest to jeden z wyjątków dlatego się tego nie rusza. Usługi te widziałeś dlatego, ze zaznaczyłeś w OTL pokazywanie na "Wszystko" zamiast na "Użyj filtrowania". Wpis O33 jest związany z autostartem urządzeń przenośnych i to tez się zostawia. Teraz poprawię po tobie i napiszę ci kolejny skrypt, który wyczyści resztę pozostałości po infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\5142376drv.spi C:\WINDOWS\unrar.exe C:\WINDOWS\geoiplist.rar C:\WINDOWS\info1 C:\WINDOWS\geoiplist C:\WINDOWS\System32\drivers\etc\hîsts :Services 5142376drv :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\services32.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :OTL O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
MatiK Opublikowano 30 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Tylko wydaje mi sie że było zaznaczone z filtrowaniem - chociaż mogę się mylić bo akurat ten był z OTLPE. Poniżej logi. log.txtPobieranie informacji ... OTL6.TxtPobieranie informacji ... Ad-Report-SCAN1.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 30 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Teraz wyczyszczone jak należy. Na koniec do wykonania parę rzeczy: 1. Użyj opcji Sprzątanie z OTL oraz Ad-Remover z opcji Clean. 2. Wykonaj koniecznie aktualizację IE do najnowszej wersji Internet Explorer 8. To ważne nawet jeśli z samej przeglądarki się nie korzysta, ale od niej zależy wiele w systemie. 3. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
MatiK Opublikowano 30 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Przywracanie było wyłączone, wszystko posprzątane i oczywiście zaktualizuję co się tylko będzie dało. Dziękuję bardzo za pomoc. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi