mirekga Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Witam Mam problem z komputerem który objawia się przez samoistne resety komputera (zapobiec temu można przez odłączenie komputera od internetu podczas włączania komputera). Kolejną rzeczą są okienka które same się otwierają i mają nazwy hello4 oraz blank window2 (przez te okienka nie da się "Uruchomić ponownie komputera, ponieważ ciągle wyskakujące okienka uniemożliwiają zamknięcie systemu). Do tego wszystkiego dochodzi strasznie wolna praca komputera. Prosiłem o radę na innym forum ale po zastosowaniu porady nic się raczej nie zmieniło. Dołączam wymagane logi z OTL oraz GMER. Link do tematu z forum pclab GMER OTL Dodam, że komputer był saknowany przez mks_vir online oraz Avire. Tylko ten drugi coś wykrył, jednak nie da się uruchomić painta żeby wkleić screen z raportem o wirusie. Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Na forum pclabu kompletnie sobie z tym problemem nie radzą więc nie warto tam prosić o pomoc. A sprawa jest jasna - "Hello4" oraz "Blank Widow2" to oznaki rootkita w MBR. Pierwsze co wykonaj to skan narzędziem Kaspersky TDSSKiller. Kiedy wykryje rootkita TDL kliknij w opcję Cure. Wklej z niego wynikowy raport. Przy okazji logi z OTL mają być dwa. Podczas skanu zaznacz opcję"Rejestr - skan dodatkowy" na "Użyj filtrowania". Dołącz ten drugi log ekstras w kolejnym poście wraz z nowym logiem z Gmer. Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 Wszystko zrobione według instrukcji. Nowe logi: GMER OTL EXTRAS Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Nie dałeś jeszcze raportu z Kasperskyego, ale sądząc po Gmerze operacja się wykonała. Teraz można przejść do dalszych działań. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\Temp\udpmpv C:\Documents and Settings\Mirek\hoihaz.exe C:\Documents and Settings\Mirek\reetx.exe C:\Documents and Settings\Mirek\lorot.exe C:\Documents and Settings\Mirek\jot.exe C:\Documents and Settings\Mirek\good.exe C:\Documents and Settings\Mirek\woh.exe C:\Documents and Settings\Mirek\baukap.exe :Services AntiVirService AntiVirSchedulerService AMService :OTL [2011-04-23 10:59:53 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Mirek\Dane aplikacji\Mozilla\Firefox\Profiles\nuvv35dp.default\extensions\DTToolbar@toolbarnet.com O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [PowerBar] File not found O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [zouat] C:\Documents and Settings\Mirek\zouat.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Logitech SetPoint.lnk = File not found O20 - Winlogon\Notify\jamirte: DllName - (C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\jamirte.dll) - File not found @Alternate Data Stream - 24 bytes -> C:\WINDOWS:8803E0D5CBAB1627 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan. Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 Niestety ad-remover'em zatrzymuje się na 90% i dalej program nie odpowiada Log po usuwaniu OTL OTL EXTRAS ad-remover mimo iż program wydaje się nie odpowiadać po 90%, to utworzył logi. cały czas mrygają jakieś okienka. Niestety dzieje się to tak szybko, że nie da się przeczytać to jest. Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 W takim razie użyj Ad-Remover z opcji Clean, a potem wykonaj jeszcze raz ze skanowania. Jesli chodzi o logi z OTL nadal widać infekcję i musisz wykonać kolejny skrypt o takiej zawartości: :Files C:\Documents and Settings\Mirek\buegie.exe C:\Documents and Settings\Mirek\vuogit.exe C:\Documents and Settings\Mirek\jot.exe C:\Documents and Settings\Mirek\pwil.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\3HSatM.dat :OTL O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [PKTray] C:\Program Files\Przyspiesz Komputer\PKTray.exe File not found O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [qavez] C:\Documents and Settings\Mirek\qavez.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Password .lnk = File not found O4 - Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Password .lnk = File not found :Commands [emptytemp] Do obejrzenia dajesz nowe logi z OTL i Ad-Remover. Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 ad-remover przy opcji clean tylko pokazuje wiadomość, że pozamyka programy, żeby dalej kontynuować, a później nie odpowiada. log z usuwania otl OTL EXTRAS log z ad-remover po 90% jakieś okienka nadal mrygają. komputer ma problemy żeby się uruchomić ponownie. Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Właśnie niedawno doszliśmy tutaj do wniosku, że przy tej infekcji jest zainfekowany cały autostart dlatego nadal masz problemy. W takim wypadku musisz uruchomić ComboFix i wkleić wynikowy log. Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 log z combofix Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Według spodziewań jest infekcja autostartu. Wklej do notatnika ten tekst: RenV:: c:\program files\Ahead\InCD\InCD .exe c:\program files\ALLPlayer\ALLUpdate .exe c:\program files\Avira\AntiVir Desktop\avgnt .exe c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe c:\program files\Common Files\Java\Java Update\jusched .exe c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ .exe Driver:: 93866994 mv91xx Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Dajesz wynikowy log z ComboFix. Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 log z combofix Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Jeden z plików nie został jeszcze naprawiony nie wiem dlaczego, ale wcześniej nie zauważyłem w logu, że systemowy plik sfcfiles.dll wygląda na zainfekowany. Plik trzeba podmienić. 1. Pobierz oryginalny plik pod XP SP3: KLIK Plik umieść bezpośrednio na dysku C:\ 2. Otwórz Notatnik i wklej w nim ten tekst: FCopy:: c:\sfcfiles.dll | c:\windows\system32\dllcache\sfcfiles.dll c:\sfcfiles.dll | c:\windows\system32\sfcfiles.dll RenV:: c:\program files\Microsoft ActiveSync\wcescomm .exe 3. Przeciągasz tak jak poprzednio i wklejasz wynikowy log. Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 kolejny log combofix Odnośnik do komentarza
Landuss Opublikowano 21 Września 2011 Zgłoś Udostępnij Opublikowano 21 Września 2011 Teraz już wygląda, że wszystko wykonane i problemy powinny minąć. Przejdźmy do czynności finalnych. 1. Odinstaluj jeszcze wcześniej przeoczony sponsoring DAEMON Tools Toolbar 2. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Mirek\Pulpit\ComboFix.exe" /uninstall co prawidłowo odinstaluje ComboFix i wyzeruje stan przywracania systemu. 3. Wykonaj aktualizacje: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne w tym wątku: KLIK. . Odnośnik do komentarza
mirekga Opublikowano 21 Września 2011 Autor Zgłoś Udostępnij Opublikowano 21 Września 2011 Dzięki wielkie za pomoc. Jeszcze chciałem zapytać czy możesz polecić jakiś dobry antywirus darmowy. Odnośnik do komentarza
Landuss Opublikowano 22 Września 2011 Zgłoś Udostępnij Opublikowano 22 Września 2011 Z darmowych może być - Microsoft Security Essentials / Panda Cloud Antivirus / Avast Temat jako ukończony zamykam Odnośnik do komentarza
Rekomendowane odpowiedzi