xPrinfrat Opublikowano 9 Lutego 2012 Zgłoś Udostępnij Opublikowano 9 Lutego 2012 Na kompie mam coś niepokojącego co wyłącza mi kompa kilka razy dziennie uprzednio wysyłając komunikat (nie znam jego dokładnej tresci bo siostra nie raczyła go nigdzie zapisać) ale to coś w stylu "nastapiło nieoczekiwane przerwanie dostawy energii elektrycznej i za kilka sekund nastąpi niezbędne ponowne uruchomienie systemu". Dodam że kolega który kiedyś usuwał mi wirusa zassanego z facebooka (również przez moją siostrę) używał combofixa. Kiedy dowiedziałem się że tym razem nie moze mi pomóc przez kilka najbliższych dni postanowiłem sam spróbować i przy próbie użycia combofixa wyskoczył komunikat "następujące pliki próbowały podłączyć się do programu combofix, będą one wyłączone z działania. Proszę zanotować na kartce papieru nazwę kazdego z plików. Możemy tej informacji później potrzebować C:/windows/32/win32sta.dll " oraz drugi komunikat "combofix wykrył obecnosc infekcji typu rootkit i potzrebuje ponownie uruchomic komputer. Prosze zanotować... i podany ten sam plik co powyżej. Nie mam jednak loga z użycia combofixa bo nie udało sie zeskanowac komputera za pomocą tego programu bo wygasła licencja więc użyłem tylko wersji o ograniczonej funkcjonalności która skopiowała jeden plik i combofix się wyłączył a ja zaniechałem dalszego używania tego programu poszukując innych rozwiązań i pomocy, aż w końcu trafiłem na Wasze forum. Bardzo proszę o wyrozumiałość bo ja z informatyką nie mam na codzień wiele do czynienia. Dołączam logi OTL Extras GMER i Defogger którego użyłem jako alternatywne rozwiązanie dla usuniecia sterowników programów emulujących napędy. OTL.Txt Extras.Txt remg.txt defogger.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2012 Zgłoś Udostępnij Opublikowano 10 Lutego 2012 Jest tu infekcja, właśnie win32sta.dll, dodatkowo plik HOSTS jest zmodyfikowany (blokady serwerów antymalware). Nie mam jednak loga z użycia combofixa bo nie udało sie zeskanowac komputera za pomocą tego programu bo wygasła licencja Nic dziwnego, pobierasz program z nieprawidłowych miejsc, to nie jest oryginał: [2012/02/09 15:06:32 | 000,000,000 | --SD | C] -- C:\ComboFix_www.INSTALKI.pl_30225C[2012/02/09 14:10:55 | 000,000,000 | --SD | C] -- C:\ComboFix_www.INSTALKI.pl_ Proszę pobierz ComboFix z prawidłowych oryginalnych linków umieszczonych w przyklejonym temacie: KLIK. Uruchom i przedstaw wynikowy raport z działania. . Odnośnik do komentarza
xPrinfrat Opublikowano 11 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2012 zrobione, musiałem instalować od nowa iPlusa ale poza tym nie napotkałem żadnych innych nieprawidłowości w załączniku dołaczam raport z działania ComboFixa, dziekuję za udzieloną pomoc i proszę o dalsze, finalizujace wytyczne ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 musiałem instalować od nowa iPlusa ale poza tym nie napotkałem żadnych innych nieprawidłowości Rzeczywiście, ComboFix z niezrozumiałych dla mnie powodów skasował folder iPlus oraz powiązane wejścia w rejestrze ... Przeinstalowałeś aplikację, toteż to mamy z głowy. ComboFix za to dokasował co należy z obszaru infekcyjnego. Mam wątpliwości co do tego zestawu widzialnego w pierwszym OTL: [2012/02/07 05:05:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Premium[2012/02/07 05:05:49 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate[2012/02/07 04:47:48 | 000,000,000 | -H-D | C] -- C:\Users\Piotrek\AppData\Local\MicrosoftNT[2012/02/07 04:47:01 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Roaming\SkyMonk[2012/02/07 04:46:57 | 000,000,000 | ---D | C] -- C:\Program Files\Mail.Ru W grupie został utworzony MicrosoftNT, a folder ten występuje w kontekście infekcji: KLIK. Kolejne czynności do wykonania: 1. Przejdź do Panelu sterowania do modułu deinstalacji programów i usuń śmieci paskowe Conduit Engine + DAEMON Tools Toolbar + Windows iLivid Toolbar. 2. Drobna poprawka czyszcząca wpisy puste i określone pliki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\URLSearchHook: {58beca16-cae6-4b7a-a0e8-153d0cbba63a} - No CLSID value found O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O3 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files C:\windows\System32\win32sta.dll.vir C:\Users\Piotrek\AppData\Local\MicrosoftNT C:\Users\Piotrek\AppData\Local\Temp*.html Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. ComboFix notuje niesygnowane wystąpienia kernel32.dll. Przeprowadź weryfikację poprawności plików systemowych komendą sfc /scannow, za pomocą kolejnej komendy stwórz log filtrowany do wystąpień znaczników [sR]: KLIK. 4. Wygeneruj nowe logi do oceny: OTL opcją Skanuj (Extras po raz drugi nie potrzebuję) + AD-Remover z opcji Scan. Dołącz także log z wynikami usuwania z punktu 2 oraz log z komendy SFC z punktu 3. . Odnośnik do komentarza
xPrinfrat Opublikowano 13 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Dołączam logi o które prosiłaś. Co do ostatniego to nie jestem pewien czy wszystko zrobiłem tak jak należy i czy właśnie o ten dokument tekstowy chodziło. Ale starałem się OTL_wyniki_usuwania.txt OTL.Txt Ad-Report-SCAN1.txt sfcdetails.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Skrypt do OTL pomyślnie wykonany. Narzędzie SFC także naprawiło niesygnowany plik: 2012-02-13 08:44:12, Info CSI 000001a6 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\windows\System32"\[l:24{12}]"kernel32.dll" from store Zostały poprawki pod kątem odpadków sponsoringowych. 1. Uruchom AD-Remover w trybie Clean. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8B2CE5D8-02C3-47B3-83E6-E4579F92F9B6}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BEB6D896-42FA-4A66-BD76-5B2486210A45}] :Files C:\Program Files\Windows iLivid Toolbar C:\Users\Piotrek\AppData\Local\Temp*.html C:\windows\System32\sfc Klik w Wykonaj skrypt. 3. Przedstaw nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
xPrinfrat Opublikowano 13 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Nie jestem pewien czy chodziło Ci tylko o log z AD-R czy o wszystkie dlatego dla pewności dołączam wszystkie trzy raporty. I jeszcze raz dziękuję Ci za udzieloną pomoc już wiem gdzie będę się zgłaszał w pierwszej kolejności kiedy coś nie będzie działało tak jak powinno ps. i gratulacje za całe forum, bo pierwsze słowo jakie mi się cisną na usta gdy się tutaj loguję to PROFESJONALIZM. Nic dziwnego że jestescie jedynym polskim forum rekomendowanym przez twórców ComboFixa. GRATULACJE tak trzymać Ad-Report-CLEAN1.txt log po wykonaniu skryptu z OTL.txt Ad-Report-SCAN3.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Nie jestem pewien czy chodziło Ci tylko o log z AD-R czy o wszystkie Prosiłam tylko o jeden log (skan AD-Remover po wykonaniu wszystkich czynności), gdyż to był wystarczający materiał do oceny. Zadania wkonane. Możemy przejść do czynności końcowych: 1. Uporządkuj po używanych narzędziach (w tej a nie innej kolejności): Odinstaluj AD-Remover Odinstaluj Combofix, klawisz z flagą Windows + R i w Uruchom wklej:C:\Users\Piotrek\Desktop\ComboFix.exe /uninstall W OTL uruchom Sprzątanie, co usunie z dysku OTL wraz z kwarantanną. 2. Dla pewności wykonaj kompletny skan systemu za pomocą mini skanera Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Jeżeli zostaną wykryte jakieś zagrożenia, przedstaw raport z nimi. Jeśli Kaspersky nic nie znajdzie, zamknij jego okno, a program ulegnie samodeinstalacji. Zgłoś się tu z podsumowaniem jak działa system i czy istnieją określone problemy. . Odnośnik do komentarza
xPrinfrat Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Wykonałem punkt pierwszy jednak przy drugim pojawiły się problemy. Zaznaczyłem wszystkie obszary do skanowania, włączyłem skanowanie lecz to co zobaczyłem trochę mnie przeraziło bo skanowanie które początkowo miało trwać 3 godziny po ok 30 min wydłużyło się do 4godzin (przewidywany czas) a po kolejnych 20 min do 5 potem do 6 godzin a następnie do 17 ;/ niestety nie mogłem zostawić włączonego laptopa na tak długo dlatego przerwałem skanowanie. Podczas skanowania wyskoczył także jakiś błąd czy też ostrzeżenie przed aplikacją zarażoną trojanem. Czy nie można wykonać tego skanu na raty albo za pomocą innego programu bo nie jestem w stanie zostawic laptopa na 17 godzin bezustannego działania? Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 To zostaw konfigurację domyślną skanera i wykonaj skan "ekspresowy". Odnośnik do komentarza
xPrinfrat Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Nic nie wykryto, zatem jeszcze raz dziękuję za pomoc :) można zamknąć temat skoro system jest bezpieczny Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Na koniec wykonaj aktualizacje oprogramowania. Na Twojej liście zainstalowanych widzę m.in.: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4"Adobe Acrobat Reader 3.02" = Adobe Acrobat Reader 3.02"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin Szczegóły aktualizacyjne: INSTRUKCJE. . Odnośnik do komentarza
Rekomendowane odpowiedzi