gruby Opublikowano 16 Marca 2012 Zgłoś Udostępnij Opublikowano 16 Marca 2012 Witam jak już sprawdzam cały sprzęt w domu przyszła pora na komputer brata 8 letni komputer który od dłuższego czasu ledwie chodzi po wymianie zasilacza dostał " lagów " dlatego najpierw chciałbym sprawdzić czy to wina systemu że tak go tnie " wirusy itp " czy hardware . Ok więc podczas skanowania Gmer już podczas włączania go wyskoczył komunikat Explorer.exe zagrożenie rokitem najgorsze jest to że nie mogłem pobrać gmer otl itp dlatego zrobiłem to przez Pendrive z mojego komputera i teraz na pendrive jest Autorun otwieram i standardowo włącza aplikacje Explorer.exe która również ukryta jest i siedzi an pendrive , Co mam zrobić w takim wypadku pendrive jest tam nadal podłączony aktualnie skanuje Gmer pracuje w trybie awaryjnym nie mam dostępu do sieci tak więc jak logi przenieś i jak mam postępować ? Mam bardzo ograniczone pole manewru na tym komputerze co nie zrobie restart nawet na trybie awaryjnym. Pozdrawiam PS Najgorsze jest to że gdy był ten autorun ja podłączyłem na sekundę pendrive pod mój komputer w celu zrzucenia gmera. ; / Na pendrive pojawiły się pliki A < jakiś taki plik z taka nazwą Data. Administrator i jakieś cyfry litery. Odnośnik do komentarza
picasso Opublikowano 16 Marca 2012 Zgłoś Udostępnij Opublikowano 16 Marca 2012 Nie otwieraj pendrive przez dwuklik, bo to wykonuje infekcję. Zawartość pendrive musi być otworzona okrężnie: 1. Na systemie zainfekowanym przez linię komend cmd uruchom narzędzia logów wpisując komendę X:\OTL.exe (gdzie X to litera dysku pod jaką jest zmapowany pendrive). 2. Na systemie, do którego ten pendrive podepniesz, w pierwszej kolejności przed podpięciem urządzenia zablokuj wykonywanie plików autorun.inf. Czyli za pomocą Panda USB Vaccine wykonaj Computer Vaccination i zresetuj system. Następnie podpinasz pendrive, nie wchodzisz na niego przez Mój komputer tylko od razu zaprawiasz go Pandą, opcją USB Vaccination (to powinno przemianować aktualny autorun.inf infekcji, za to w jego miejsce pojawi się autorun.inf Pandy). I dopiero po tym spróbuj wejść na urządzenie. . Odnośnik do komentarza
gruby Opublikowano 16 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2012 piszę z zainfekowanego komputera . gmer skanuje będzie troche później na razie ots i TDS. Aktualnie na pendrive są 2 autorun SCo... coś takiego i Exploere ponadto co jakis czas pojawia sie czy uruchomic exploresrsi . http://wklej.to/VHFMj otl http://wklej.to/Ay6eq extra http://wklej.to/uDd8S TDS http://wklej.to/YaVAk < Gmer nie do konca zeskanowany ponieważ musiałem wyłączyćkomputer jeżeli będzie potrzeba dokończę jutro . Odnośnik do komentarza
picasso Opublikowano 17 Marca 2012 Zgłoś Udostępnij Opublikowano 17 Marca 2012 Złe decyzje podjęte w TDSSKiller, to nie są infekcje: 20:01:47.0530 1808 Actual detected object count: 620:02:36.0460 1808 C:\WINDOWS\system32\DRIVERS\d347bus.sys - copied to quarantine20:02:36.0460 1808 d347bus ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 20:02:37.0081 1808 C:\WINDOWS\system32\Drivers\d347prt.sys - copied to quarantine20:02:37.0081 1808 d347prt ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 20:02:37.0652 1808 C:\WINDOWS\system32\giveio.sys - copied to quarantine20:02:37.0652 1808 giveio ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 20:02:38.0583 1808 C:\WINDOWS\system32\DRIVERS\mdc8021x.sys - copied to quarantine20:02:38.0583 1808 MDC8021X ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 20:02:39.0154 1808 C:\WINDOWS\system32\DRIVERS\RT2400.sys - copied to quarantine20:02:39.0154 1808 RT2400 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine 20:02:39.0725 1808 C:\WINDOWS\system32\speedfan.sys - copied to quarantine20:02:39.0725 1808 speedfan ( UnsignedFile.Multi.Generic ) - User select action: Quarantine Natomiast, system jest zainfekowany robakiem Brontok, stąd też i następują te samozamknięcia (to jest element zachowania Brontok). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2012-03-07 10:30:51 | 000,000,102 | -H-- | M] () [Auto | Stopped] -- C:\Documents and Settings\aaa\Dane aplikacji\MouseDriver.bat -- (MouseDriver) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\bronstab.exe () O4 - HKLM..\Run: [gbbchvva] C:\WINDOWS\System32\gbbchvva.exe (WestByte) O4 - HKLM..\Run: [i6g8xs] C:\Documents and Settings\aaa\Dane aplikacji\i6g8xs.exe ( ) O4 - HKU\.DEFAULT..\Run: [gbbchvva] C:\Documents and Settings\aaa\gbbchvva.exe (WestByte) O4 - HKU\.DEFAULT..\Run: [tcpudp] C:\WINDOWS\BN11.tmp () O4 - HKU\S-1-5-18..\Run: [gbbchvva] C:\Documents and Settings\aaa\gbbchvva.exe (WestByte) O4 - HKU\S-1-5-18..\Run: [tcpudp] C:\WINDOWS\BN11.tmp () O4 - HKU\S-1-5-21-220523388-152049171-854245398-500..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\aaa\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Menu Start\Programy\Autostart\Empty.pif () O7 - HKU\S-1-5-21-220523388-152049171-854245398-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-220523388-152049171-854245398-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe () :Files C:\*.exe C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\Administrator.AAA-6D6BFBCA18F\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\*Bron* C:\WINDOWS\System32\Administrator's Setting.scr C:\WINDOWS\System32\Administrator.AAA-6D6BFBCA18F's Setting.scr C:\WINDOWS\System32\aaa's Setting.scr C:\Documents and Settings\All Users\Dane aplikacji\17272 C:\Documents and Settings\All Users\Dane aplikacji\bltofzsb.qlf C:\Documents and Settings\aaa\Dane aplikacji\PriceGong :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\aaa\Dane aplikacji\i6g8xs.exe"=- :Commands [resethosts] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostamie zrestartowany i otrzymasz log z wynikami usuwania. 2. Przejdź do Dodaj / Usuń programy i odinstaluj Free Lunch Design TB Toolbar (pasek sponsoringowy) oraz zbędny Logitech Desktop Messenger (newsy producenta). 3. Wygeneruj do oceny nowy log z OTL opcją Skanuj oraz AdwCleaner z opcji Search. Dołącz log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
gruby Opublikowano 17 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2012 Złe decyzje podjęte w TDSSKiller, to nie są infekcje: Co w takim przypadku mam zrobić ? 1. Uruchom OTL i w sekcji (...) po włączeniu skryptu nagły restart , czyżby robak sam się bronił ? Co w takim przypadku ? @edit Również w trybie awaryjnym to samo. Odnośnik do komentarza
picasso Opublikowano 17 Marca 2012 Zgłoś Udostępnij Opublikowano 17 Marca 2012 Co w takim przypadku mam zrobić ? To był tylko komentarz poboczny, nie sądzę by było tu coś wymagane, bo sterowniki widziałam w OTL na chodzie. po włączeniu skryptu nagły restart , czyżby robak sam się bronił ? Co w takim przypadku ? @edit Również w trybie awaryjnym to samo. Spróbuj zastartować do Trybu awaryjnego z obsługą wiersza polecenia, czyli bez powłoki (do powłoki jest dopisany Brontok). W linii komend kolejno wpisać: "pełna ścieżka dostępu do OTL.exe", następnie do notepad.exe, w celu uruchomienia Notatnika a w nim otworzenia pliku ze skryptem w celu przeklejenia do okna OTL. . Odnośnik do komentarza
gruby Opublikowano 17 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2012 ok działa http://wklej.to/fTKmj http://wklej.to/PcoXH Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 Skrypt do OTL zrobił co należy, w AdwCleaner zastosuj Delete. Zapomniałeś dodać loga z OTL z opcji Skanuj. Odnośnik do komentarza
gruby Opublikowano 19 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2012 http://wklej.to/j09rb < Extras. http://wklej.to/sCx5C < OTL http://wklej.to/eFEWD < ADWCleaner Mam pytanie czy twoja obserwacja w logach wykrywa również te wirusy które wykryje antywirus czy trzeba osobno przeskanowac ? Pytam ponieważ po usunięciu wirusów Chrome dalej nie działa ale już się nie restartuje wyskakuje błąd Aplikacja nie została właściwie zainicjowana (0xc000005) Na dodatek dalej są " lagi " czyli opóźnienie np jak pisze itp wolne włączanie ale jeżeli tp nie będzie wina wirusów zobaczymy do działu hardware . Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 Infekcja jest nadal czynna. 1. Pobierz i uruchom zgodnie ze wskazówkami ComboFix. 2. Wygeneruj nowe logi z OTL + GMER. Dołącz raport wygenerowany przez ComboFix. . Odnośnik do komentarza
gruby Opublikowano 19 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2012 hmm. Pobrałem combofix i wyskakuje mi że program jest naruszony proszę pobrać nowy. i tam niżej możliwe że mam infekcje Virut. Odnośnik do komentarza
gruby Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Witam nowe logi udało mi sięuruchomic Combo Fix ponieważ przeskanowałem komputer Dr.web cureit i wygrył wirusa Virut i go wyleczył podam log niżej ale dzięki temu mogłem użyć Combo fix Swieże logi po skanowaniu http://wklej.to/61m7I < DR.Web http://wklej.to/t190n < ComboFix http://wklej.to/9AUG6 <Gmer http://wklej.to/SNefq <Extras http://wklej.to/bG2oB < OTL http://wklej.to/yVvjw <ADW Cleaner http://wklej.to/zj97O <ASW MBR Pozdrawiam. Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2012 Zgłoś Udostępnij Opublikowano 24 Marca 2012 Rzeczywiście jest tutaj Virut i to nie jest dobra wiadomość gdyż to jest infekcja w plikach wykonywalnych i trudna do leczenia. Dr. Web sporo zrobił ale to może być nie wszystko, w dodatku Gmer pokazuje że infekcja jest aktywna. Przejdź w tryb awaryjny i wykonaj skan wszystkich partycji za pomocą specjalnego narzędzia pod tą infekcję VirutKiller. Skanowanie wykonuj dotąd dopóki nic już nie będzie wykrywane. Po tym wszystkim zaprezentuj nowe logi z OTL oraz Gmer Odnośnik do komentarza
gruby Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 VirutKiller pomyślnie przeskanował ,ale nadal komputer " klatkuje" . Hmm może to wina Hardware no chyba że coś jeszcze jest w nowych logach. http://wklej.to/fwOlK <GMEr http://wklej.to/GDG4N < OTL http://wklej.to/9Fap9 < Extras. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Ile razy tym VirutKillerem prowadziłeś skan? Niestety, ale infekcja Virut nie jest wypleniona do końca. Świadczy o tym patch tych plików Windows widzialny w GMER: ---- User code sections - GMER 1.0.15 ---- .rsrc C:\WINDOWS\system32\svchost.exe[184] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[252] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\System32\svchost.exe[416] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[920] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\System32\svchost.exe[940] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[1000] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[1052] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\System32\svchost.exe[1144] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[1180] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[1340] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060].reloc C:\WINDOWS\explorer.exe[1392] C:\WINDOWS\explorer.exe section is executable [0x010FB000, 0xA800, 0xE0000060].rsrc C:\WINDOWS\system32\svchost.exe[1424] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x7600, 0xE0000060] Pobierz nową kopię ComboFix i spróbuj ją uruchomić. Przedstaw raport, o ile narzędzie zdoła dojść do tego etapu ... Ostrzeżenie: Infekcja Virut może wymagać sformatowania całego dysku. Co więcej, migrowałeś materiały via pendrive. Jest możliwe, że Virutem jest zaprawiony także drugi system.... . Odnośnik do komentarza
gruby Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 http://wklej.to/5mRo2 < Combofix Skanowałem 1 raz Virutem. Hmm jeżeli chodzi o drugi pc skanowałem Dr web i nic nie wykrył z wiruta. Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Jednokrotny przebieg VirutKiller / antywirusem to za mało. Poza tym, czy skanowałeś obie partycje (C + D)? ComboFix potwierdza, ale nie znalazł czystych wymienników plików w systemie: c:\windows\system32\userinit.exe . . . jest zainfekowany!!.c:\windows\system32\svchost.exe . . . jest zainfekowany!!.c:\windows\system32\spoolsv.exe . . . jest zainfekowany!!.c:\windows\explorer.exe . . . jest zainfekowany!!. Niestety odczyt z ComboFix to ledwie wycinek, ComboFix sprawdza tylko wybraną grupę plików. Nie jest wiadome ile tu szkód faktycznie jest (dwojakiego rodzaju: pliki zawirusowane lub pliki uszkodzone leczeniem) ... 1. Paczka plików w wersji XP SP3 do pobrania: KLIK. Pliki umieść w umownym folderze C:\Pliki. 2. Otwórz Notatnik i wklej w nim: FCopy:: C:\Pliki\userinit.exe | C:\Windows\system32\userinit.exe C:\Pliki\userinit.exe | C:\Windows\system32\dllcache\userinit.exe C:\Pliki\svchost.exe | C:\Windows\system32\svchost.exe C:\Pliki\svchost.exe | C:\Windows\system32\dllcache\svchost.exe C:\Pliki\spoolsv.exe | C:\Windows\system32\spoolsv.exe C:\Pliki\spoolsv.exe | C:\Windows\system32\dllcache\spoolsv.exe C:\Pliki\explorer.exe | C:\Windows\explorer.exe C:\Pliki\explorer.exe | C:\Windows\system32\dllcache\explorer.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "\\??\\c:\\WINDOWS\\system32\\winlogon.exe"=- Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 3. Przedstaw log z ComboFix oraz nowy log z GMER. . Odnośnik do komentarza
gruby Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 http://wklej.to/uRwfR < GMER http://wklej.to/tCMM7 < COmbo Jeżeli chodzi o tamte pliki które pobrałem to nie moge rozpakować bo błąd odczytu niewałaściwy format czy cośw tym stylu pozostają spakowane. Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Jeżeli chodzi o tamte pliki które pobrałem to nie moge rozpakować bo błąd odczytu niewałaściwy format czy cośw tym stylu pozostają spakowane. To najwyraźniej problem na Twoim systemie, wygląda na to, że blokuje ją infekcja. Paczka ZIP jest prawidłowa, pobieram i rozpakowuję bez problemu. Poza tym, skoro plików nie wypakowałeś, to po co uruchamiałeś ComboFix? Przecież nic nie zrobił w zakresie wymiany, bo nie ma z czego. I jest coraz gorzej, Brontok wrócił i jest więcej plików oznaczonych jako zainfekowane (a to jak mówię ledwie wycinek, ComboFix nie jest skanerem globalnym). Usuwać w kółko możemy, ale czy to ma sens. Brontok + Virut = proponuję format dysk. . Odnośnik do komentarza
gruby Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 format dysku c czy obydwa ? I konieczność ponownego instalowania windowsa ? Ponieważ zawsze jak miałem do czynienia z formaten dysku co robiłem to poprzez reinstal systemu. PS: a co zrobić z pendrive ? jest cały czas podłączony do zainfekwoanego komputera Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 (edytowane) format dysku c czy obydwa ? I konieczność ponownego instalowania windowsa ? Ponieważ zawsze jak miałem do czynienia z formaten dysku co robiłem to poprzez reinstal systemu. Tak, obu partycji. Format można przeprowadzić w dowolny sposób, czyli może być z instalatora Windows XP, jak sugerujesz. Można podzielić zadanie, czyli sformatować na początek C z płyty XP, a potem już spod nowego Windows dokończyć format D. PS: a co zrobić z pendrive ? jest cały czas podłączony do zainfekwoanego komputera Też go sformatuj. I przypominam wątek zabezpieczania systemu i pendrive przed automatycznym wykonaniem plików autorun.inf: Na systemie (...) zablokuj wykonywanie plików autorun.inf. Czyli za pomocą Panda USB Vaccine wykonaj Computer Vaccination i zresetuj system. Następnie podpinasz pendrive (...) zaprawiasz go Pandą, opcją USB Vaccination. . Edytowane 27 Kwietnia 2012 przez picasso 27.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi