lasek311 Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 Wiadomo o co chodzi, zwracam się z prośbą o pomoc w usunięciu wirusa z tego co wiem to na początek potrzebne są logi z gmer'a i otl? logi w załącznikach.... proszę o instrukcje pozdrawiam OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 z tego co wiem to na początek potrzebne są logi z gmer'a i otl? Skoro zadajesz sobie to pytanie, nasuwa się, że nie przeczytałeś zasad działu: KLIK. Nie byłoby tu żadnego pytajnika. Logi są obowiązkowe niezależnie od charakteru infekcji, jeżeli temat jest w tym dziale. Log z OTL niepełny, brakuje Extras, tzn. opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania". Wstępna próba leczenia infekcji: 1. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. 2. Gdy narzędzie ukończy, przedstaw jego raport oraz zrób nowe logi z OTL (przypominam o Extras) + GMER. . Odnośnik do komentarza
lasek311 Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 dodaję logi i proszę o sprawdzenie. ComboFix.txt Extras.Txt OTL.Txt gmerr.txt Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 ComboFix dał radę. Ustały czynności rootkit. Możemy przejść do kolejnych działań, tzn. napraw po rootkicie, usuwania odpadków i adware. 1. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 2. Otwórz menedżer rozszerzeń Firefox i odinstaluj śmieć-dodatki: Conduit Engine + Freecorder Community Toolbar + uTorrentBar Community Toolbar + vShare Toolbar. Powtórz deinstalację uTorrentBar Toolbar i vShare w Panelu sterowania Windows. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\eloggersvc6.dll -- (s24eventmonitor) NetSvcs: s24eventmonitor - File not found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" [2012-03-31 07:33:09 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA% [2011-09-05 08:38:03 | 000,000,000 | ---D | M] -- C:\Users\Mateusz Laskowski\AppData\Roaming\OpenCandy [2011-08-17 20:41:12 | 000,000,923 | ---- | M] () -- C:\Users\Mateusz Laskowski\AppData\Roaming\Mozilla\Firefox\Profiles\4a39a94e.default\searchplugins\conduit.xml [2011-12-17 19:22:30 | 000,000,792 | ---- | M] () -- C:\Users\Mateusz Laskowski\AppData\Roaming\Mozilla\Firefox\Profiles\4a39a94e.default\searchplugins\startsear.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{859F2C33-C7BF-4FA2-A839-2E5DB93D78CF}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{859F2C33-C7BF-4FA2-A839-2E5DB93D78CF}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 4. Wykonaj nowe logi: OTL z opcji Skanuj (już bez Extras) + AdwCleaner z opcji Search. Dołącz raport z wynikami narzędzia SFC stworzony w punkcie 1 oraz log z wynikami usuiwania OTL pozyskany w punkcie 3. . Odnośnik do komentarza
lasek311 Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 lecą logi.. adwcleaner.txt otl (2).txt OTL.Txt sfc.txt Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Narzędzie SFC skorygowało szkody po infekcji: 2012-03-31 20:48:13, Info CSI 000001ba [sR] Cannot repair member file [l:14{7}]"tdx.sys" of Microsoft-Windows-TDI-Over-TCPIP, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-03-31 20:48:13, Info CSI 000001bb [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup Pozostały jeszcze mini odpadki po usuwanych śmieciach. Przeglądarki muszą być zamknięte przy wykonywaniu punktów 1 + 2. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.6.0.10 FF - prefs.js..extensions.enabledItems: {1392b8d2-5c05-419f-a8f6-b9f15a596612}:3.6.0.10 Klik w Wykonaj skrypt. Tym razem bez restartu. 2. Uruchom AdwCleaner i zastosuj w nim opcję Delete. Gdy ukończy zadanie, wybierz Uninstall. 3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej komendę: %userprofile%\Desktop\ComboFix.exe /uninstall Po tym możesz użyć opcję Sprzątanie w OTL usuwającą z dysku kwarantannę OTL i program. 4. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware (widzę zainstalowany). Przedstaw raport z wynikami, o ile coś zostanie wykryte (pustego nie dołączaj). . Odnośnik do komentarza
lasek311 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 jest. mbam-log-2012-04-01 (18-37-57).txt Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 (edytowane) 1. Te wyniki w MBAM to resztki rootkita ZeroAccess. Usuń te pliki za pomocą programu. Następnie wyczyść ręcznie foldery Przywracania systemu: KLIK. 2. Wykonaj aktualizacje: KLIK. Na Twojej liście zainstalowanych widnieją wersje; Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 30"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"FileZilla Client" = FileZilla Client 3.5.1 3. Prewencyjnie zmień hasła logowania w serwisach. Podsumuj czy wszystko działa, czy Windows Update uruchamia się prawidłowo i żadnych błędów nie zwraca. . Edytowane 7 Maja 2012 przez picasso 7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi