rosaskc Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 (edytowane) Witam, dwa dni temu Avira wykryła mi trojana w folderze tymczasowym użytkownika. Avira niby go usunęła, ale za kilka minut znowu trojan się pojawił w tym folderze pod inną nazwą. Wczoraj pojawił się w folderze C:/WINDOWS/system32 jako plik nvidia.exe. Proszę o pomoc w pozbyciu się tego trojana. W załączeniu logi EDIT: System to WinXP 32-bit Extras.Txt OTL.Txt GMERy.txt Edytowane 4 Kwietnia 2012 przez rosaskc Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Używałeś ComboFix, nie ma o tym wzmianki ani prezentacji wyników jego pracy (muszą być ocenione) - przdstaw zawartość C:\ComboFix.txt. Infekcja owszem jest, a system dodatkowo zaśmiecony paskami sponsoringowymi. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 1785 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.pif SRV - [2012-04-03 18:18:49 | 000,229,376 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\nvidia.exe -- (nvidia32) SRV - File not found [Auto | Stopped] -- c:\program files\common files\akamai\netsession_win_a74ca62.dll -- (Akamai) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\Kasia\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Kasia\Moje dokumenty\Moja muzyka\Karaoke\USdeluxe\zlportio.sys -- (zlportio) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Odinstaluj śmieci: DAEMON Tools Toolbar, pdfforge Toolbar, Softonic-Eng7 Toolbar. W menedżerze rozszerzeń Firefox wywal: Widgi Toolbar Platform + pdfforge Toolbar. 3. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (już bez Extras) oraz AdwCleaner z opcji Search. Dołącz log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
rosaskc Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Rzeczywiście, zapomniałem o ComboFixie. Wszystkie punkty wykonane. W załaczeniu logi. AdwCleanerR1.txt ComboFix.txt Extras_2.Txt OTL_2.Txt OTL_04042012_182404.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Wszystko zostało pomyślnie usunięte, nie widzę żadnych aktywności infekcji. Zostało usunięcie odpadków po paskach. 1. Uruchom AdwCleaner i zastosuj w nim opcję Delete. Po ukończeniu operacji użyj Uninstall. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2010-02-16 20:02:17 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Kasia\Dane aplikacji\Mozilla\Firefox\Profiles\898j67to.default\searchplugins\daemon-search.xml O3 - HKU\S-1-5-21-1705175221-2088895020-1574827263-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\Kasia\Pulpit\ComboFix.exe" /uninstall Gdy ukończy się to zadanie, w OTL zastosuj Sprzątanie. 4. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport z wynikami, o ile coś zostanie wykryte. . Odnośnik do komentarza
rosaskc Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Zrobione. Niestety, Malwarebytes Anti-Malware coś znalazł. mbam-log-2012-04-04 (20-43-33).txt OTL_04042012_200329.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 1. To co znalazł MBAM to małe piwo, resztówka. Usuń wpis za pomocą programu. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do wykonania aktualizacje: KLIK. Na Twojej liście zainstalowanych widnieją następujące przestarzałe wersje: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.0.0"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27) I jeszcze możesz odinstalować zbędny Akamai NetSession Interface oraz McAfee Security Scan Plus (wątpię byś to świadomie instalował, najpewniej weszło jako sponsor paczek Adobe). Polecam też wybranie alternatywy dla Nowego Gadu: Darmowe komunikatory. Konkretnie pod uwagę opisy: WTW, Miranda, Kadu, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi