greg Opublikowano 1 Czerwca 2012 Zgłoś Udostępnij Opublikowano 1 Czerwca 2012 Witam! Mam następujący problem z działaniem komputera. Po uruchomieniu słyszę sygnał alarmujący o wirusach i program antywirusowy AntiVir Guard, którego używam wyświetla komunikat: A virus or unwanted program was found! What sholud happen with the file? C:\Documents and Settings\kkk\Dane aplikacji\desktop.ini Is the TR/ATRAPS.Gen2 Trojan. (Zaznaczałem opcję Deny access, ale to nic nie dało). Niestety nie mogłem w żaden sposób zamieścić w tym poście wymaganych logów, gdyż poza tym, że antywirus wyświetla powyższą informację nic nie działa - nie mogę otworzyć Internet Explorera, ani nawet Mój Komputer - pendrive na którym mam OTL.exe i GMER (pobrane za pomocą drugiego komputera - z którego teraz się kontaktuje na tym forum) nie jest odczytywany. Wcześniej (kilka godzin temu), kiedy jeszcze wszystko działało zaobserwowałem, że internet mi zwolnił (otwieranie stron trwało kilka minut), a po zresetowaniu zaczęło się to, co opisałem powyżej. Nie mam pojęcia, co robić. Bardzo proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2012 Zgłoś Udostępnij Opublikowano 1 Czerwca 2012 program antywirusowy AntiVir Guard, którego używam wyświetla komunikat: A virus or unwanted program was found! What sholud happen with the file? C:\Documents and Settings\kkk\Dane aplikacji\desktop.ini Is the TR/ATRAPS.Gen2 Trojan. (Zaznaczałem opcję Deny access, ale to nic nie dało). W tej lokalizacji jest systemowy plik desktop.ini: Biorąc na serio co mówi Avira może coś chce ten plik podmienić / zmodyfikować. Patrząc tylko na nazwę pliku może chodzi o infekcję ZeroAccess. Niestety nie mogłem w żaden sposób zamieścić w tym poście wymaganych logów, gdyż poza tym, że antywirus wyświetla powyższą informację nic nie działa - nie mogę otworzyć Internet Explorera, ani nawet Mój Komputer - pendrive na którym mam OTL.exe i GMER (pobrane za pomocą drugiego komputera - z którego teraz się kontaktuje na tym forum) nie jest odczytywany. Czy takie same objawy są w Trybie awaryjnym Windows? . Odnośnik do komentarza
greg Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 W trybie awaryjnym udało mi się otworzyć OTL i GMER, więc załączam logi. Extras1.Txt Gmer1.txt OTL1.Txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 GMER zrobiłeś w złym środowisku, działa sterownik emulacji napędów wirtualnych: DRV - [2007-01-15 17:17:29 | 000,639,224 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) I owszem, mamy tu infekcję ZeroAccess, co poświadcza GMER: ---- Processes - GMER 1.0.15 ---- Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [640] 0x45670000 Podaj dodatkowy skan identyfikacyjny. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport. . Odnośnik do komentarza
greg Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Za GMER przepraszam, na swoje usprawiedliwienie mam tylko to, że nie znam się za bardzo na komuterach. Załączam OTL, mam nadzieję, że wykonany poprawnie. OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Skan zwrócił zainfekowany przez trojana klucz systemowej klasy WBEM: "" = Microsoft WBEM New Event Subsystem[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]"" = \\.\globalroot\systemroot\Installer\{d70e8e4e-90b6-242c-9a93-437377f351cc}\n."ThreadingModel" = Both Wykonaj jeszcze jeden skan, uruchom SystemLook, w oknie wklej: :regfind {d70e8e4e-90b6-242c-9a93-437377f351cc} :folderfind {d70e8e4e-90b6-242c-9a93-437377f351cc} Klik w Look. Przedstaw wynikowy raport. . Odnośnik do komentarza
greg Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Gotowe. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Jest tylko ten jeden wpis zwracany w skanie, z tym że ja nadal nie jestem pewna czy jest tylko jeden. Nie zwróciłam na to wcześniej uwagi, że w Trybie awaryjnym działasz z kompletnie innego konta wbudowanego w system: User Name: Administrator | Logged in as Administrator. Prowadzony tu skan widzi inny rejestr bieżącego uytkownika (HKEY_CURRENT_USER), a to ma znaczenie przy tej infekcji. Przechodząc w Tryb awaryjny zaloguj się na swoje konto kkk a nie Administrator i ponów skan w SystemLook. . Odnośnik do komentarza
greg Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Teraz właściwe. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Skan z właściwego konta ujawnił wszystkie składniki. Przechodzimy do usuwania, a musi być wykonane z poziomu zainfekowanego konta a nie Administratora. Zakładam, że podałeś mi właściwą ścieżkę do desktop.ini. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{d70e8e4e-90b6-242c-9a93-437377f351cc} "C:\Documents and Settings\kkk\Ustawienia lokalne\Dane aplikacji\{d70e8e4e-90b6-242c-9a93-437377f351cc}" DeleteFile: "C:\Documents and Settings\kkk\Dane aplikacji\desktop.ini" Execute: C:\fix.bat Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log z SystemLook na te same warunki co podane wcześniej oraz log z GMER. . Odnośnik do komentarza
greg Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 . blitzblank.txt SystemLook.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Wprawdzie ustały czynności rootkit (wg GMER), ale BlitzBlank nie wykonał całości zadania. Nadal jest zmodyfikowana wartość klasy WBEM. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\wbemess.dll" "ThreadingModel"="Both" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i ponów skan w SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
greg Opublikowano 2 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 Teraz niby wszystko już działa (mogę otworzyć Internet, Mój Komputer, itp), ale nadal Avira ostrzega o wirusie (słychać dźwięk) po zalogowaniu. SystemLook2.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Teraz niby wszystko już działa (mogę otworzyć Internet, Mój Komputer, itp), ale nadal Avira ostrzega o wirusie (słychać dźwięk) po zalogowaniu. Wg moich odczytów infekcja została pomyślnie usunięta. Czy na pewno są znajdowane "wirusy"? Czy w dziennikach zdarzeń Avira jesteś w stanie znaleźć informację na temat bieżących skanów i co ewentualnie jest znajdowane? . Odnośnik do komentarza
greg Opublikowano 3 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Po zalogowaniu nie słychać już dźwięku ostrzegawczego. Zrobiłem pełne skanowanie systemu w Avira i wykryło: 1. The file 'C:\Documents and Settings\kkk\Ustawienia lokalne\temp\Main.class' contained a virus or unwanted program 'EXP/JAVA.Ternub.Gen' [exploit] Action(s) taken: The file was moved to '50349d10.qua'! 2. The file 'C:\System Volume Information\_restore{87FC37D7-2E93-400E-B8BF-40253101EC2A}\RP51\A0012419.ini' contained a virus or unwanted program 'TR/ATRAPS.Gen2' [trojan] Action(s) taken: The file was moved to '4ffba2a0.qua'! 3. The file 'C:\System Volume Information\_restore{87FC37D7-2E93-400E-B8BF-40253101EC2A}\RP51\A0015419.ini' contained a virus or unwanted program 'TR/ATRAPS.Gen2' [trojan] Action(s) taken: The file was moved to '4ffba2d4.qua'! 4. The file 'C:\System Volume Information\_restore{87FC37D7-2E93-400E-B8BF-40253101EC2A}\RP51\A0020432.ini' contained a virus or unwanted program 'TR/ATRAPS.Gen2' [trojan] Action(s) taken: The file was moved to '4ffba2eb.qua'! 5. The file 'C:\System Volume Information\_restore{87FC37D7-2E93-400E-B8BF-40253101EC2A}\RP52\A0021479.EXE' contained a virus or unwanted program 'TR/Nedsym.G.61' [trojan] Action(s) taken: The file was moved to '4ffba31c.qua'! Po wykryciu zaznaczałem za każdym razem opcję Move to quarantine. Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Wykonaj kolejną porcję czynności: 1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Przedstaw wyniki. . Odnośnik do komentarza
greg Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 Wszystkie czynności wykonałem. Pełny skan pokazał jakieś wirusy, w załączeniu wyniki. mbam-log-2012-06-05.txt Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2012 Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 Wynik Trojan.Agent.Gen to rzeczywiście trojan. Pozostałe bez znaczenia: PUM.Disabled.SecurityCenter to tylko adnotacja, że wyłączono alterty Centrum powiadomień, Trojan.Dropper w projektach wygląda na fałszywy alarm. Na zakończenie: 1. Prefencyjnie zmień hasła logowania w serwisach. 2. Wykonaj ważne aktualizacje: KLIK. Tutaj fragmentaryczny wyciąg z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 23"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Gadu-Gadu" = Gadu-Gadu 7.6"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Poboczny komentarz: kalekie GG7 (brak szyfrowania i pełnej obsługi własnego protokołu) można wymienić bardziej rzeczową alternatywą. W artykule Darmowe komunikatory znajdziesz opisy (WTW, Miranda, Kadu, AQQ). . Odnośnik do komentarza
greg Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 Nie bardzo rozumiem o jakie hasła chodzi - o te w serwisach internetowych (e-mail, facebook, itp), czy o jakieś inne? "Wynik Trojan.Agent.Gen to rzeczywiście trojan." - czy mam z nim coś zrobić, jakoś go usunąć z komputera, czy jest niegroźny, więc nie trzeba? Odnośnik do komentarza
picasso Opublikowano 5 Czerwca 2012 Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 "Wynik Trojan.Agent.Gen to rzeczywiście trojan." - czy mam z nim coś zrobić, jakoś go usunąć z komputera, czy jest niegroźny, więc nie trzeba? Symbioza "trojan + "niegroźny" nie istnieje. To oczywiste, iż masz usunąć ten wynik za pomocą MBAM. Nie bardzo rozumiem o jakie hasła chodzi - o te w serwisach internetowych (e-mail, facebook, itp), czy o jakieś inne? Właśnie o te. . Odnośnik do komentarza
greg Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 Wynik usunąłem z powodzeniem. Dzięki za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi