Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja - Golen

reptile

Przez reptile
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

reptile

reptile

Opublikowano
Opublikowano

Witam,

ok. dwa tygodnie temu połączyłem z komputerem pendrive, którego od jakiegoś czasu nie używałem.

No i przypadkowo uruchomiłem golena, z którym wcześniej też miałem problemy.

Aczkolwiek wy mi pomogliście, dlatego też zwracam się do Was z prośbą o ponowną pomoc.

Uruchamiając rejestr itp. mam problemy Tego typu, że mi się system restartuje, a poza tym obecność niechcianych plików, skrótów.

 

Uruchomiłem AdwCleaner v1.608 z opcją Search

 

Folder :

C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess

 

jest zainfekowany, mam usunąć?

 

Jak wymazać klucze rejestru:

HKCU\Software\Softonic

HKLM\SOFTWARE\Software

 

Zobaczcie LOGi z AdwCleaner z opcją Search, OTL, które zamieszczam.

AdwCleanerR2.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Te wymienione rzeczy usuniesz jak użyjesz AdwCleaner z opcji Delete więc to wykonaj. Poza tym przejdź do usuwania infekcji.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btkrnl.sys -- (BTKRNL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adusbser.sys -- (adusbser)
O4 - HKU\S-1-5-21-1275210071-2049760794-1547161642-1003..\Run: [quuoxa] C:\Documents and Settings\Mieszko\quuoxa.exe ()
[2012-05-12 23:55:50 | 000,057,344 | RHS- | M] () -- C:\Documents and Settings\Mieszko\quuoxa.scr
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Kolejny skrypt bo doszło coś nowego teraz. Zrób taką zawartość skryptu:

 

:Files
C:\Documents and Settings\Mieszko\golen.exe
C:\Documents and Settings\Mieszko\golen.scr
 
:Services
cpuz135
XAMPP
Apache
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Po wykonaniu skryptu nowe logi do obejrzenia.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Teraz jest w porządku. Możesz przejść do finalizacji:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Do aktualizacji programy:

 

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 29

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Zwracam tez uwagę na bardzo mało wolnego miejsca na dysku systemowym co może sprawiać problem dla systemu:

 

Drive C: | 39,09 Gb Total Space | 1,25 Gb Free Space | 3,19% Space Free | Partition Type: NTFS
Odnośnik do komentarza
reptile

reptile

Opublikowano
  • Autor
Opublikowano

Serdeczne Dzięki, a na innych swoich komputerach muszę wykonać to samo, tak? A co z pendrive i sdcard - również pousówać skróty?

Pojawił mi się problem, jaki zauważyłem z antywirusem AVast, co mam z tym zrobić?

A jeśli chodzi o Twój punkt 4-ty dot. miejsca na dysku systemowym, to może on być przyczyną wolnego działania przeglądarki/internetu?

 

Jeszcze raz Wielkie Dzięki! :))

post-822-0-27509000-1339141318_thumb.jpg

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano
Serdeczne Dzięki, a na innych swoich komputerach muszę wykonać to samo, tak?

 

No właśnie nie to samo. każdy skrypt jest pisany pod dany system i to nie jest powiedziane, że będzie wyglądać wszędzie tak samo. To był konkretne zalecenia pod ten konkretny system.

 

A co z pendrive i sdcard - również pousówać skróty?

 

Najlepiej sformatować, ewentualnie przy podpiętych urządzeniach wykonać raport z USBFix z opcji Listing

 

A jeśli chodzi o Twój punkt 4-ty dot. miejsca na dysku systemowym, to może on być przyczyną wolnego działania przeglądarki/internetu

 

Pewnie, że może.

 

Pojawił mi się problem, jaki zauważyłem z antywirusem AVast, co mam z tym zrobić?

 

Cóż najprostsza rzecz - przeinstalować program.

Odnośnik do komentarza
reptile

reptile

Opublikowano
  • Autor
Opublikowano

Dzięki. Zrobię tak jak zaleciłeś, tylko mam pytanie jak szybko sprawdzić czy te inne systemy Też nie są zarażone?

Może mógłbym zamieścić LOGi?

A jeśli mam jednego laptopa trochę oddalonego, to mogę całą operację wykonać za pomocą TeamViewer, czy jak? Jest to możliwe?

A jeśli chodzi o Ten raport z dysków USB i z SdCard, to zawartość muszę wcześniej zachować, zgadza się?

Odnośnik do komentarza
reptile

reptile

Opublikowano
  • Autor
Opublikowano

Witam,

próbowałem zaktualizować java 6 do 7, niby błędów nie pokazało, ale system nie działa już tak dobrze (dłużej się ładuje) oraz błędy we OO Writer tzn. nie widzi, a nie potrafię dodać ręcznie, bo gdy próbuje znaleźć odp. folder w program files, ukazuje się komunikat, że dany folder nie zawiera środowiska Java.

 

Załączam też skany OTL dla sprawdzenia, czy systemy nie są zainfekowane oraz dla poprawy stabilności i szybkości.

Później, może jutro zamieszczę również skany z nośników USB i SdCard oraz z odległego lapka.

post-822-0-99689700-1339251409_thumb.jpg

OTL.Txt

Extras.Txt

OTL.Txt

Extras.Txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Jeśli chodzi o Javę wykonaj wszystko od początku. Usuń wszelkie komponenty za pomocą JavaRa i zainstaluj nową wersję Javy (JRE)

 

Jeśli chodzi o pozostałe systemy to infekcji tutaj nie widzę, ale mam uwagi.

 

System z Windows 7 nie ma Service Packa 1 dlatego zadbaj o jego aktualizację.

 

Na systemie z Windows XP wykonaj drobny skrypt kosmetyczny o takiej zawartości:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http: //toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
IE - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=LMW2&o=16062&src=crm&q={searchTerms}&locale=en_US
IE - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http: //toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=UT2
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q="
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012-05-30 20:24:10 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}
[2011-05-07 10:02:26 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\extensions\engine@conduit.com
[2009-08-03 13:29:07 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\ask.xml
[2010-10-29 22:24:03 | 000,002,425 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\askcom.xml
O3 - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-682003330-436374069-1343024091-500..\Run: []  File not found
[2011-07-01 09:07:50 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011-07-01 09:08:00 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
 
:Services
Nero BackItUp Scheduler 4.0
aspnet_state
UIUSys
catchme
PCAMPR5
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kontrolnie wklej nowy log z OTL z tego systemu (bez ekstras)

Odnośnik do komentarza
reptile

reptile

Opublikowano
  • Autor
Opublikowano

Witam,

przesyłam wykonane skany OTL:

1. Laptopa (OTL_lenovo),

2. Komputer1 z XP (OTL_komp),

3. Komputer2 z XP (OTL_p).

 

Ad. 1

Tj. ten odległy komputer, więc już mogę zamieścić skan do weryfikacji. Moje uwagi, to wolno chodzi oraz wczytuje strony oraz pojawiają się jakieś problemy z odczytem w przeglądarkach.

 

Ad. 2

Tj. jeden z komputerów na systemie Win XP, na którym wykonałem drobny skrypt kosmetyczny (chyba na tym nie miałem go wykonywać, tak?), po którym komp. zaczął jakby wolniej reagować/działać, no i co jakiś czas przy wyłączaniu pokazuje się tzw. niebieski ekran śmierci. Dlatego proszę o weryfikację, jeśli pójdzie po skanie z OTL.

 

Ad. 3

Tj. ten drugi (chyba właściwy) komputer, na którym miałem przeprowadzić/wykonać drobny skrypt kosmetyczny. Wykonałem go, żadnych zmian nie zauważyłem, ale tak jak w poprzednim komputerze, pojawia się niebieski ekran przy wyłączaniu go (często) i wyświetla się komunikat o błędzie przeglądarki Microsoftu IE. Wobec Tego zamieszczam skan z OTL bez Extras i Print Screen'a z pojawiającego się błędu.

OTL_lenovo.Txt

OTL_komp.Txt

OTL_p.Txt

post-822-0-10674900-1339363670_thumb.jpg

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Ad3

 

Skrypt poprawnie wykonany. Możesz użyć opcji Sprzątanie z OTL, ale system jest nieaktualny i wymaga instalacji Service Pack 3 oraz IE 8 tak więc uzupełnij to: KLIK

 

Ad2

 

Brak jakichkolwiek śladów infekcji. Drona rzecz do wykonania:

 

Start > Uruchom > cmd i wklep kolejno polecenia:

 

sc delete JavaQuickStarterService

sc delete cpuz135

 

Ad1

 

Także brak infekcji i kosmetyka w postaci usuwania pustych usług:

 

Start > Uruchom > cmd i wklepuj

 

sc delete ZTEusbser6k

sc delete ZTEusbnmea

sc delete ZTEusbmdm6k

sc delete massfilter

sc delete cpuz135

 

Logów żadnych już oglądać nie muszę.

 

Jeśli zaś chodzi o błędy, to kwestia ustawień IE. Panel sterowania > Opcje internetowe > Zabezpieczenia > Poziom niestandardowy

 

"Uruchamianie formatów ActiveX i dodatków plug-in" ma byc zaznaczona na Włącz

"Wykonywanie skryptów formatów AvtiveX zaznaczonych jako bezpieczne*" ma być na Włącz

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...