SMART Check - wirus

[Anonim6]

Witam, komputer kolegi , ponownie zlapal jakies wynalazki. W trybie awaryjnym zrobione OTL + Gmer, ale ten ostatni chyba nie bardzo chcial skanowac ofiare.

Extras.Txt

OTL.Txt

 

 

System pogubil programy i dysk D jest widoczny z klodkami na dziwnych plikach. Ekran na czarno i tylko ikona komputra i kosza.

To z grubsza tyle. Nie szukalem dalej anomali. Prosze oczywiscie o pomoc.

 

@edit

tak sobie amatorsko przegladam i pewnie to jedna macka hydry

biiWPEJPdbnXvw.exe] C:\ProgramData\biiWPEJPdbnXvw.exe ()

[Landuss]

System pogubil programy i dysk D jest widoczny z klodkami na dziwnych plikach

 

A co ogólnie jest na tym dysku? I screen by się przydał jak te pliki wyglądają.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-79357084-2970348366-4253664104-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=e601d6ca00000000000090e6ba81978e
IE - HKU\S-1-5-21-79357084-2970348366-4253664104-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-79357084-2970348366-4253664104-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=e601d6ca00000000000090e6ba81978e
[2012/04/12 17:37:38 | 000,000,000 | -H-D | M] (Babylon) -- C:\Users\Sylwia\AppData\Roaming\mozilla\Firefox\Profiles\047lnf8x.default\extensions\ffxtlbr@babylon.com
[2012/04/12 17:37:04 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [biiWPEJPdbnXvw.exe] C:\ProgramData\biiWPEJPdbnXvw.exe ()
[2012/07/02 21:22:57 | 000,000,136 | -H-- | C] () -- C:\ProgramData\-YDK6mFoQpWHJRmr
[2012/07/02 21:22:57 | 000,000,000 | -H-- | C] () -- C:\ProgramData\-YDK6mFoQpWHJRm
[2012/07/02 21:22:53 | 000,000,256 | -H-- | C] () -- C:\ProgramData\YDK6mFoQpWHJRm
[2012/07/02 21:22:42 | 000,254,712 | -H-- | C] () -- C:\ProgramData\YDK6mFoQpWHJRm.exe
 
:Services
ipswuio
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[Anonim6]

Scriny dodatkowe http://imageshack.us...kasztrojan.jpg/

Taki komunikat otrzymalem przy probie uruchomienia Gmera z pena http://imageshack.us...ukaszstart.jpg/ , a obok menu START.

 

Zaraz beda logi OTL.

Extras.1Txt.txt

OTL1.Txt

 

'EDIT

System uruchomil sie bez SMART-a. Czarny ekran w dalszym ciagu. Menu start jak na scrinie. Dysk D bez zmian.

[Landuss]

Te foldery na dysku "D" to wygląda na pochodne od aktualizacji Windows, zaś kłódki są dlatego, że pewnie są zablokowane (brak uprawnień). Te foldery spokojnie można usunąć, nie są do niczego potrzebne jednak w związku z tym, że są te kłódki to może być pomocne narzędzie GrantPerms, w oknie wklejasz ścieżkę do folderu i klik w Unlock. Próbujesz usuwania katalogów przez SHIFT+DEL. Ewentualnie alternatywnie można też uruchomić narzędzie do oczyszczania dysku (to wbudowane w system).

 

Według logów infekcja usunięta i nie ma się tu już do czego przyczepić. Gmera sobie odpuść skoro sprawia problem.

 

Menu start jak na scrinie

 

Nad tym się zastanowię, ale jako że tu jest Windows 7 to sprawdziłbym poprawność plików. Komenda sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

[Anonim6]

Dzieki za info i pomoc. Przerywamy na dzis. Pilny wyjazd. Odezwe sie po powrocie.

[picasso]

System pogubil programy (...) Ekran na czarno i tylko ikona komputra i kosza. (...) Czarny ekran w dalszym ciagu. Menu start jak na scrinie.

 

Jest to definitywnie robota infekcji. Opis SMART Check: KLIK. I korespondująco do opisu:

 

1. Step 6: ukrywa pliki użytkownika na dysku przez atrybuty HS ("ukryty systemowy"). Do zastosowania aplikacja Unhide.

 

2. Step 7: przesuwa skróty do lokalizacji tymczasowej. Niestety, Landuss zbyt się pośpieszył i zapuścił komendę [emptytemp], co wyczyściło na zero te miejsca i odzyskać tego już nie da rady z lokalizacji tymczasowej.

 

----> Unhide też adresuje obiekty Menu Start i Pulpitu. Dodatkowo sprawdź RogueKiller i opcję ShortcutsFix, czy to coś zdziała. Jeśli obie aplikacje nie będą mieć żadnych pozytywnych skutków dla przywrócenia pierwotnej zawartości:

 

----> Dodaj dir katalogów Menu Start i Pulpitu. Uruchom SystemLook i do skanu wklej:

 

:dir
C:\Users\Sylwia\Desktop /s
C:\Users\Public\Desktop /s
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu /s
C:\ProgramData\Microsoft\Windows\Start Menu /s

 

----> Sprawdź czy zadziała trik, który podawałam Ci przy problemie z usuniętymi dokumentami z Pulpitu, czyli szukanie poprzednich wersji folderów w kopiach cieniowych. Czyli z prawokliku na tła folderów:

 

C:\Users\Sylwia

C:\Users\Public

C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows

C:\ProgramData\Microsoft\Windows

 

Właściwości > Poprzednie wersje > wertuj wg dat w poszukiwaniu pełnych katalogów Desktop i Start Menu, o ile jest co wertować ...

 

3. Step 8: modyfikuje temat graficzny Windows. Należy to skorygować w opcjach. Panel sterowania > Wygląd i personalizacja > Zmień kompozycję + Zmień tło Pulpitu.

 

 

 

.

[Anonim6]

Witam, mialem troche zajec - przepraszam.

Z podanych krokow wykonalem tylko

Dodatkowo sprawdź RogueKiller i opcję ShortcutsFix

co przywrocilo foldery i opcje -START-. Wyglada , ze jest ok. Przelecialem Mbam-em

Zalaczam log.

mbam-log-2012-07-06 Lukasz.txt

 

Dysk ma jeden bardzo wolny sektor 500ms co samo w sobie moze opozniac prace systemu. Inne parametry SMART fatalne o czym juz z kolega rozmawialem.

Na wszelki wypadek zrobilem jeszcze raz OTL-a, a jesli jest potrzebna jakas akcja to bardzo prosze o info. Troche chaotycznie do tego podszedlem, ale czas mnie zabija w tym tygodniu. Dzieki za pomoc.

Zaraz wkleje logi.

OTLdzis.Txt

Extrasdzis.Txt

[picasso]

Z podanych krokow wykonalem tylko RogueKiller i opcję ShortcutsFix co przywrocilo foldery i opcje -START-

 

Nic nie wypowiadasz się na temat czarnego ekranu, czy to zostało skorygowane w opcjach wyglądu.

 

 

Przelecialem Mbam-em

 

Tu nic szczególnego, to adware z innego miotu a nie nasz "SMART przyjaciel".

 

 

Na wszelki wypadek zrobilem jeszcze raz OTL-a, a jesli jest potrzebna jakas akcja to bardzo prosze o info.

 

Reperacje wykonane, skan w MBAM zrobiony, nic więcej podejrzanego w logach nie widzę. Możemy przejść do wykończeń:

 

1. Skasuj z dysku ten odpadkowy folder po adware Babylon i nadrzędny folder z którego MBAM kasował śmieci:

 

C:\Users\Sylwia\AppData\Roaming\Babylon

C:\Users\Sylwia\AppData\Roaming\Media Finder

 

2. Znajome Sprzątanie w OTL + czyszczenie folderów Przywracania systemu.

 

3. Aktualizacje. Tu z listy zainstalowanych wersje / co sprawdzić (nie widać tu np. dokładnej wersji Flash dla IE):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak SP3
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.2) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

 

 

.

[Anonim6]

Sorry za opoznienie. Dzieki. Wszystko dziala, a dodatkowe akcje wykonalem. Kolega kupuje SSD wiec i tak bedzie instalka za pare dni. Pozdrawiam.