Radom Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Problem z trojanem Jorik załączam logi z OTL niestety Gmer nie chce się zainstalować wyrzuca komunikat: LoadDriver ("C:\DOCUME~1\Radom\USTAI~1\Temp\fgrdypog.sys") error 0xC00000001: Dla usuwalnego klucza nie można utworzyć stałego podklucza C:\WINDOWS\system32\config\system: proces nie oże uzyskać dostępu do pliku, ponieważ jest onużywany przez inny proces Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 GMER ma problem, bo tu jest rootkit Necurs: DRV - [2012-07-07 09:32:22 | 000,066,896 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\e95cc56c43bd9a05.sys -- (e95cc56c43bd9a05) Cechą tego rootkita jest zapobieganie działaniu sterowników programów skanujących. Pada GMER i antywirusy. 1. Pierwszy krok to zwalczenie rootkita. Zastosuj zgodnie z opisem ESET Necurs Remover i zresetuj system. 2. Kolejny krok to usunięcie pozostałych elementów infekcji i wpisów "not found". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKCU..\Run: [ifywymeewb] C:\Documents and Settings\Radom\ifywymeewb.exe () O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz GMER (powinien zacząć działać). Dołącz log z usuwania OTL z punktu 2. . Odnośnik do komentarza
Radom Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 (edytowane) Drugi skan OTL: OTL.Txt Edytowane 10 Lipca 2012 przez picasso Oczekuję na logi z usuwania OTL i GMER. //picasso Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Log z usuwania OTL nie został dołączony. Prosiłam też o skan GMER. Brak odezwu. Ponadto, widzę, że nie został przygotowany grunt pod prawidłowe uruchomienie GMER, działa sterownik emulacji napędów wirtualnych (KLIK): DRV - [2010-02-01 19:53:22 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Nowy skan z OTL poświadcza, że ESET Nerurs Remover wykonał robotę. Sterownik rootkita jest zdekompletowany i jego resztki można już usuwać tradycyjną drogą. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\e95cc56c43bd9a05.sys -- (e95cc56c43bd9a05) O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found [2012-07-07 09:32:22 | 000,066,896 | ---- | C] () -- C:\WINDOWS\System32\drivers\e95cc56c43bd9a05.sys.vir Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z usuwania automatycznie utworzony w punkcie 1. . Odnośnik do komentarza
Radom Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Żona w 9 mc dlatego taki wolny odzew. Edycję mojego postu widziałem. Dołączam wyniki z OTL po wykonaniu skryptu oraz logi z OTL i Gmera. Nie posiadam zainstalowanego wirtualnego napędu. Był ale przed jakimikolwiek działaniami odinstalowałem go, SPTD Setup 1.82 podaje informację: No SPTD version was detecte.Select action to be performed. I tam pozostaje aktywne tylko install i cancel poskrypcie.txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 To jest zły log z usuwania OTL. Przedstawia skrypt numer 1, na dodatek .... wszystko "not found", co sugeruje, że puściłeś go dwa razy. To jest bezcelowe. Skrypt nie przetworzy po raz drugi tego samego. Brak tu loga z usuwania numer dwa. Ono zresztą nie wygląda w ogóle na wykonane, bo nadal plączą się resztki sterownika rootkita Necurs. 1. Puść nowy skrypt o zawartości: :OTL DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\e95cc56c43bd9a05.sys -- (e95cc56c43bd9a05) [2012-07-07 09:32:22 | 000,066,896 | ---- | C] () -- C:\WINDOWS\System32\drivers\e95cc56c43bd9a05.sys.vir 2. Przedstaw log z usuwania. Nowy skan OTL już niepotrzebny. Nie posiadam zainstalowanego wirtualnego napędu. Był ale przed jakimikolwiek działaniami odinstalowałem go, SPTD Setup 1.82 podaje informację W logu niezmiennie uruchomiony: DRV - [2010-02-01 19:53:22 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Skoro brak tu aplikacji do wirtualnych napędów, a narzędzie SPTDinst tego nie widzi, zadam usuwanie ręczne. Po potwierdzeniu wykonania w/w skryptu. . Odnośnik do komentarza
Radom Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Dołączam plik po ostatnim skrypcie poskrypcie.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Skrypt wykonany. Możemy przejść do: 1. Usunięcie sterownika SPTD: ---- Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd Dwuklik na wartość Start i zmień aktualne 0 na 4. Zresetuj system, co odładuje sterownik z pamięci. ---- Następnie uruchom MiniRegTool i w oknie wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\cfg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. Wynikowo powstanie log delete.txt. Pro forma wklej zawartość do posta (log krótki). ---- Skasuj z dysku plik C:\WINDOWS\system32\drivers\sptd.sys 2. Porządki po narzędziach: w OTL uruchom Sprzątanie, a Necurs Remover usuń ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zbadaj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie opcje do skanu, co bardzo wydłuży skan, ale będzie pewniejsze. Podaj raport z wynikami typu "Detected", o ile takie będą. . Odnośnik do komentarza
Radom Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Ok wszystko wyczyszczone. Wielkie dzięki. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Rozumiem, że Kaspersky nic nie znalazł? Odinstaluj ten skaner (to jednorazówka), chyba że to już nastąpiło (czyni to zamknięcie okna). Na zakończenie: 1. Dobierz ochronę, notowalny brak rezydentnego antywirusa. Z darmowych np. do wyboru: COMODO Internet Security, Avast, AVG, Panda Cloud Antivirus, Microsoft Security Essentials 2. Wykonaj aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0F9196C6-58B4-445B-B56E-B1200FECC151}" = Microsoft Bootvis"{1701765B-6D93-43C6-A835-DD423517581F}" = OpenOffice.org 3.2"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"ffdshow_is1" = ffdshow [rev 3137] [2009-12-02]"Gadu-Gadu" = Gadu-Gadu 7.6"Kaspersky Online Scanner" = Kaspersky Online Scanner"KLiteCodecPack_is1" = K-Lite Codec Pack 2.77 Full"SkanerOnline" = Skaner on-line mks_vir MKS, BootVis, Kaspersky Online to próchna = out. Kodeki okropnie przestarzałe i tu na widoku kłopoty w powłoce, do wymiany. Gadu w wersji 7 zakreślam, bo to też lewe, czyli: niski poziom bezpieczeństwa (brak szyfrowanego łączenia = możliwość podsłuchu) i brak zgodności z własną siecią. Jeśli szukasz czegoś lekkiego, to przyjrzyj się na WTW lub Mirandę. Opis w artykule Darmowe komunikatory . Odnośnik do komentarza
Radom Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Kaspersky znalazł dwa pliki Status: Deleted (events: 2) 2012-07-11 20:06 Deleted Trojan program Trojan-Downloader.JS.Iframe.bda D:\BACKUP_SZKOŁY\public_html\mat_pr_0808\_vti_cnf\index.html High 2012-07-11 20:06 Deleted Trojan program Trojan-Downloader.JS.Iframe.bda D:\BACKUP_SZKOŁY\public_html\niemcy_08\_vti_cnf\index.html High Jak nazwa wskazuje są to pliki z backupu www szkoły. Zostały wywalone i zmienione na czyste wersje. 04.07.2012 przez wirusa na komputerze starego administratora, który jeszcze posiadał dostęp do strony (polityka szkoły) wirsu dopisał mi do html, php kod javascript, który usuwałem trzy dni później. Z ciekawości sprawdziłem gdzie kierował tylko, zamiast sprawdzić to na Virtualu bądź liveCD, sprawdziłem na tym komputerze. Część z przestarzałych programów jest praktycznie nie używana (gg, skype, MKS) pozostały jako jakieś stare śmieci. Komputer działa praktycznie od 8 lat nie formatowany tylko czasem przeczyszczany. Od chyba sześciu lat, kiedy skończyła mi się subskrypcja na trend micro działa bez wirusa. Jako zabezpieczenia używam własnej głowy. Jedyne wirusy jakie łapałem to j/w na własne życzenie ale samemu też je usuwałem. Teraz o czym wspomniałem wcześniej żona w zaawansowanej ciąży i samemu nie mogłem siedzieć i kombinować. A wiem że tutaj dostane szybką i fachową odpowiedź. Do tej pory każdego wirusa udało mi się samemu pozbyć, ten pewnie też by poległ. Jeszcze raz dziękuje i pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi