BobBudowniczy Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Witam. Niestety ale komputer dzieciaków padł "ofiarą" tego malware . Próbowałem samodzielnie pozbyć się tego dziadostwa przy pomocy http://www.bleepingc...security-shield i wydawało się ,że wszystko poszło ok. jednak tylko do dzisiaj . OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
BobBudowniczy Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 SystemLook 30.07.11 by jpshortstuff Log created at 20:53 on 10/07/2012 by Tyska Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) :Files C:\Windows\Tasks\Yfrgga.job C:\Windows\System32\drvinst5.dll C:\ProgramData\F4D562BF00717633037B7623B4EB238B C:\Users\Dzieciaki\AppData\Local\{61b9efe5-b600-379c-58d3-2b5133f1a506} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DealPly / DAEMON Tools Toolbar / Softonic Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
BobBudowniczy Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. przy pierwszej próbie wykonania skryptu Avira krzyczała o trzech infekcjach i komputer się zawiesił , dopiero drugie podejście się udało. Exported events: 2012-07-11 14:14 [Guard] Malware found Virus or unwanted program 'TR/Graftor.35578 [trojan]' detected in file 'C:\_OTL\MovedFiles\07112012_141414\C_Windows\System32\drvinst5.dll. Action performed: Allow access 2012-07-11 14:14 [Guard] Malware found Virus or unwanted program 'TR/Sirefef.P.869 [trojan]' detected in file 'C:\_OTL\MovedFiles\07112012_141414\C_Users\Dzieciaki\AppData\Local\{61b9efe5-b6 00-379c-58d3-2b5133f1a506}\n. Action performed: Allow access 2012-07-11 14:11 [Guard] Malware found Virus or unwanted program 'TR/Sirefef.P.869 [trojan]' detected in file 'C:\Users\Dzieciaki\AppData\Local\{61b9efe5-b600-379c-58d3-2b5133f1a506}\n. Action performed: Deny access FSS.txt AdwCleanerS1.txt OTL2.Txt usuwanie.txt Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Wygląda, że wszystko usunięte jak trzeba. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do wersji najnowszych: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi