BobBudowniczy Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Witam. Niestety ale komputer dzieciaków padł "ofiarą" tego malware . Próbowałem samodzielnie pozbyć się tego dziadostwa przy pomocy http://www.bleepingc...security-shield i wydawało się ,że wszystko poszło ok. jednak tylko do dzisiaj . OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
BobBudowniczy Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 SystemLook 30.07.11 by jpshortstuff Log created at 20:53 on 10/07/2012 by Tyska Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) :Files C:\Windows\Tasks\Yfrgga.job C:\Windows\System32\drvinst5.dll C:\ProgramData\F4D562BF00717633037B7623B4EB238B C:\Users\Dzieciaki\AppData\Local\{61b9efe5-b600-379c-58d3-2b5133f1a506} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DealPly / DAEMON Tools Toolbar / Softonic Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
BobBudowniczy Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. przy pierwszej próbie wykonania skryptu Avira krzyczała o trzech infekcjach i komputer się zawiesił , dopiero drugie podejście się udało. Exported events: 2012-07-11 14:14 [Guard] Malware found Virus or unwanted program 'TR/Graftor.35578 [trojan]' detected in file 'C:\_OTL\MovedFiles\07112012_141414\C_Windows\System32\drvinst5.dll. Action performed: Allow access 2012-07-11 14:14 [Guard] Malware found Virus or unwanted program 'TR/Sirefef.P.869 [trojan]' detected in file 'C:\_OTL\MovedFiles\07112012_141414\C_Users\Dzieciaki\AppData\Local\{61b9efe5-b6 00-379c-58d3-2b5133f1a506}\n. Action performed: Allow access 2012-07-11 14:11 [Guard] Malware found Virus or unwanted program 'TR/Sirefef.P.869 [trojan]' detected in file 'C:\Users\Dzieciaki\AppData\Local\{61b9efe5-b600-379c-58d3-2b5133f1a506}\n. Action performed: Deny access FSS.txtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... OTL2.TxtPobieranie informacji ... usuwanie.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Wygląda, że wszystko usunięte jak trzeba. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do wersji najnowszych: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi