utah69 Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Witam serdecznie. Mam problem z tym wirusem i niewiem od jakich programów zaczą proszę o pomoc. Dzięki Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Zasady działu wszystko objaśniają: KLIK. Czyli startujesz w Trybie awaryjnym, logujesz się na właściwe konto (to na którym ujawniła się infekcja), robisz logi do oceny. Odnośnik do komentarza
utah69 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Witam wykonałem skrypty. Czekam na dalsze instrukcje Pozdrawiam Poprawione tylko w OTL wyskoczył jakiś błąd musiałem go pominąc niewiem czy był on istotny Mam nadzieje że wszystko zrobiłem jak należy OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Infekcji tu chmara, nie tylko UKASH, w tym trojan sdra64.exe przechwytujący (!) dane. Mówiłam: Czyli startujesz w Trybie awaryjnym, logujesz się na właściwe konto (to na którym ujawniła się infekcja), robisz logi do oceny. Nie wygląda na to, by logi były zrobione z tego konta co należy. Podane tu zrobiono z poziomu wbudowanego w system Administratora a nie konta użytkownika: Computer Name: KASPRZAKOWIE | User Name: Administrator | Logged in as Administrator. Konta mają różne rejestry i foldery, logi muszą być zrobione z poziomu konta na którym nastąpiła infekcja. Przeloguj się na właściwe konto, zrób nowe logi z OTL, podmień załączniki w poście powyżej i zawiadom na PW o edycji. EDIT: Logi podmienione. Przechodzimy do czyszczenia: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\1025fa.exe srv -- (srserviceUPSPolicyAgentSpoolerSwPrv) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\12520437quj.exe srv -- (srserviceUPSPolicyAgentSpooler) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\aaaamonu.exe srv -- (srserviceUPSPolicyAgent) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\acleditw.exe srv -- (srserviceUPS) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\12520437c.exe srv -- (srserviceERSvcSENSSamSsVSSwscsvcupnphost) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\12520437qujp.exe srv -- (srserviceERSvcSENSSamSs) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\1042s.exe srv -- (srserviceERSvcSENS) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\aaaamonzd.exe srv -- (srserviceERSvcERSvc) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\amstreamx.exe srv -- (srserviceERSvc) SRV - [2009-03-08 15:38:34 | 000,057,856 | RHS- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\12520437qujy.exe -- (ALGdmadmin) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ws2_32sik.sys -- (ws2_32sik) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\systemntmi.sys -- (systemntmi) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\securentm.sys -- (securentm) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\port135sik.sys -- (port135sik) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\nicsk32.sys -- (nicsk32) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\netsik.sys -- (netsik) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ksi32sk.sys -- (ksi32sk) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\i386si.sys -- (i386si) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\fips32cup.sys -- (fips32cup) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ati64si.sys -- (ati64si) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\amd64si.sys -- (amd64si) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\acpi32.sys -- (acpi32) O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\All Users\Dane aplikacji\mrkyqrii) - C:\Documents and Settings\All Users\Dane aplikacji\mrkyqrii.exe () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe () O27 - HKLM IFEO\RapportMgmtService.exe: Debugger - ZASRAKOMONDOHUI31338.EXE File not found O27 - HKLM IFEO\RapportService.exe: Debugger - ZASRAKOMONDOHUI31338.EXE File not found O29 - HKLM SecurityProviders - (digeste.dll) - File not found O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledAddons: {88c7f2aa-f93f-432c-8f0e-b7d85967a527}:3.15.1.0 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: {88c7f2aa-f93f-432c-8f0e-b7d85967a527}:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" :Files C:\Documents and Settings\Kasprzak\Ustawienia lokalne\Dane aplikacji\mrkyqrii.exe C:\Documents and Settings\Kasprzak\Dane aplikacji\mrkyqrii.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\mrkyqrii.exe C:\Documents and Settings\Administrator\Dane aplikacji\mrkyqrii.exe C:\Documents and Settings\Kasprzak\Dane aplikacji\Mozilla\Firefox\Profiles\lni07gql.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} C:\Documents and Settings\Kasprzak\Dane aplikacji\Mozilla\Firefox\Profiles\lni07gql.default\searchplugins\conduit.xml netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar, Conduit Engine, Free_Lunch_Design Toolbar, Yahoo! Companion. 4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
utah69 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Witam Zrobiłem szczystko o czym mówiłaś nie mam tylko OTL z usuwania nie moge go znalesc. Z GMER-a niemoge wysłac pisze ze nie mam uprawnien chyba że coś znowu sknociłem Pozdrawiam OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Log z usuwania OTL jest w katalogu C:\_OTL. GMER nie możesz dołączyć, bo zapisałeś plik z rozszerzeniem *.LOG, a załączniki akceptują tylko *.TXT = ręcznie zmień nazwę pliku i doczep plik. Odnośnik do komentarza
utah69 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Zrobione Gmer.txt 09102012_194521.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 (edytowane) To na pewno pełny skan GMER a nie preskan? O ile większość czyszczenia wykonana, to nie odinstalowałeś Yahoo! Companion oraz jest problem (spodziewałam się tego) z tym trojanem: Files\Folders moved on Reboot...File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot. Tu trzeba zastosować mocniejsze narzędzie niż OTL. Uruchom ComboFix i przedstaw wynikowy raport. . Edytowane 12 Października 2012 przez picasso 12.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi