Wirus policyjny

[creyn]

Witam.

 

Proszę o pomoc w wyleczeniu się z wirusów. Znalazłem go w C:\Documents and settings\All Users\Dane aplikacji\lsass.exe (i plik dsgds...pad) i usunąłem oba pliki. Dodatkowo usunąłem z autostartu. Czy takie zwykłe usunięcie wystarczy?

 

Załączam logi z OTL sprzed usunięcia. Mam nadzieję, że poprawne.

 

Pozdrawiam

Creyn

Extras.Txt

OTL.Txt

[picasso]

Załączam logi z OTL sprzed usunięcia.

 

Logi powinny być po Twoim usuwaniu, ponieważ nie jest potwierdzone, czy infekcja nie wróciła. A prace jeszcze przed nami. To nie jedyna infekcja w systemie, w starcie uruchamia się tu kolejny trojan (z katalogu Zuarb), ponadto jest adware.

 

1. Odinstaluj adware:

- Przez Dodaj/Usuń programy: 50 FREE MP3s +1 Free Audiobook!, AVG Security Toolbar, Download Updater (AOL LLC), Facemoods Toolbar, Foxit PDF Creator Toolbar, FoxTab PDF Converter, Mario Forever Toolbar, McAfee Security Scan Plus, Przyspiesz Komputer v2.1, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.0, Winamp Toolbar.

- Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację AVG Secure Search, Facemoods, SweetIM for Facebook

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-527237240-616249376-1177238915-1003..\Run: [{F7FF3C5F-198B-AD40-3AB2-812F0704A23D}] C:\Documents and Settings\Marta\Dane aplikacji\Zuarb\ozce.exe ()
O4 - HKLM..\Run: []  File not found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=ST9160411ASG_5TG0PTT0____5TG0PTT0&ts=1348788169"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=ST9160411ASG_5TG0PTT0____5TG0PTT0&ts=1348788169"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={70669793-7123-11E1-A971-001E101FA7A5}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110406205043343&tb_oid=06-04-2011&tb_mrud=06-04-2011"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=F4&apn_dtid=YYYYYYYYPL&apn_uid=5F68B144-9ED4-437A-99D7-23D7D1531CD0&apn_sauid=39625652-D1C6-42CC-8C6B-87F7ECD4C007"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bcd44987000000000000002186e41baa&tlver=1.4.19.19&affID=17160"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={2399494E-651A-4241-B70D-DDA90584C4B3}&mid=9b726f9a3f0947d08891d15756fb2a1a-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=pl&ds=pd011&pr=sa&d=2012-09-28 01:24:25&v=12.2.5.34&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={70669793-7123-11E1-A971-001E101FA7A5}"
IE - HKU\S-1-5-21-527237240-616249376-1177238915-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110406205043343&tb_oid=06-04-2011&tb_mrud=06-04-2011"
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS -- (OMCI)
DRV - File not found [Kernel | Boot | Stopped] --  -- (cerc6)
 
:Files
C:\Documents and Settings\Marta\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Marta\Dane aplikacji\OpenCandy
C:\Documents and Settings\Marta\Dane aplikacji\PriceGong
C:\Documents and Settings\Marta\Dane aplikacji\Zuarb
C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\owaxu.raw
C:\Program Files\mozilla firefox
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Przed uruchomieniem GMER musisz wykonać ogłoszenie o oprogramowaniu emulacyjnym i usunąć ofensywne sterowniki:

 

DRV - [2011-03-13 13:23:28 | 000,223,128 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi)
DRV - [2011-03-13 13:18:59 | 000,642,560 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[creyn]

Dziękuję za odpowiedź.

 

Wykonałem teraz:

1. odinstalowanie Adware

2. skrypt OTL

3. odinstalowanie DeamonToolsa i sterownika (programem SPTDinst)

 

Niestety nie udało mi się uruchomić programu AdwCleaner. Dostaję błąd: Autolt Error: Unable to open the script file.

 

Załączam też nowe logi OTL oraz z Gmera.

 

Pozdrawiam

Creyn

OTL.Txt

[picasso]

Log z GMER jest kompletnie pusty ... Popraw.

 

 

3. odinstalowanie DeamonToolsa i sterownika (programem SPTDinst)

 

Wg OTL został jeszcze ten sterownik:

 

DRV - [2011-03-13 13:23:28 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi)

 

Załączę go w poniższym skrypcie.

 

 

Niestety nie udało mi się uruchomić programu AdwCleaner. Dostaję błąd: Autolt Error: Unable to open the script file.

 

Tylko się upewnię: czy na pewno mówimy o najnowszej wersji 2.008 pobranej świeżo z linków w przyklejonym?

 

 

Póki co podaję poprawkę na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\vfgtrbtb.sys -- (vfgtrbtb)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\nefkwmoz.sys -- (nefkwmoz)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ilkqsscd.sys -- (ilkqsscd)
DRV - [2011-03-13 13:23:28 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dtscsi.sys -- (dtscsi)
DRV - [2012-11-13 01:14:55 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)

 

Klik w Wykonaj skrypt.

 

 

 

.

[creyn]

Dziękuję za odpowiedź.

 

No nie popisałem się z gmerem

 

Załączam:

1. nowy raport GMER (po wykonaniu już dzisiejszego skryptu OTL)

2. nowy raport OTL

 

Co do AdwCleaner, to tak, jest to najnowsza wersja 2.008 z przyklejonego postu. Zapewne nie mam czegoś zainstalowanego, niestety nie znalazłem żadnych wymagań na stronie Adw.

 

Pozdrawiam

Creyn

gmer2.txt

OTL.Txt

[picasso]

Zadania wykonane, została jeszcze korekta domyślnych wyszukiwarek IE, ale z tym się wstrzymuję, bo jeśli AdwCleaner da radę tu uruchomić, to i tak "zepsuje" tę robotę i po nim trzeba będzie ustawiać ponownie. W kwestii:

 

 

Co do AdwCleaner, to tak, jest to najnowsza wersja 2.008 z przyklejonego postu. Zapewne nie mam czegoś zainstalowanego, niestety nie znalazłem żadnych wymagań na stronie Adw.

 

Skąd uruchamiasz AdwCleaner? Sprawdź taki scenariusz: uruchom AdwCleaner z Pulpitu siedząc w Trybie awaryjnym Windows (aktywności antywirusa zostaną zdjęte).

 

 

 

.

[creyn]

AdwCleanera uruchomiony w trybie awaryjnym z pulpitu też zwraca ten sam błąd.

Rozumiem, że bez tego też będzie wszystko ok z komputerem, bo jeśli nie robi nic ważnego, to może pominąć AdwCleanera?

 

Pozdrawiam

Creyn

[picasso]

Ten błąd sugeruje, że coś przeszkadza AdwCleaner i gdyby nie to, że w Trybie awaryjnym też nie wchodzi, podejrzewałabym antywirusa. Czy AdwCleaner pobrał się "w całości"? Dobra, zostawmy AdwCleaner w spokoju.

 

1. Zamiennie użyj Junkware Removal Tool. Przedstaw wynikowy log.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[creyn]

Tak, AdwCleaner ściągnął się w całości, dwa razy. Ale użyłem JRT i logi załączam. Sprzątnąłem OTLa i wyczyściłem foldery Przywracania systemu. AntiMalware wykrył jeden plik, który usunąłem. Logi również zamieszczam.

 

JRT.txt

mbam-log-2012-11-22 (17-51-31).txt

mbam-log-2012-11-22 (18-21-06).txt

 

Pozdrawiam

Creyn

[picasso]

JRT: nieco śmieci adware pokasował. MBAM: wykrył cracka do NOD... Finalizuj temat:

 

1. Drobna poprawka na domyślną wyszukiwarkę Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Przez SHIFT+DEL skasuj folder C:\JRT oraz narzędzie i jego log. Ponów czyszczenie folderów Przywracania systemu.

 

3. Wg raportu OTL masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Foxit Reader" = Foxit Reader
"Opera 12.10.1652" = Opera 12.10

 

Odinstaluj starą Java i zastąp najnowszą, zaktualizuj Operę, upewnij się, że Foxit Reader oraz wtyczka Adobe Flash w Operze są najnowsze, a także zainstaluj pakiet SP3 dla Office 2003.

 

 

PS. Widzę zainstalowane Gadu-Gadu 10. Polecam alternatywne lżejsze programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.