Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus policyjny

Ezmaxi

Przez Ezmaxi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Tu jest jeszcze źle doczyszczona infekcja Qooqlle i inne stare. Przy okazji będę usuwać szczątki po nieistniejącym już jako zainstalowany Firefoxie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Maxi\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Maxi\wgsdgsdgdsgsd.exe
C:\Documents and Settings\Maxi\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\Documents and Settings\Maxi\delself.bat
C:\Documents and Settings\Maxi\Dane aplikacji\chrtmp
C:\Documents and Settings\Maxi\Dane aplikacji\steam_md4.dat
C:\Documents and Settings\Maxi\Dane aplikacji\funowy.scr
C:\Documents and Settings\Maxi\Dane aplikacji\opiqahy._sy
C:\Documents and Settings\Maxi\Dane aplikacji\logs.dat
C:\Documents and Settings\Maxi\Ustawienia lokalne\Dane aplikacji\Codecs.exe
C:\Documents and Settings\Maxi\Ustawienia lokalne\Dane aplikacji\nircmd.exe
C:\Documents and Settings\Maxi\Ustawienia lokalne\Dane aplikacji\operaprefs.ini
C:\Documents and Settings\Maxi\Ustawienia lokalne\Dane aplikacji\ycav.dll
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\19Rgeit2iTqrf7M2Ql65
C:\Documents and Settings\All Users\nircmd.exe
C:\Documents and Settings\All Users\timerxfile
C:\Documents and Settings\All Users\datesavefile
C:\Documents and Settings\All Users\varsavefile
C:\Documents and Settings\All Users\operaprefs.ini
C:\Documents and Settings\All Users\Dane aplikacji\ytew.vbs
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\System32\rp_stats.dat
C:\WINDOWS\System32\rp_rules.dat
C:\Program Files\Mozilla Firefox
C:\Documents and Settings\Maxi\Dane aplikacji\Mozilla
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKU\S-1-5-21-1844237615-1960408961-725345543-1004\..\SearchScopes\{56CA642F-1CB3-4488-93B2-B67E0A257035}: "URL" = "http://flvtubesearch.co/?tmp=toolbar_FlvTube_results&prt=flvtubetb01ie&Keywords={searchTerms}&clid=f3a24d28dde2420ca4fa1feea33ca8f5"
IE - HKU\S-1-5-21-1844237615-1960408961-725345543-1004\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={CD169C88-C38D-4E9A-B7E1-1CE2C02643B2}&mid=7d0a1eba32ea47d0af22d15696b1a953-ffcce48bdfd746d3468de94485178e3ab4e29752&lang=pl&ds=xn011&pr=sa&d=2012-09-12 14:49:18&v=13.0.0.7&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1844237615-1960408961-725345543-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
O2 - BHO: (D) - {1C0F7050-7D67-3924-8AE6-F485FBC2E21D} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O3 - HKU\S-1-5-21-1844237615-1960408961-725345543-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O4 - HKLM..\Run: [braviax] File not found
O4 - HKLM..\Run: [GEST] m‘|\ü File not found
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
O4 - HKU\S-1-5-21-1844237615-1960408961-725345543-1004..\Run: [aEEwNv4TiuwnvND4aFLl6rAh7W] C:\DOCUME~1\Maxi\USTAWI~1\Temp\MuGoB.exe File not found
O4 - HKU\S-1-5-21-1844237615-1960408961-725345543-1004..\Run: [braviax] File not found
O4 - HKU\S-1-5-21-1844237615-1960408961-725345543-1004..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.0.0\ToolbarUpdater.exe -- (vToolbarUpdater13.0.0)
SRV - File not found [Auto | Stopped] -- C:\Program Files\FlvTube Toolbar\FlvTubeSvc.exe -- (FlvTube Toolbar Helper)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Maxi\USTAWI~1\Temp\ldiskl.sys -- (ldiskl)
DRV - [2012-09-12 13:48:38 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj DAEMON Tools Toolbar (adware) oraz Windows Media Player Firefox Plugin (nie ma tu już Firefoxa).

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. By GMER się prawidłowo uruchomił, należy usunąć DAMON Tools, by te stare sterowniki zostały skasowane:

 

DRV - [2004-08-22 15:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)

DRV - [2004-08-22 15:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Problem nadal jest, bo właśnie pliki tej infekcji nie zostały skasowane. Czy przy przetwarzaniu skryptu był jakiś błąd / reset systemu nie wtedy kiedy należy? Ale to dziwne, bo widać, że przetworzona została prawie cała formuła skryptu, tylko pliki tej infekcji nie zostały skasowane na zasadzie wyjątku. Powtórka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Maxi\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\Maxi\wgsdgsdgdsgsd.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras). I dołącz wszystkie logi z usuwania OTL, są w katalogu D:\_OTL.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Hmmm ... dziwne rzeczy. Pierwsze podejście ze skryptem usuwało pomyślnie pliki infekcji:

 

All processes killed
========== FILES ==========
C:\Documents and Settings\Maxi\Menu Start\Programy\Autostart\runctf.lnk moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad moved successfully.
C:\Documents and Settings\Maxi\wgsdgsdgdsgsd.exe moved successfully.

 

Nie rozumiem skąd te pliki (jakoby usunięte) się ujawniły w drugim podejściu. W każdym razie powtórne usuwanie było pomyślne i możemy przejść do:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Wyniki MBAM: drobne odpadki infekcji i adware (Malware.Trace + PUP.Zwangi) oraz rekonfiguracje Centrum zabezpieczeń (PUM.Disabled.SecurityCenter + Hijack.SecurityCenter). Usuń wszystko. Po tej operacji ponów czyszczenie folderów Przywracania systemu.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu posiadasz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
 
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll

 

W podsumowaniu: odinstaluj wszystkie wyliczone pozycje Adobe / Java / Silverlight i zastąp najnowszymi (o ile w ogóle potrzebne), zaktualizuj też Skype.

 

3. Nie posiadasz żadnego programu zabezpieczającego. Przykładowe darmowe propozycje: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus.

 

 

Uwaga poboczna: widzę zainstalowany koszmar Gadu-Gadu 10. Program zasobożerny, więcej reklam niż rzeczywistych funkcji. Zainteresuj się alternatywnymi programami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...