wladek141 Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 witam! od dni wczorajszego mam cos takiegona komputere, ze jak go wlanczam pojawia sie jak by okno reklamy pisze ze to script i w nim wszystko po arabsku i jak daje "alt+ctrl+delete" w procesach widze pelno iexplore.exe i co chwila dochodza nowe i komp tak muli, ze nie moge nic zrobic, w tej reklamie jest do wsisnenia albo "x" lub ok. logi zrobione w trybie awaryjnym. oto logi z otl. prosze o pomoc. //logi udalo sie zrobic na kompie jakos plik "new text document" zawiera log z gmer OTL.Txt New Text Document.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Logi zrobione z poziomu niewłaściwego konta, wbudowanego w system Administratora a nie konta użytkownika: Computer Name: 66GSM-47D8763EC | User Name: Administrator | Logged in as Administrator. To konto nawet nie było aktywne przed przejściem w Tryb awaryjny (widać świeży zrzut katalogu na dysk). Konta mają inne rejestry i foldery, logi muszą być robione z poziomu konta, na którym po raz pierwszy ujawnił się problem. Przeloguj się na właściwe konto, zrób nowe logi, podmień załączniki w pierwszym poście i na PW zawiadom o edycji. Poza tym, obowiązkowym logiem jest także GMER. EDIT: Pliki podmienione. Tylko, że tym razem zabrakło pliku OTL Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Infekcje tu są, najgorsza to ten sfałszowany sterownik "nVidia": DRV - [2012-12-07 14:11:32 | 000,017,152 | ---- | M] (NVIDIA Corporation) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\nvmini.sys -- (nvmini) To komponent wirusa w plikach wykonywalnych (atak na wszystkie pliki na wszystkich dyskach). Tu jest prawdopodobieństwo formatu całego dysku... Podejście próbne: 1. Skrypt wstępny (nie zatrzyma wirusa). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [bEWINTERNET-PL-IEWSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O4 - HKCU..\Run: [Wpnanw] C:\Documents and Settings\Gliwice\Application Data\Wpnanw.exe () [2012-12-07 13:13:39 | 000,236,458 | ---- | C] () -- C:\Documents and Settings\Gliwice\atar.exe [2012-12-04 19:31:00 | 000,236,458 | ---- | C] () -- C:\Documents and Settings\Gliwice\Connectio.exe [2012-11-19 15:57:46 | 000,017,152 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\drivers\IsDrv118.sys DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmini] "Start"=dword:00000004 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. Po restarcie przez SHIFT+DEL skasuj folder C:\_OTL. 2. Zrób pełne skanowanie za pomocą Kaspersky Virus Removal Tool. Ustaw w konfiguracji skan wszystkich dysków (C + D). 3. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) oraz GMER. Dodaj statystyki "Detected" z Kasperskiego. . Odnośnik do komentarza
wladek141 Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 zrobione wszystko jak bylo napisane. oto logi Extras.Txt KASPERSKY.txt OTL.Txt zgmera.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Niestety, ale nie jest dobrze. Sterownik nvmini jest w GMER i tym razem już całkiem ukryty, bo OTL go nie widzi. To oznacza, że infekcja jest czynna. Poza tym, w Kasperskym wyniki są opisane jako "Detected", czyli żadnego usuwania nie było? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Wpnanw] C:\Documents and Settings\Gliwice\Application Data\Wpnanw.exe File not found :Files rd /s /q C:\RECYCLER /C Klik w Wykonaj skrypt. Po tym przez SHIFT+DEL skasuj katalog C:\_OTL. 2. Zrób ponownie skan Kasperskym i tym razem przyznaj akcje domyślnie dobrane przez narzędzie (Delete / Cure). 3. Zrób nowy log OTL z opcji Skanuj + GMER. Dołącz wyniki z Kasperskiego. . Odnośnik do komentarza
wladek141 Opublikowano 9 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2012 wszystko zrobione jak bylo pisane. jedynie czego nei moge zrobic to usunac folderu OTL...bo mam taki blad:"Cannot remove folder Application Data: The directory is not empty"..a reszte logow w zalaczniku. a loga z kasperskiego nie moge dac chodz mam w txt OTL.Txt GMERLOGGG.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 loga z kasperskiego nie moge dac chodz mam w txt Rozmiar pliku? Chodzi mi tylko o wyniki infekcyjne a nie cały log z wszystkim. Tu nadal działa infekcja. Powrócił usuwany tu już Wpnanw.exe. Plik jest ukryty i w GMER go widać, w OTL nie. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tester /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Wpnanw /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\Gliwice\Application Data\Wpnanw.exe" "C:\_OTL\MovedFiles\12072012_162552\C_Documents and Settings\Gliwice\Application Data\Wpnanw.exe" "C:\Documents and Settings\Gliwice\atar.exe" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Zrób nowy log OTL z opcji Skanuj + GMER. Wklej też wprost do posta zawartość raportu BlitzBlank. . Odnośnik do komentarza
wladek141 Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 wszystko zrobione tak jak było o to poproszone, wszystko w załączniku. pozdrawiam BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\gliwice\application data\wpnanw.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\_otl\movedfiles\12072012_162552\c_documents and settings\gliwice\application data\wpnanw.exe", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\gliwice\atar.exe", destinationFile = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" ZGMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Tym razem obiekt pomyślnie usunięte. Przeprowadź kolejne czynności: 1. W międzyczasie instalowałeś KMPlayer. Przy instalacji nie odznaczyłeś zbędnika Pandora TV Service. Odinstaluj. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie, ręcznie skasuj obiekty BlitzBlank. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób ponownie pełny skan Kasperskym wszystkich dysków i podaj mi czy coś nadal wykrywa. PS. Mam jeszcze pytanie, czy ten plik WAŻNE musi być uruchamiany w Autostarcie? O4 - Startup: C:\Documents and Settings\Gliwice\Start Menu\Programs\Startup\Shortcut to WAŻNE.lnk = C:\Documents and Settings\Gliwice\Desktop\WAŻNE.txt () . Odnośnik do komentarza
wladek141 Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 (edytowane) Witam! Wszystko zrobione tak jak było napisane. JEśli chodzi o autostart, ten plik musi być, bo to jest komputer służbowy i na nim pracuje 2 ludzi na zmiane, i przekazują sobie w nimn informacje, od razu jak sie system uruchomi wiedzą co i jak. Przez noc zrobie Skana Kasperskim i dam loga z niego edytujac post. bo u mnie pare godzin leci skan, a jutro bede w pracy wiec rano wrzuce loga. pozdrawiam Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Log nie dostarczony. Temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi