Marylka Opublikowano 19 Stycznia 2013 Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 Dr.WEB CureIt! 8.0 wykrył to w szybkim skanowaniu: OTL - http://www.wklej.org/id/930981/txt/ Extras - http://www.wklej.org/id/930982/txt/ Gmer - http://www.wklej.org/id/932503/txt/ Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 Infekcja jest tu obecna. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\..\SearchScopes\${searchCLSID}: "URL" = "http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [WindowsUpdate] C:\Users\Maryla\AppData\Local\Temp\data\Microsoft.vbs () F3:64bit: - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001 WinNT: Load - (C:\Users\Maryla\LOCALS~1\Temp\msvysr.cmd) - C:\Users\Maryla\LOCALS~1\Temp\msvysr.cmd (Microsoft Corporation) F3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001 WinNT: Load - (C:\Users\Maryla\LOCALS~1\Temp\msvysr.cmd) - C:\Users\Maryla\LOCALS~1\Temp\msvysr.cmd (Microsoft Corporation) :Files C:\Users\Maryla\AppData\Local\CJCxpbJgIGoKWH1 C:\Users\Maryla\AppData\Local\Temp\data C:\Users\Maryla\AppData\Roaming\5puPB70 C:\Users\Maryla\AppData\Roaming\WinDefender C:\Users\Maryla\AppData\Roaming\crypted.exe C:\Users\Maryla\AppData\Roaming\W4DPRVD5AXdoneratcrypted.exe C:\Users\Maryla\AppData\Roaming\palle test.exe C:\Users\Maryla\AppData\Roaming\androcryptedf.exe C:\Users\Maryla\AppData\Roaming\androprotected.exe C:\Users\Maryla\AppData\Roaming\gawd.exe netsh advfirewall reset /C rd /s /q "C:\Users\Maryla\Doctor Web" /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
Marylka Opublikowano 22 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 Dziękuję Picasso :] O to nowy log z OTL - http://www.wklej.org/id/933883/txt/ Jedynie co pojawia się przy starcie kompa to edycja rejestru i nie wiem z czym jest to związane. Kontrola konta użytkownika Nazwa programu Edytor rejestru sprawdzony wydawca Microsoft Windows Lokalizacja programu: "C:\Windows\SysWOW64\regedit.exe" Tak Nie mam jeszcze w plikach w katalogu Maryla: taki plik z nazwą : qefiklixubib Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 To co zadałam zrobione, ale pojawiły się nowe obiekty trojańskie, m.in. ten qefiklixubib, którego wspominasz. Jest on uruchamiany w starcie razem z kilkoma innymi, stąd pewnie okna z "edytorem rejestru" się zgłasza. Następna porcja zadań: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [Microsoft Update] C:\Users\Maryla\AppData\Roaming\winscdpam.exe () O4 - HKLM..\Run: [Microsoft Windows Hosting Service Login] C:\Users\Maryla\AppData\Local\Temp\explorer.exe File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [Microsoft Update] C:\Users\Maryla\AppData\Roaming\winscdpam.exe () O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [Microsoft Windows Hosting Service Login] C:\Users\Maryla\AppData\Local\Temp\explorer.exe File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [qefiklixubib] c:\users\maryla\qefiklixubib.exe () [2013-01-21 14:11:36 | 000,000,015 | ---- | C] () -- C:\Users\Maryla\AppData\Roaming\dlex.ini [2013-01-20 19:45:39 | 000,859,131 | ---- | C] () -- C:\Users\Maryla\AppData\Roaming\z3r0xb0t_crypted.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). I tu jeszcze jest ten niby folder świeżo utworzony: [2013-01-08 18:16:18 | 000,000,000 | ---D | C] -- C:\Users\Maryla\Local Settings Normalnie "Local Settings" to junkcja. Tu jest podejrzane odświeżenie tego i nie wiadomo czy to nadal junkcja. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklej komendę: dir /a C:\Users\Maryla >C:\log.txt Doczep tu plik C:\log.txt. . Odnośnik do komentarza
Marylka Opublikowano 22 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 nowy log z OTL - http://www.wklej.org/id/933955/txt/ log.txt - http://www.wklej.org/id/933956/txt/ Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 Zadanie wykonane, nic więcej jawnie szkodliwego nie widzę w skanie OTL. Ten folder to nie jest jednak junkcja. Podaj mi dir tego folderu. Uruchom SystemLook x64 i w oknie wklej: :dir C:\Users\Maryla\Local Settings /s Klik w Look. . Odnośnik do komentarza
Marylka Opublikowano 22 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 Picasso dziękuję a o to log z SystemLook x64 SystemLook 30.07.11 by jpshortstuff Log created at 12:38 on 22/01/2013 by Maryla Administrator - Elevation successful ========== dir ========== C:\Users\Maryla\Local Settings - Parameters: "/s" ---Files--- None found. C:\Users\Maryla\Local Settings\Temp d------ [17:16 08/01/2013] msaoio.exe --ahs-- 32072 bytes [23:19 13/07/2009] [01:14 14/07/2009] mscbxcu.bat --ahs-- 32072 bytes [23:19 13/07/2009] [01:14 14/07/2009] mshiiuz.bat --ahs-- 32072 bytes [23:19 13/07/2009] [01:14 14/07/2009] msqpyee.scr --ahs-- 1169224 bytes [23:19 13/07/2009] [01:14 14/07/2009] msyvrxwo.scr --ahs-- 32072 bytes [23:19 13/07/2009] [01:14 14/07/2009] Odnośnik do komentarza
Marylka Opublikowano 23 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2013 Picasso, dalej przy starcie kompa wyskakuje edycja rejestru. Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2013 Zgłoś Udostępnij Opublikowano 24 Stycznia 2013 1. Ten folder C:\Users\Maryla\Local Settings zawiera trojany. Przez SHIFT+DEL go skasuj. Masz polski Windows, więc junkcje mają polskie nazwy, ten został dorobiony przez infekcję. 2. Skoro nadal jest problem z otwieraniem edytora rejestru przy starcie, zrób nowy log OTL, ale opcję Rejestr ustaw na Wszystko a nie Użyj filtrowania. . Odnośnik do komentarza
Marylka Opublikowano 24 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2013 Podaje nowe logi z OTL z opcją zaznaczoną Rejestr ustawiony na Wszystko: OTL - http://www.wklej.org/id/936458/txt/ Extras - http://www.wklej.org/id/936461/txt/ Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2013 Zgłoś Udostępnij Opublikowano 24 Stycznia 2013 1. Problem stanowi ten wpis (niewidzialny na ustawieniu OTL "Użyj filtrowania", bo ma sygnaturę MS): O4 - HKLM..\Run: [Regedit32] C:\Windows\SysWOW64\regedit.exe (Microsoft Corporation) Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Skasuj w nim wartość Regedit32. 2. W OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Marylka Opublikowano 24 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2013 Picasso THX. Przy włączaniu kompa już się nie pokazuje edycja rejestru Malwarebytes Anti-Malware wykrył to log: http://www.wklej.org/id/936834/txt/ Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2013 Zgłoś Udostępnij Opublikowano 28 Stycznia 2013 Wyniki MBAM: te oznaczone jako Malware.Trace do usunięcia, reszta to keygeny i za te głowy nie podłożę (sądzę, że lepiej się ich pozbyć). I to byłoby na tyle. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi