zelgawis2 Opublikowano 6 Maja 2013 Zgłoś Udostępnij Opublikowano 6 Maja 2013 witam ostatnio korzystając z internetu w domu rodziców miałem problem z niedziałającym internetem w przeglądarce. w grach, programach, komunikatorach itd. internet działał, tylko nie w przeglądarce. okazało się że była to wina wirusów. co ciekawe dziś kiedy wróciłem do mieszkania i odpaliłem komputer, po 2h korzystania pojawił się ten sam problem... dodatkowy objaw poza brakiem internetu w przeglądarkach(chrome, mozilla, ie) to zanik wszystkich ikon i paska zadań przy starcie systemu(resetowałem komputer kiedy internet nie działał). widać tylko "gołą" tapetę. po wciśnięciu CTRL+ALT+DEL w menedżerze zadań pojawia się znajomy proces(z komputera rodziców) o nazwie A92(kilka cyferek).... .exe. Jeśli zakończę ten proces, pojawiają się ikony i pasek zadań i mogę poruszać się po windowsie, ale internet nie działa nadal... Po pewnym czasie nie dało się w ogóle włączyć zadnych aplikacji, dwuklik nie powodował żadnej reakcji. przy próbie otwarcia plików pdf wyskakiwał błąd. kombinacja ctrl,alt,del również przestała działać - pojawiał się jakiś błąd. zrobiłem 2 screeny, najpierw wyskoczył jakis dziwny instalator, po pewnym czasie wyskoczył komunikat z błędem - po kliknięciu OK na nim, wyskakwiwał znów podobny instalator. http://imgur.com/o9pKpHc,VP70nk3#0 internet natomiast był mi potrzebny od zaraz wiec jedynym ratunkiem był combofix ktorego mialem na pendrivie. jego zastosowanie pomogło, net działa, ale nie jestem pewien czy wszystko do konca jest OK. czy ktos moglby powiedziec co mam teraz zrobic zeby do konca sie tego pozbyc? z gory dziekuje za odpowiedz ComboFix.txt Extras.Txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Skan OTL zrobiony na złych ustawieniach, opcja Rejestr ustawiona na Wszystko, a ma być "Użyj filtrowania". Nie wszystkie obiekty infekcji zostały usunięte, infekcja nadal czynna. Jest też niedoczyszczony stary keylogger Tibia oraz adware. Świeżo zostały utworzone także na dysku foldery jakoby od "Kazaa" (program od lat nie żyje), więc też będę je usuwać. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3094104702-925323197-3564856798-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?src=sp&aff=51&cf=55328c71-4206-11e2-a4b5-00064f859d28&q={searchTerms} IE - HKU\S-1-5-21-3094104702-925323197-3564856798-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.22apple.com/search/web/?q={searchTerms}&utm_source=b&utm_medium=bnl&ref=bnl&uid=ST3160815AS_6RX7VYXG®=1363115174 O4 - HKLM..\Run: [A92359174] C:\Documents and Settings\Administrator\Dane aplikacji\A92359174.exe () O4 - HKU\S-1-5-21-3094104702-925323197-3564856798-500..\Run: [A92359174] C:\Documents and Settings\Administrator\Dane aplikacji\A92359174.exe () O4 - HKU\S-1-5-21-3094104702-925323197-3564856798-500..\Run: [iniciarProgramas] C:\WINDOWS\system\run.bat () O4 - HKU\S-1-5-21-3094104702-925323197-3564856798-500..\Run: [Kflklu] C:\Documents and Settings\Administrator\Dane aplikacji\Kflklu.exe File not found O4 - HKLM..\RunOnce: [A92359174] C:\Documents and Settings\Administrator\Dane aplikacji\A92359174.exe () O4 - HKU\S-1-5-21-3094104702-925323197-3564856798-500..\RunOnce: [A92359174] C:\Documents and Settings\Administrator\Dane aplikacji\A92359174.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3094104702-925323197-3564856798-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3094104702-925323197-3564856798-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = O7 - HKU\S-1-5-21-3094104702-925323197-3564856798-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Reg Error: Value error.) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\WINDOWS\System\system.xdcc C:\WINDOWS\System\system.state C:\WINDOWS\System\system.xdcc~ C:\WINDOWS\System\system.state~ C:\WINDOWS\System\system.lg C:\WINDOWS\System\cygruby18.dll C:\WINDOWS\System\cygssl-0.9.8.dll C:\WINDOWS\System\cygidn-11.dll C:\WINDOWS\System\cygssh2-1.dll C:\WINDOWS\System\cygz.dll C:\WINDOWS\System\cygtasn1-3.dll C:\WINDOWS\System\cygintl-8.dll C:\WINDOWS\System\cygcrypto-0.9.8.dll C:\WINDOWS\System\cyggnutls-26.dll C:\WINDOWS\System\cyggcrypt-11.dll C:\WINDOWS\System\cygcurl-4.dll C:\WINDOWS\System\cyggcc_s-1.dll C:\WINDOWS\System\cygGeoIP-1.dll C:\WINDOWS\System\cyggpg-error-0.dll C:\WINDOWS\System\cygcrypt-0.dll C:\WINDOWS\System\cygwin1.dll C:\WINDOWS\System\cygiconv-2.dll C:\Documents and Settings\win32.exe C:\Documents and Settings\Administrator\Dane aplikacji\*.exe C:\Documents and Settings\Administrator\Dane aplikacji\cpum C:\Documents and Settings\Administrator\Dane aplikacji\dist4 C:\Documents and Settings\Administrator\Dane aplikacji\dist5 C:\Documents and Settings\Administrator\Dane aplikacji\dist6 C:\Documents and Settings\Administrator\Dane aplikacji\dist7 C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Program Files\mozilla firefox\searchplugins\22apple.xml C:\Program Files\mozilla firefox\plugins\npfflivevdoplg.dll C:\Program Files\Common Files\userInit.dll C:\Program Files\Common Files\logonInit.dll C:\Program Files\KAZAA C:\My Downloads netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "@C:\Documents and Settings\Administrator\Dane aplikacji\Kflklu.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Odinstaluj adware i zbędne aplikacje: - Przez Dodaj/Usuń programy: BrowseToSave, LiveVDO, Winamp Toolbar, Akamai NetSession Interface. - Google Chrome: w Rozszerzenich odinstaluj LiveVDO.tv plugin. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i GMER. Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
zelgawis2 Opublikowano 9 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2013 witam, dziekuje za odpowiedz. 1. wkleiłem wg instrukcji skrypt do okienka OTL i wcisnąłem przycisk "wykonaj skrypt", program zaczął działać ale komputer zrestartował się sam, program nie prosił mnie o zatwierdzenie czegokolwiek. nie dostałem też loga z usuwania(albo utworzył się gdzieś i nic mi o tym nie wiadomo, gdzie mogę go w takim razie znaleźć? w folderze gdzie zapisany jest OTL.exe go nie ma ). 2. a) W dodaj/usuń programy nie znalazłem Winamp Toolbara(był tylko sam Winamp), pozostałe 3 usunąłem. b ) OK. c) OK. 3) Ok, log w załączniku. 4) Skan za pomocą GMER pokazuje równie wiele pozycji jak wcześniej, w załączniku logi zarówno z GMER jak i OTL. gmer.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 Niestety, prawie nic nie wykonane, infekcja nadal czynna i rozszerzyła zakres, tzn. w GMER widać ukryty plik Kflklu.exe (poprzednio go niby nie było). Powinieneś mieć znów problem z otwieraniem stron, szczególnie Microsoftu i stron programów antywirusowych... Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v A92359174 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v A92359174 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v IniciarProgramas /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Kflklu /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Akamai NetSession Interface" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{74B6ED4F-0FED-4B60-B9E1-4822A445B4F6}" /f reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f sc delete catchme sc delete MozillaMaintenance netsh firewall reset Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\Administrator\Dane aplikacji\Kflklu.exe" "C:\Documents and Settings\Administrator\Dane aplikacji\1D.exe" C:\WINDOWS\System\system.xdcc C:\WINDOWS\System\system.state C:\WINDOWS\System\system.xdcc~ C:\WINDOWS\System\system.state~ C:\WINDOWS\System\system.lg C:\WINDOWS\System\cygruby18.dll C:\WINDOWS\System\cygssl-0.9.8.dll C:\WINDOWS\System\cygidn-11.dll C:\WINDOWS\System\cygssh2-1.dll C:\WINDOWS\System\cygz.dll C:\WINDOWS\System\cygtasn1-3.dll C:\WINDOWS\System\cygintl-8.dll C:\WINDOWS\System\cygcrypto-0.9.8.dll C:\WINDOWS\System\cyggnutls-26.dll C:\WINDOWS\System\cyggcrypt-11.dll C:\WINDOWS\System\cygcurl-4.dll C:\WINDOWS\System\cyggcc_s-1.dll C:\WINDOWS\System\cygGeoIP-1.dll C:\WINDOWS\System\cyggpg-error-0.dll C:\WINDOWS\System\cygcrypt-0.dll C:\WINDOWS\System\cygwin1.dll C:\WINDOWS\System\cygiconv-2.dll "C:\Program Files\Common Files\userInit.dll" "C:\Program Files\Common Files\logonInit.dll" "C:\Program Files\mozilla firefox\searchplugins\22apple.xml" DeleteFolder: "C:\My Downloads" "C:\Program Files\KAZAA" "C:\Documents and Settings\Administrator\Dane aplikacji\cpum" "C:\Documents and Settings\Administrator\Dane aplikacji\dist4" "C:\Documents and Settings\Administrator\Dane aplikacji\dist5" "C:\Documents and Settings\Administrator\Dane aplikacji\dist6" "C:\Documents and Settings\Administrator\Dane aplikacji\dist7" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran BlitzBlank. BlitzBlank utworzy na dysku C log. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras) + GMER. Dołącz log utworzony przez BlitzBlank. . Odnośnik do komentarza
zelgawis2 Opublikowano 11 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2013 Nie miałem problemów z otwieraniem żadnych stron, nawet tych od microsoftu. Ok, zrobione. wszystkie kroki przebiegły pomyslnie. logi w załączniku(miałem problem z wrzuceniem pliku *.log na forum, ukazywał się komunikat że "nie mam uprawnień do przesyłania plików tego typu", więc wrzuciłem jako plik txt). gmer.txt OTL.Txt blitzblanklog.txt Odnośnik do komentarza
picasso Opublikowano 13 Maja 2013 Zgłoś Udostępnij Opublikowano 13 Maja 2013 (edytowane) Usuwanie w końcu pomyślne, wszystko co zadane do likwidacji udało się. Przejdź do tej porcji zadań: 1. Mała poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Reg Error: Value error.) :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart. 2. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, wyczyść pozostałe: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę dokasuj ręcznie. 3. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 12 Czerwca 2013 przez picasso 12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi