ziomus1233454 Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Siemka , ostatnio kumpel ma wielkie problemy z kompem gdyż nie może się nigdzie zalogować bo jest napisane że z jego adresu ip jest wysyłana masa zapytań.. przepisuje kod z obrazka i znowu to samo Antywirus wykrył 400 wirusów ale to nie wszystko chyba ! Logi: OTL: http://wklej.org/id/426296/ Extras: http://wklej.org/id/426301/ GMER: Niestety nie dał bo już go nie ma GMER dam jak tylko kumpel wróci Proszę o pomoc Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Antywirus wykrył 400 wirusów ale to nie wszystko chyba ! Ale jakich i w czym? Choć ja podejrzewam co tam było, wirus w wykonywalnych Jeefo, bo jest jego usługa: SRV - File not found [Auto | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager) Tu nie pomogą sztuczki "z logami", dopóki wszystkie geny wirusa nie zostaną usunięte (a zarażone / nie dające się wyleczyć programy usunięte). Na pewno nic nie zostało od Jeefo? Prócz tego widzę: plik zold32.exe (to weszło chyba z jakąś podejrzaną paczką do Tibia) i kilka innych luźnych plików, olbrzymi dziwny plik HOSTS, pozostałość w mapowaniu po podpinaniu zainfekowanego USB oraz masa śmieciarskich pasków narzędziowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager) O4 - HKLM..\Run: [zold32.exe] C:\WINDOWS\zold32.exe () O33 - MountPoints2\{15aa2aac-1af5-11df-9efd-001f1f5291ac}\Shell\AutoRun\command - "" = L:\svchost.exe -- File not found O33 - MountPoints2\{1ccf337e-7dd6-11df-9fdf-fc17743f263d}\Shell\AutoRun\command - "" = F:\svchost.exe -- File not found O33 - MountPoints2\{1ccf3386-7dd6-11df-9fdf-fc17743f263d}\Shell\AutoRun\command - "" = F:\svchost.exe -- File not found O33 - MountPoints2\{1f3743e2-7e97-11df-9fe1-d7f0cdb0aac1}\Shell\AutoRun\command - "" = F:\svchost.exe -- File not found O33 - MountPoints2\{3b116040-9ee8-11df-a006-97b795e05b4a}\Shell\AutoRun\command - "" = F:\svchost.exe -- File not found O33 - MountPoints2\{51e07b20-c09d-11df-a045-001f1f5291ac}\Shell\AutoRun\command - "" = F:\svchost.exe -- File not found O33 - MountPoints2\{d4ca4af4-7e00-11df-9fe0-bdddfc76d8de}\Shell\AutoRun\command - "" = F:\svchost.exe -- File not found [2010-11-26 13:45:01 | 000,296,448 | ---- | M] () -- C:\Documents and Settings\komp\Moje dokumenty\nruud77i.exe [2010-11-26 13:44:09 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\komp\nruud77i.exe [2010-11-18 20:14:08 | 000,000,380 | ---- | M] () -- C:\WINDOWS\System32\secustat.dat [2010-09-18 14:19:42 | 000,473,088 | ---- | C] () -- C:\Program Files\spolsv.exe FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q=" FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.5 [2010-01-20 09:43:31 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\komp\Dane aplikacji\Mozilla\Firefox\Profiles\10a4s01r.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} [2010-11-15 13:45:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\komp\Dane aplikacji\BabylonToolbar [2010-11-14 14:32:14 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml [2009-12-03 10:54:24 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml [2009-12-03 10:54:24 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\komp\Dane aplikacji\Mozilla\Firefox\Profiles\10a4s01r.default\searchplugins\BearShareWebSearch.xml IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://gooofullsearch.com/bar" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://roonic.com/results.html?q=%s&sa=Search&cx=partner-pub-0345395751421741:y8d2vrh2u6t&cof=FORID:10&ie=UTF-8" IE - HKU\S-1-5-21-1275210071-152049171-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=15627" O4 - HKU\S-1-5-21-1275210071-152049171-725345543-1003..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe File not found O4 - HKU\S-1-5-21-1275210071-152049171-725345543-1003..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe File not found O15 - HKU\S-1-5-21-1275210071-152049171-725345543-1003\..Trusted Domains: kuaiche.com ([software] http in Zaufane witryny) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) :Commands [resethosts] [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Będzie restart. Zostanie podany log. 2. Do odinstalowania przez aplet Dodaj / Usuń: Free software Gooofull toolbar, Gossiper Toolbar, MediaBar, Softonic_English Toolbar, Softonic-Polska Toolbar, Vuze Toolbar. Jeśli nikt nie korzysta z AOL, to także i te pozycje. Przy okazji: widzę w spisie programów jako zainstalowy "Steganos Internet Anonym Pro 7.1.6", aczkolwiek w logu jest dużo zapisów "not found" od tego softu. Czy on działa? 3. Po deinstalacjach generujesz nowy log z OTL. Dołączasz także log powstały z usuwania w punkcie 1. Czekam i na GMER. . Odnośnik do komentarza
ziomus1233454 Opublikowano 26 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Ehh nie wiem dalej gmer potrzebny bo ten się uparł i bez mojej wiedzy się okazało że combofixem kombinował bo mu jakiś "informatyk" niby podpowiedział ale nawet antywirusa nie wyłączył ani nic a to niebezpieczne narzędzie.. Log z cf : http://wklej.org/id/426538/ Log z otl : http://wklej.org/id/426574/ Log z usuwania : http://wklej.org/id/426576/ Log z otl - extras : http://wklej.org/id/426577/ te toolbary + aol usunąłem .. może w logu jeszcze być bo nie chciałem u niego uruchamiać kompa ale usunięte już jest Combofixa uruchomił hmm jeszcze przed wykonaniem twojego skryptu .. pzdr Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 ComboFix nie zastępuje działania GMER. Log jest i tak obcięty w połowie i nie ma nawet całego kompletu danych. Poza tym: "TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI". ComboFix nie wykonał ani jednego zadania zlokalizowanego w moim skrypcie, według spisu kasacji wykonał mało istotne kroki. Nic kumplowi nie przyszło z jego uruchomienia, tylko wymęczył system. Za to OTL wykonał co zadałam. Tylko jednego pliku nie znalazł, czyli C:\Program Files\spolsv.exe. Możliwe że plik usunięto czymś (ale nie ComboFixem) w czasie między pokazaniem ostatniego OTL a przetworzeniem skryptu. Oceniając dostarczone logi, nie widzę czynnej infekcji, ale: te toolbary + aol usunąłem .. może w logu jeszcze być bo nie chciałem u niego uruchamiać kompa ale usunięte już jest No tak, ale ja nie mogę oglądać logów powstałych przed ukończeniem operacji, bo bez sensu jest dawać skrypt planujący usuwanie czegoś czego już może nie być. Gubię się, czy to logi po całkowitym ukończeniu procesów deinstalacji. W raporcie nadal masa wpisów, które należy skorygować: od pasków (w pełni działający Ask Toolbar = czyli Vuze Toolbar, MediaBar, Gossiper, pałętają się i odpadki Softonic i Babylon), od AOL oraz nadal niewyjaśnione "not found" Steganosa (czy mam to ruszać). Czyli: muszę posiadać aktualny wygląd systemu. . Odnośnik do komentarza
ziomus1233454 Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Gmer : http://wklej.org/id/426798/ OTL: http://wklej.org/id/426799/ extras: http://wklej.org/id/426800/ pzdr Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 (edytowane) GMER zaciemniony działaniem emulatora SPTD. Ale tu już nie będę męczyć tematu. 1. Nadal widzę na liście Dodaj / Usuń (czy Ty też to widzisz uruchamiając aplet?): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Ask Toolbar_is1" = Vuze Toolbar"BearShare MediaBar" = MediaBar"Gossiper Toolbar" = Gossiper Toolbar Jest również masa wpisów AOL, czy nie ma przypadkiem jakiegoś dodatkowego deinstalatora w Menu Start bądź też katalogach AOL na dysku? Rozpocznij od prawidłowych deinstalacji, bo czyszczenie przez skrypt jest niekompletne i nie usuwa w pełni aplikacji. Najpierw należy odinstalować, a dopiero po tym na podstawie loga OTL utworzonego już po deinstalacji usuwać odpadki. Na chwilę obecną w spoilerze pokazuję co kwalifikuje się do czyszczenia, ale połowa z tego powinna sama się zredukować po prawidłowych deinstalacjach. SRV - File not found [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - File not found [On_Demand | Stopped] -- D:\Program Files\Hide My IP 2009\SecureSrv.exe -- (SecureSrv) SRV - File not found [Auto | Stopped] -- D:\xampp\apache\bin\apache.exe -- (Apache2.2) SRV - [2009-04-02 12:47:04 | 000,234,888 | ---- | M] () [Auto | Running] -- C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe -- (ASKUpgrade) SRV - [2009-04-02 12:47:02 | 000,464,264 | ---- | M] () [Auto | Running] -- C:\Program Files\AskBarDis\bar\bin\AskService.exe -- (ASKService) SRV - [2008-04-17 18:13:44 | 005,750,784 | ---- | M] () [Auto | Stopped] -- D:\xampp\mysql\bin\mysqld-nt.exe -- (mysql) SRV - [2006-10-23 13:50:35 | 000,046,640 | R--- | M] (AOL LLC) [Auto | Running] -- C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe -- (AOL ACS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010\WNt500x86\Sandra.sys -- (SANDRA) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\komp\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - [2003-01-10 22:13:04 | 000,033,588 | R--- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://roonic.com/results.html?q=%s&sa=Search&cx=partner-pub-0345395751421741:y8d2vrh2u6t&cof=FORID:10&ie=UTF-8" IE - HKCU\..\URLSearchHook: {0a452a47-c5a8-4854-a237-4b9b06b376f0} - C:\Program Files\Gossiper\tbGos1.dll File not found FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:2.5.6.0 FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q=" [2010-03-06 16:59:15 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Documents and Settings\komp\Dane aplikacji\Mozilla\Firefox\Profiles\10a4s01r.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O2 - BHO: (Gossiper Toolbar) - {0a452a47-c5a8-4854-a237-4b9b06b376f0} - C:\Program Files\Gossiper\tbGos1.dll File not found O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll () O3 - HKLM\..\Toolbar: (Steganos Internet Anonym) - {00000000-5736-4205-0008-781cd0e19f00} - c:\program files\steganos internet anonym pro 7\siapro7iep.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O3 - HKLM\..\Toolbar: (Gossiper Toolbar) - {0a452a47-c5a8-4854-a237-4b9b06b376f0} - C:\Program Files\Gossiper\tbGos1.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKCU\..\Toolbar\WebBrowser: (Steganos Internet Anonym) - {00000000-5736-4205-0008-781CD0E19F00} - c:\program files\steganos internet anonym pro 7\siapro7iep.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Gossiper Toolbar) - {0A452A47-C5A8-4854-A237-4B9B06B376F0} - C:\Program Files\Gossiper\tbGos1.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O4 - HKLM..\Run: [DataMngr] C:\Program Files\BearShare Applications\MediaBar\DataMngr\DataMngrUI.exe () O4 - HKLM..\Run: [HostManager] C:\Program Files\Common Files\aol\1289054675\ee\aolsoftware.exe (AOL LLC) O4 - HKCU..\Run: [AOL Fast Start] C:\Program Files\AOL 9.5\AOL.EXE File not found O4 - HKCU..\Run: [sIAPRO7] C:\Program Files\Steganos Internet Anonym Pro 7\SIAPRO7.exe File not found O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range - 5) O15 - HKCU\..Trusted Domains: kuaiche.com ([software] http in Zaufane witryny) [2010-11-15 13:45:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\komp\Dane aplikacji\BabylonToolbar [2010-11-06 15:46:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\komp\Ustawienia lokalne\Dane aplikacji\AOL [2010-11-06 15:46:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\komp\Dane aplikacji\AOL [2010-11-06 15:45:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dokumenty\AOL Downloads [2010-11-06 15:45:10 | 000,033,588 | R--- | C] (America Online, Inc.) -- C:\WINDOWS\System32\drivers\wanatw4.sys [2010-11-06 15:44:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AOL OCP [2010-11-06 15:44:23 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\aolshare [2010-11-06 15:44:23 | 000,000,000 | ---D | C] -- C:\Program Files\AOL 9.5 [2010-11-06 15:44:23 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\aol [2010-11-06 15:44:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AOL [2010-11-26 19:53:54 | 000,002,942 | ---- | M] () -- C:\WINDOWS\System32\secushr.dat 2. Druga sprawa: czy po przeprowadzeniu kroków relatywnych do usuwania infekcji nadal są objawy działania infekcji? . Edytowane 27 Grudnia 2010 przez picasso 27.12.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi