sikor78 Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Witam Mój syn zainstalował grę i zezwolił na jakiś plik w zaporze systemu -NIS 2013 - . Od tego momentu jakiś wirus usunął lub zablokował mi wszystkie programy zabezpieczajaące , nie pozwala mi skanowac online , nie mogę wlaczyć windosowych programów zabezpieczających .Wyłaczone mam nawet niektóre programy jak RocketDock - Napisane jest że nie posiadam uprawnień . W menadzerze pojawily sie nowe usługi : load32.exe*32 , 315load32..exe Proszę o pomoc. Moj Windows Windows 7 x64 Dołączam logi SKAN Z GMER zostal takze zablokowany . wystartował a potem natychmiast się wyłączył a teraz nie posiadam uprawnień do ponownego uruchomienia. Program SecurityCheck przy próbie pobrania odrazu jest usówany z systemu . Prosze o pomoc Addition.txt FRST.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Syn załadował prawdopodobnie jakiś crack, bo tu już były na forum przypadki tej infekcji i conajmniej jeden temat był wynikiem cracka. Zanim przejdę do usuwania, poproszę o dodatkowe dane: Pobierz MiniRegTool x64. Z prawokliku na MiniRegTool64.exe Uruchom jako Administrator (to istotne by pobrać pełne dane). Do okna wklej klucze: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastSvc.exe Zaznacz List Permissions i klik w Go. Dołącz wynikowy log Result.txt. . Odnośnik do komentarza
sikor78 Opublikowano 9 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Dziękuję oto potzrebny log . Result.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 OK, przechodzimy do usuwania. Tu jest więcej złych obiektów niż tylko ta infekcja, także "CPU" (wygląda na Bitcoin minera), PenWes (logi sugerują, że wślizgnął się z MyPhoneExplorer) i szczątki adware Conduit. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\PenWes\PenWesService.exe () C:\ProgramData\cpu\svchost.exe () C:\ProgramData\load32.exe (Microsoft Corporation) C:\Windows\SysWOW64\wscript.exe Startup: C:\Users\tds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.Microsoft.com.url () HKLM\...\Run: [CPU] - c:\programdata\cpu\cpu.bat [168 2013-12-27] () HKLM-x32\...\Run: [NT Kernel Service] - C:\ProgramData\load32.exe -rundll32 /SYSTEM32 "C:\Windows\System32\taskmgr.exe" "C:\Program Files\Microsoft\Windows" HKU\.DEFAULT\...\Policies\Explorer: [NoSaveSettings] 0 HKU\S-1-5-21-2337871059-3691734657-1116950341-1000\...\CurrentVersion\Windows: [Load] C:\NTKernel\nt32.exe HKU\S-1-5-21-2337871059-3691734657-1116950341-1000\...\Policies\Explorer: [NoSaveSettings] 0 HKU\S-1-5-21-2337871059-3691734657-1116950341-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\load32.exe" [494592 2014-02-05] () AppInit_DLLs: C:\PROGRA~2\GS-ENA~1\BROWSA~1.DLL => File Not Found IFEO\AvastSvc.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\AvastUI.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avcenter.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avconfig.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgcsrvx.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgidsagent.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgnt.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgrsx.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avguard.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgwdsvc.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avp.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avscan.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\bdagent.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\ccuac.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\ComboFix.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\egui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\hijackthis.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\instup.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\KeyScrambler.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbam.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbamgui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbampt.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbamscheduler.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbamservice.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\MpCmdRun.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\MSASCui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\MsMpEng.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\msseces.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\Navw32.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\NIS.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\rstrui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\spybotsd.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\wireshark.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\zlclient.exe: [Debugger] C:\Users\tds\Documents\315load32.exe R2 PenWesController; C:\Program Files (x86)\Penwes\PenwesService.exe [1515008 2013-10-19] () S3 dgderdrv; System32\drivers\dgderdrv.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\97814441.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\97814441.sys => ""="Driver" Task: {153C567D-5801-4AC7-9309-909CCB0C91B3} - System32\Tasks\{6CF082BA-25C8-47FF-90F5-B44287A44E0B} => E:\Program Files (x86)\Spider-Man 3\Game.exe Task: {60F1EE96-E658-42FE-A33B-D3B64BF9D520} - System32\Tasks\{30BAEE5F-1CEA-497F-B993-4B7305662A75} => E:\Program Files (x86)\Spider-Man 3\Game.exe Task: {99A5140B-1B88-4FF1-910D-4AFF9103F9BF} - System32\Tasks\PenWes => C:\Program Files (x86)\PenWes\penwes.exe Task: {AD012ADB-3D30-4607-83E5-C59F1A8BE699} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2337871059-3691734657-1116950341-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {C27BEE03-344F-4F03-A401-4683E643187D} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2337871059-3691734657-1116950341-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?searchsource=10&cui=un39948887164765202&um=2&ctid=ct3289847&sspv=tb_t5 SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP1C759CD2-34A5-4B63-A42A-DD7E24C7D77D&q={searchTerms}&SSPV= FF user.js: detected! => C:\Users\tds\AppData\Roaming\Mozilla\Firefox\Profiles\vh22l8id.default-1382198420472\user.js FF SearchPlugin: C:\Users\tds\AppData\Roaming\Mozilla\Firefox\Profiles\vh22l8id.default-1382198420472\searchplugins\conduit-search.xml FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird C:\NTKernel C:\315load32.exe C:\Update.Microsoft.com.url C:\ProgramData\load32.exe C:\ProgramData\cpu C:\ProgramData\MFAData C:\Program Files (x86)\ESET C:\Users\tds\Documents\315load32.exe C:\Users\tds\AppData\Roaming\dclogs C:\Users\tds\AppData\Roaming\ESET C:\Users\tds\AppData\Roaming\HoolappForAndroid C:\Users\tds\AppData\Roaming\Origin\update.vbe C:\Users\tds\AppData\Roaming\QuickScan Folder: C:\ProgramData\CODEX Folder: C:\Users\tds\AppData\Roaming\ATI Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\Free YouTube to MP3 Converter" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube to MP3 Converter" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj PenWes [6225]. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
sikor78 Opublikowano 9 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Ok. wszystko wykonane. Oto logi: FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Wystąpiły problemy przy usuwaniu niektórych obiektów i trzeba wprowadzić poprawki. Na początek zrób kolejny log z MiniRegTool. Z prawokliku na MiniRegTool64.exe Uruchom jako Administrator i do okna wklej: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{153C567D-5801-4AC7-9309-909CCB0C91B3} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{153C567D-5801-4AC7-9309-909CCB0C91B3} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6CF082BA-25C8-47FF-90F5-B44287A44E0B} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{60F1EE96-E658-42FE-A33B-D3B64BF9D520} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{60F1EE96-E658-42FE-A33B-D3B64BF9D520} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{30BAEE5F-1CEA-497F-B993-4B7305662A75} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{99A5140B-1B88-4FF1-910D-4AFF9103F9BF} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{99A5140B-1B88-4FF1-910D-4AFF9103F9BF} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PenWes HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AD012ADB-3D30-4607-83E5-C59F1A8BE699} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AD012ADB-3D30-4607-83E5-C59F1A8BE699} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2337871059-3691734657-1116950341-1000 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C27BEE03-344F-4F03-A401-4683E643187D} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C27BEE03-344F-4F03-A401-4683E643187D} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealPlayerRealUpgradeLogonTaskS-1-5-21-2337871059-3691734657-1116950341-1000 Zaznacz List Permissions i klik w Go. Dołącz wynikowy log Result.txt. . Odnośnik do komentarza
sikor78 Opublikowano 9 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2014 ok. oto nowy log z minireg. Udalo mi sie uruchomic jakąś ochrone antyvirusową . Tymczasowo zainstalowałem Bullguard . tylko to chciało się uruchomić. I nadal nie mam dostepu do niektórych plikow - nie można ich usunąć ani edytować. Result.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 sikor78 proszę nie instaluj nic w trakcie usuwania infekcji, zwłaszcza że Norton Internet Security w ogóle nie był odinstalowany i dokładając coraz to nowe antywirusy tylko pogarszasz sprawę. Poza tym, zmieniłeś w ogóle sytuację i już nie wiem co się stało od poprzedniego raportu. Poproszę o nowy zestaw logów FRST (zaznacz ponownie pole Addition, by powstały dwa logi). I nadal nie mam dostepu do niektórych plikow - nie można ich usunąć ani edytować. Konkretnie: jakich (ścieżki dostępu)? . Odnośnik do komentarza
sikor78 Opublikowano 9 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Sorki nie pomyslałem - a wiedziałem że tak nie powinno się robic . Dołączam logi . Pliki do których utraciłem kontrolę. np: podczas próby zrobienia skanu z gmer . pobrany na pulpit i utracie kontroli. nie można go usunąć. ale to nie wielki problem - poradzę sobie z tym potem. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Na razie wejścia TaskCache, które się nie usunęły, zostawiam na potem. W pierwszym podejściu adresuję głównie wpisy infekcji. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Unlock: HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\Navw32.exe HKU\S-1-5-21-2337871059-3691734657-1116950341-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\load32.exe" IFEO\Navw32.exe: [Debugger] C:\Users\tds\Documents\315load32.exe Unlock: C:\Users\tds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.Microsoft.com.url Unlock: C:\Users\tds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled Unlock: C:\Users\tds\Desktop\r5e0sb3w.exe Unlock: C:\Users\tds\Desktop\SecurityCheck.exe.mxdl Unlock: C:\Users\tds\Desktop\SecurityCheck(1).exe.mxdl C:\Users\tds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.Microsoft.com.url C:\Users\tds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled C:\Users\tds\AppData\Roaming\ATI C:\Users\tds\AppData\Roaming\QuickScan C:\Users\tds\Desktop\r5e0sb3w.exe C:\Users\tds\Desktop\SecurityCheck.exe.mxdl C:\Users\tds\Desktop\SecurityCheck(1).exe.mxdl R3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [350160 2013-12-18] (BitDefender S.R.L.) C:\Windows\System32\DRIVERS\Trufos.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Pod kątem zablokowanego GMERa i innych nie wyszczególnionych dokładnie obieków: GMERa i Security Check już usuwam powyższym skryptem FRST, z resztą poradzisz sobie używając GrantPerms x64. Program się obsługuje w następujący sposób, w oknie wklejasz konkretne ścieżki dostępu do plików lub folderów: C:\Users\tds\Desktop\plik etc. Klik w Unlock. 3. Usuń wszystkie programy antywirusowe. Zacznij od poprawnej deinstalacji via Panel sterowania BullGuard Internet Security i Norton Internet Security. Następnie wejdź w Tryb awaryjny i zastosuj specjalne usuwacze: Norton Removal Tool, Outpost Clean (wersja dla systemu 64-bit). 4. Opuść Tryb awaryjny. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Sprawdź czy po pobraniu nowego GMERa może się on uruchomić, ale przed uruchomieniem musisz usunąć wsystkie programy emulujące i sterownik SPTD + restart systemu: KLIK. Wypowiedz się czy są gdzieś jeszcze problemy z brakiem dostępu. . Odnośnik do komentarza
sikor78 Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 ok. wykonane . Tylko outpost clean niestety nie poszedł- w trybie awaryjnym pisze ze działa tyko w trybe awaryjnym . nawet zmienialem nazwę tak jak napisane na stronie nic nie dało . Logi a FRST oraz z gmer bo dało się wykonać. Fixlog.txt FRST.txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Z logów wynika, że Outpost Clean zadziałał, gdyż zniknęły sterowniki Agnitum. Kolejne poprawki wymagane, bo jest problem z usunięciem niektórych wpisów (blokowane przez uprawnienia) + dodatkowo GMER notuje, że jednak nadal w rejestrze jest ukryta wartość "Load" usuwana w pierwszym podejściu (był wtedy błąd), której już nie było widać w kolejnym skanie FRST. Także zaległe wpisy TaskCache. Kolejna akcja: 1. Otwórz Notatnik i wklej w nim: Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\currentversion\Image File Execution Options Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{153C567D-5801-4AC7-9309-909CCB0C91B3} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{153C567D-5801-4AC7-9309-909CCB0C91B3} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6CF082BA-25C8-47FF-90F5-B44287A44E0B} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{60F1EE96-E658-42FE-A33B-D3B64BF9D520} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{60F1EE96-E658-42FE-A33B-D3B64BF9D520} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{30BAEE5F-1CEA-497F-B993-4B7305662A75} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{99A5140B-1B88-4FF1-910D-4AFF9103F9BF} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{99A5140B-1B88-4FF1-910D-4AFF9103F9BF} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PenWes Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AD012ADB-3D30-4607-83E5-C59F1A8BE699} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AD012ADB-3D30-4607-83E5-C59F1A8BE699} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2337871059-3691734657-1116950341-1000 Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C27BEE03-344F-4F03-A401-4683E643187D} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C27BEE03-344F-4F03-A401-4683E643187D} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealPlayerRealUpgradeLogonTaskS-1-5-21-2337871059-3691734657-1116950341-1000 IFEO\Navw32.exe: [Debugger] C:\Users\tds\Documents\315load32.exe Reg: reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{153C567D-5801-4AC7-9309-909CCB0C91B3}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{153C567D-5801-4AC7-9309-909CCB0C91B3}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6CF082BA-25C8-47FF-90F5-B44287A44E0B}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{60F1EE96-E658-42FE-A33B-D3B64BF9D520}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{60F1EE96-E658-42FE-A33B-D3B64BF9D520}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{30BAEE5F-1CEA-497F-B993-4B7305662A75}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{99A5140B-1B88-4FF1-910D-4AFF9103F9BF}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{99A5140B-1B88-4FF1-910D-4AFF9103F9BF}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PenWes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AD012ADB-3D30-4607-83E5-C59F1A8BE699}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AD012ADB-3D30-4607-83E5-C59F1A8BE699}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2337871059-3691734657-1116950341-1000" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C27BEE03-344F-4F03-A401-4683E643187D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C27BEE03-344F-4F03-A401-4683E643187D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RealPlayerRealUpgradeLogonTaskS-1-5-21-2337871059-3691734657-1116950341-1000" /f C:\ProgramData\BullGuard C:\ProgramData\Norton C:\Users\tds\AppData\Roaming\BullGuard C:\Windows\Tasks\Launch BullGuard.job C:\Windows\system32\config\afw_hm.conf C:\Windows\system32\config\afw_db.conf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. . Odnośnik do komentarza
sikor78 Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 ok.wykonane . logi : FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Skrypt poprawnie przetworzony, ale odblokowanie głównego klucza Image Files Exectution Option spowodowało uwidocznienie ukrytych wpisów Debuggera. Do usunięcia są też drobne szczątki skanerów Bullguard i Norton. 1. Otwórz Notatnik i wklej w nim: IFEO\AvastSvc.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\AvastUI.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avcenter.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avconfig.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgcsrvx.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgidsagent.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgnt.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgrsx.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avguard.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avgwdsvc.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avp.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\avscan.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\bdagent.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\ccuac.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\ComboFix.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\egui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\hijackthis.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\instup.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\KeyScrambler.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbam.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbamgui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbampt.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbamscheduler.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\mbamservice.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\MpCmdRun.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\MSASCui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\MsMpEng.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\msseces.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\NIS.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\rstrui.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\spybotsd.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\wireshark.exe: [Debugger] C:\Users\tds\Documents\315load32.exe IFEO\zlclient.exe: [Debugger] C:\Users\tds\Documents\315load32.exe Task: {0AC8ADE0-1820-4750-B834-34B2AB957028} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {470C9631-276A-4D29-BB78-BF9410A7C46A} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe Task: {65E26621-6AB9-4BE8-93A8-2DC1FC128F90} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\21.1.0.18\SymErr.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsScanner => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BsScanner => ""="Service" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
sikor78 Opublikowano 11 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2014 ok. wykonane . Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2014 Zgłoś Udostępnij Opublikowano 12 Lutego 2014 Wszystko zrobione i tym razem zdaje się, że w pełni usunięte zostały wszystkie obiekty infekcji. Kolejna porcja działań: 1. Ponownie zastosuj TFC - Temp Cleaner. 2. Przez SHIFT+DEL (omija Kosz) skasuj wszystkie używane narzędzia i ich logi, wliczając: C:\FRST C:\TDSSKiller_Quarantine C:\Program Files\Common Files\Symantec Shared C:\Users\tds\Desktop\clean64_4303 C:\Users\tds\Desktop\FRST-OlderVersion C:\Users\tds\Desktop\MiniRegTool64 C:\Windows\System32\Tasks\Norton Internet Security Jeśli coś będzie zablokowane, zastosuj GrantPerms. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj wybranego antywirusa i zrób za jego pomocą pełny skan. Zgłoś się z wynikami czy coś zostało wykryte. . Odnośnik do komentarza
sikor78 Opublikowano 12 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2014 witam. Wszystko usunięte. antywirus nic nie wykrył. Serdeczne dzieki za profesjonalną pomoc . Jak zawsze mała pomoc na utrzymanie serwisu - bo warto Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Na zakończenie jeszcze zaktualizuj te programy: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Foxit Reader (x32 Version: 6.0.3.524 - Foxit Corporation) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Java 7 (64-bit) (Version: 7.0.0 - Oracle) Jak zawsze mała pomoc na utrzymanie serwisu - bo warto Dzięki! . Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2014 Zgłoś Udostępnij Opublikowano 14 Lutego 2014 Temat otwieram. Wykryłam, że infekcja wyłącza istotną usługę Harmonogramu Windows. Zastosuj tę poprawkę: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. . Odnośnik do komentarza
sikor78 Opublikowano 15 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Witam Dziękuję za ciągłą pomoc. Niestety po prubie scalenia wyskakuje okno że nie można zaimportować, nie wszystkie dane zostały poprawnie zapisane w rejestrze. Niektóre klucze są otwarte przez system lub inne procesy . Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2014 Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Mam tę infekcję w wirtualnej maszynie i dodatkowe rzeczy wyszły w praniu. U Ciebie prawdopodobnie podczas przetwarzania skryptem FRST wpisy rzekomo usunięte zostały po prostu zablokowane przez uprawnienia, stąd ich "zanik". Pobierz od nowa MiniRegTool oraz FRST i podaj mi dodatkowe dane: 1. Uruchom MiniRegTool jako Administrator, do okna wklej te klucze: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Zaznacz List Permissions i klik w Go. Dołącz wynikowy log Result.txt. 2. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dołącz wynikowy fixlog.txt. . Odnośnik do komentarza
sikor78 Opublikowano 17 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2014 ok. juz wykonane . troszkę to trwało ale byłem poza domem . Dołączam logi Fixlog.txt Result.txt Odnośnik do komentarza
picasso Opublikowano 17 Lutego 2014 Zgłoś Udostępnij Opublikowano 17 Lutego 2014 Usługa Harmogramu zadań została już pomyślnie włączona, mimo błędu. Natomiast log z MiniRegTool jest kompletnie pusty. Czy na pewno narzędzie zastartowałeś przez "Uruchom jako Administrator"? Ponów próbę. . Odnośnik do komentarza
sikor78 Opublikowano 17 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2014 tak. jako administrator. powtórzyłem zadanie i wynik jest taki sam. results.txt jest pusty Odnośnik do komentarza
picasso Opublikowano 17 Lutego 2014 Zgłoś Udostępnij Opublikowano 17 Lutego 2014 1. Otwórz Notatnik i wklej w nim: Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Unlock: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST. Dołącz też fixlog.txt. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się