Tibia Multi IP Changer - Windate.exe

[knugi]

Witam ostatnio chciałem wrzucić plik do autostartu i napotkałem plik (którego ja nie wrzucałem) windate.exe, przeczytałem już że on jest przez Tibia Ip Changer (przyznaje się, instalowałem) i jak najszybciej wyłączyłem proces i wyłączyłem autostart, ale chciałbym całkowicie się tego gówna pozbyć (Rejestr itd)

 

(I jakby dało radę, chciałbym dowiedzieć się co ten plik zrobił na moim kompie, miał zrobić, co konkretnie miał wykonać)

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Tak, zainstalowałeś szkodliwy "IP Changer". Właściwości logerskie. Przykład co się stało po jego pobycie w systemie, włamanie na konto Tibia: KLIK. Składników Changera jest więcej niż tylko plik w starcie. On prawdopodobnie mógłby być poprawnie odinstalowany, bo był plik deinstalatora, ale naruszyłeś to:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\Tibia MULTI-IP Changer.lnk -> D:\Program Files\Tibia Multi IP Changer\Tibia MULTI-ip changer.exe (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\UNinstaller.lnk -> D:\Program Files\Tibia Multi IP Changer\UNinstaller.exe (No File)

 

Poza tym, jest tu też pasek adware.

 

1. Przez Panel sterowania odinstaluj DAEMON Tools Toolbar (adware) oraz Tibia (nie ufam teraz tej instalacji, folder aplikacji modyfikowany wtedy gdy powstawały obiekty "changera"). Dopiero po wyczyszczeniu systemu zainstalujesz na nowo oryginalny klient Tibia pobrany ze strony domowej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windate.exe ()
HKLM\...\Run: [] => [X]
Task: {1B8659C9-C5ED-441A-ADE4-C5DE4467921E} - System32\Tasks\MSIAfterburner => C:\Program Files\MSI Afterburner\MSIAfterburner.exe
CMD: regsvr32 /u C:\Windows\comdlg32.ocx
C:\Program Files\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate
C:\Users\Admin\Desktop\Ip Changer.lnk
C:\Windows\*.lang
C:\Windows\ipchanger.exe
C:\Windows\Ip Changer Updater.exe
C:\Windows\Last.dat
C:\Windows\Language.dat
C:\Windows\Language
C:\Windows\libcurl.dll
C:\Windows\libeay32.dll
C:\Windows\memlist.dat
C:\Windows\os4.exe
C:\Windows\ssleay32.dll
C:\Windows\test.dat
C:\Windows\windate.exe
C:\Windows\zlib1.dll
D:\Pobrane\Ip Changer 8.60
Folder: C:\Users\Admin\AppData\Roaming\WinRAR
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[knugi]

Wykonałem testy. Ip Changera Odinstalowałem przed pierwszym skanem z poziomu panelu sterowania. I teraz *gapa ze mnie* Odinstalowałem Tibię w czasie wykonywania drugiego skanu już po wykonaniu fixa. Ale mam nadzieję, że to nic nie robi

 

 

Fixlog.txt

FRST.txt

[picasso]

1. Małe poprawki. Otwórz Notatnik i wklej w nim:

 

Toolbar: HKU\S-1-5-21-1745938249-244550939-3845965806-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
C:\Program Files\DAEMON Tools Toolbar
C:\Windows\comdlg32.ocx

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Na wszelki wypadek jeszcze zrób szukanie w rejestrze. Uruchom FRST, w polu Search wklej:

 

Asprate;IP Changer;Tibia

 

Klik w Search Registry. Podaj wynikowy log.

[knugi]

A jednak się ukrył

 

 

Fixlog.txt

Search.txt

[picasso]

Fix wykonany, a te wyniki z wyszukiwania to nic takiego, to mało istotne klucze. Kolejny Fix, do Notatnika wklej:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASAPI32" /f
Reg: reg delete "HKU\S-1-5-21-1745938249-244550939-3845965806-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "D:\Pobrane\Tibia 8.60.exe" /f
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

[knugi]

Wykonałem to (Żeby już Ciebie nie męczyć w pobieranie plików wkleję w code )

 

FixLog:

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 01-02-2015

Ran by Admin at 2015-02-02 15:34:03 Run:3

Running from D:\Inne\Logi OTL

Loaded Profiles: Admin (Available profiles: Admin)

Boot Mode: Normal

 

==============================================

 

Content of fixlist:

*****************

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASAPI32" /f

Reg: reg delete "HKU\S-1-5-21-1745938249-244550939-3845965806-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "D:\Pobrane\Tibia 8.60.exe" /f

DeleteQuarantine:

*****************

 

 

========= reg delete "HKLM\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASAPI32" /f =========

 

Operacja ukoäczona pomylnie.

 

 

 

========= End of Reg: =========

 

 

========= reg delete "HKU\S-1-5-21-1745938249-244550939-3845965806-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "D:\Pobrane\Tibia 8.60.exe" /f =========

 

Operacja ukoäczona pomylnie.

 

 

 

========= End of Reg: =========

 

"C:\FRST\Quarantine" => Removed successfully.

 

==== End of Fixlog 15:34:04 ====

 

i jeszcze wykonałem (tak dla bezpieczeństwa) jeszcze raz przeszukiwanie rejestru

 

Farbar Recovery Scan Tool (x86) Version: 01-02-2015

Ran by Admin at 2015-02-02 15:34:59

Running from D:\Inne\Logi OTL

Boot Mode: Normal

 

================== Search Registry: "Asprate;IP Changer;Tibia" ===========

 

 

===================== Search result for "IP Changer" ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASMANCS]

====== End Of Search ======

[picasso]

Proszę nie wklejaj w CODE, źle się to czyta. Na przyszłość: preferuję oryginalne pliki raportów, by uniknąć ewentualnych zniekształceń podczas wklejania ich w postach. Tu akurat logi krótkie i nic takiego w nich nie było, więc mogły być wklejone w poście.

 

Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > skasuj poniższy klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASMANCS

[knugi]

Okay usunąłem go i przeszukałem rejestr FRST i czyściutko. Jesteś Bogiem :3 Dziękuję

[picasso]

Na koniec:

 

1. Skasuj używane narzędzia z D:\Inne\Logi OTL. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK

 

2. Zainstaluj oryginalną Tibia. Na wszelki wypadek zmień login do konta, bo nie wiadomo czy coś już nie wyciekło.

[knugi]

Log z DelFix:

 

 

# DelFix v10.8 - Logfile created 02/02/2015 at 15:54:47

# Updated 29/07/2014 by Xplode

# Username : Admin - ADMIN-KOMPUTER

# Operating System : Windows 7 Ultimate Service Pack 1 (32 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

 

########## - EOF - ##########

 

 

 

A hasło to i tak grałem tylko na jednym serwerze i tam nic nie mam, więc raczej nie potrzebne Jeszcze raz dziękuję

[picasso]

OK. Skasuj plik C:\Delfix.txt z dysku.

 

Temat rozwiązany. Zamykam.