Skocz do zawartości

Problem z trojanami w systemie i System Volume Information


Rekomendowane odpowiedzi

Witam.

 

Mam następujący problem. Mój kuzyn dał mi komputer do przeinstalowania systemu, ponieważ bardzo wolno chodzi i się zawiesza. Czasami wyskakuję bluescreen, innym razem zawiesza system i resartuje się.

Przeskanowałem system programem DrWeb LiveCD 6.00 i znalazłem ponad 100 zainfekowanych plików przez:

- Tool.BtcMine

- Trojan.BtcMine

- Vk.Base

- Trojan.Download

- Trojan.Downloader

Program usunął potencjalne zagrożenia, ale przy ponownym skanowaniu (około 11 godzin!), wyszukał kolejne...

U mnie komputer jest od 48 godzin i rzeczywiście szybkością działania nie zachwyca. Duże opóźnienia w uruchamianiu się aplikacji oraz działaniu całości. Zaobserwowałem również problemy z wczytywaniem się niektórych stron internetowych. Infekcja prawdopodobnie zaczęła się od zainstalowania zainfekowanego programu lub gry od znajomego, jednak nie udało mi się ustalić dokładnie która z aplikacji spowodowała infekcję. Na komputerze nie było żadnego akrtywnego programu Antywirusowego. Był zainstalowany Avast, jednak był wyłączony.

Proszę o pomoc w usunięciu problemów. Załączam logi z GMER i OTL.

 

Pozdrawiam i z góry dziękuję za pomoc

GMER.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rzeczywiście jest tutaj infekcja pochodząca z Facebooka. To łatwo usunąć.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files\*.jpg
C:\Program Files\*.jpeg
C:\WINDOWS\update*
C:\WINDOWS\av_ico
C:\WINDOWS\ufa
C:\WINDOWS\rpcminer
C:\WINDOWS\phoenix
C:\WINDOWS\info1
C:\WINDOWS\unrar.exe
C:\WINDOWS\phoenix.rar
C:\WINDOWS\rpcminer.rar
C:\WINDOWS\geoiplist.rar
C:\WINDOWS\loader2.exe_ok
C:\WINDOWS\tasks\Norton Security Scan for dd.job
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (wxpdrivers)
SRV - File not found [Auto | Stopped] --  -- (srvsysdriver32)
SRV - File not found [Auto | Stopped] --  -- (srviecheck)
SRV - File not found [Auto | Stopped] --  -- (srvbtcclient)
SRV - File not found [Auto | Stopped] --  -- (ddservice)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "AOL Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110319084849062&tb_oid=19-03-2011&tb_mrud=19-03-2011&query="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18047&q="
[2011-08-21 08:28:12 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2011-03-19 17:28:44 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\aol-web-search.xml
[2011-03-05 20:03:57 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\askcom.xml
[2011-06-07 13:44:45 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [1683263.exe]  File not found
O4 - HKLM..\Run: [1731917.exe]  File not found
O4 - HKLM..\Run: [7200222.exe]  File not found
O4 - HKLM..\Run: [7360995.exe]  File not found
O4 - HKLM..\Run: [75623956-loader2.exe]  File not found
O4 - HKLM..\Run: [8630967.exe]  File not found
O4 - HKLM..\Run: [avast]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [KMCONFIG]  File not found
O4 - HKLM..\Run: [l1rezerv.exe]  File not found
O4 - HKLM..\Run: [sysdriver32.exe]  File not found
O4 - HKLM..\Run: [sysdriver32_.exe]  File not found
O4 - HKLM..\Run: [systemup]  File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico0]  File not found
O4 - HKLM..\Run: [tray_ico1]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [wxpdrv]  File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przejdź do panelu usuwania programów i odinstaluj stamtąd zbędne pozycje - Akamai NetSession Interface / Babylon toolbar / Winamp Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

 

 

Odnośnik do komentarza

Wszystko ładnie zeszło. Wykonaj jeszcze jeden skrypt już kosmetyczny do OTL:

 

:Files
C:\WINDOWS\System32\drivers\etc\hîsts
C:\Documents and Settings\dd\Dane aplikacji\OpenCandy
C:\Documents and Settings\dd\Ustawienia lokalne\Dane aplikacji\OpenCandy
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
 
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found.

 

Do obejrzenia dajesz już tylko log z usuwania OTL i z Ad-Remover.

 

 

Odnośnik do komentarza

W porządku, infekcja w całości została usunięta. Wykonaj kroki końcowe:

 

1. Użyj opcji Sprzątanie w OTL.

 

2. Otwórz Google Chrome > Narzedzia > Rozszerzenia i usuń stamtąd szczątek po babylon Toolbar:

 

Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x)

3. Zaktualizuj Internet Explorer, Firefox i Java: KLIK.

 

4. Opróżnij folder Przywracania systemu: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...