karczo Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Witam. Mam następujący problem. Mój kuzyn dał mi komputer do przeinstalowania systemu, ponieważ bardzo wolno chodzi i się zawiesza. Czasami wyskakuję bluescreen, innym razem zawiesza system i resartuje się. Przeskanowałem system programem DrWeb LiveCD 6.00 i znalazłem ponad 100 zainfekowanych plików przez: - Tool.BtcMine - Trojan.BtcMine - Vk.Base - Trojan.Download - Trojan.Downloader Program usunął potencjalne zagrożenia, ale przy ponownym skanowaniu (około 11 godzin!), wyszukał kolejne... U mnie komputer jest od 48 godzin i rzeczywiście szybkością działania nie zachwyca. Duże opóźnienia w uruchamianiu się aplikacji oraz działaniu całości. Zaobserwowałem również problemy z wczytywaniem się niektórych stron internetowych. Infekcja prawdopodobnie zaczęła się od zainstalowania zainfekowanego programu lub gry od znajomego, jednak nie udało mi się ustalić dokładnie która z aplikacji spowodowała infekcję. Na komputerze nie było żadnego akrtywnego programu Antywirusowego. Był zainstalowany Avast, jednak był wyłączony. Proszę o pomoc w usunięciu problemów. Załączam logi z GMER i OTL. Pozdrawiam i z góry dziękuję za pomoc GMER.txt Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Rzeczywiście jest tutaj infekcja pochodząca z Facebooka. To łatwo usunąć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\*.jpg C:\Program Files\*.jpeg C:\WINDOWS\update* C:\WINDOWS\av_ico C:\WINDOWS\ufa C:\WINDOWS\rpcminer C:\WINDOWS\phoenix C:\WINDOWS\info1 C:\WINDOWS\unrar.exe C:\WINDOWS\phoenix.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\tasks\Norton Security Scan for dd.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :OTL SRV - File not found [Auto | Stopped] -- -- (wxpdrivers) SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32) SRV - File not found [Auto | Stopped] -- -- (srviecheck) SRV - File not found [Auto | Stopped] -- -- (srvbtcclient) SRV - File not found [Auto | Stopped] -- -- (ddservice) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110319084849062&tb_oid=19-03-2011&tb_mrud=19-03-2011&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18047&q=" [2011-08-21 08:28:12 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-03-19 17:28:44 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\aol-web-search.xml [2011-03-05 20:03:57 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\askcom.xml [2011-06-07 13:44:45 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [1683263.exe] File not found O4 - HKLM..\Run: [1731917.exe] File not found O4 - HKLM..\Run: [7200222.exe] File not found O4 - HKLM..\Run: [7360995.exe] File not found O4 - HKLM..\Run: [75623956-loader2.exe] File not found O4 - HKLM..\Run: [8630967.exe] File not found O4 - HKLM..\Run: [avast] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [KMCONFIG] File not found O4 - HKLM..\Run: [l1rezerv.exe] File not found O4 - HKLM..\Run: [sysdriver32.exe] File not found O4 - HKLM..\Run: [sysdriver32_.exe] File not found O4 - HKLM..\Run: [systemup] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico0] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [wxpdrv] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj stamtąd zbędne pozycje - Akamai NetSession Interface / Babylon toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
karczo Opublikowano 28 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Witam. Wykonałem podane kroki, załączam logi z OTL i AD-Remover. Pozdrawiam. OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Wszystko ładnie zeszło. Wykonaj jeszcze jeden skrypt już kosmetyczny do OTL: :Files C:\WINDOWS\System32\drivers\etc\hîsts C:\Documents and Settings\dd\Dane aplikacji\OpenCandy C:\Documents and Settings\dd\Ustawienia lokalne\Dane aplikacji\OpenCandy :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. Do obejrzenia dajesz już tylko log z usuwania OTL i z Ad-Remover. Odnośnik do komentarza
karczo Opublikowano 29 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2011 Witam. Skrypt do OTL wykonany. Przesyłam logi z OTL i AD-R. Pozdr. 08292011_164057.txt Ad-Report-SCAN2.txt Odnośnik do komentarza
Landuss Opublikowano 29 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2011 W porządku, infekcja w całości została usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Otwórz Google Chrome > Narzedzia > Rozszerzenia i usuń stamtąd szczątek po babylon Toolbar: Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) 3. Zaktualizuj Internet Explorer, Firefox i Java: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. . Odnośnik do komentarza
karczo Opublikowano 30 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Oczyszczanie wykonałem, pozostały już tylko aktualizacje. Dziękuję za pomoc i pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi