MatiK Opublikowano 30 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Dostałem do naprawienia komputer który włączał się i po kilkudziesięciu sekundach uruchamiał się ponownie. Tryb awaryjny robił tak samo. Po drugim uruchomieniu udało mi się podejrzeć msconfig i zobaczyłem tam dużo podejrzanych wpisów. Skorzystałem sobie z OTLPE i udało mi się wygenerować log (w załączniku OTL1 i Extras1). Najpier usunąłem kilka plików ręcznie (konkretnie te C:\WINDOWS\update.2\svchost.exe -- (srviecheck) C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient) C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32) C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers) a potem przy pomocy OTL-a wykonałem skrypt który jest w załącznikach do postu nazwany skrypt1. Potem zrobiłem drugi skan (OTL2 i Extras2) poprawiłem wcześniejszą niedokładność skryptem2 i uruchomiłem ponownie komputer. Uruchomił się ładnie i pierwszą rzeczą którą zrobiłem to logi z OTL (OTL3 i Extras3) oraz GMER. Następnie użyłem MBAM i Kaspersky Virus Removal Tool które same pousuwały trochę rzeczy. Usunałem też katalog _OTL z dysku C. Następnie wykonałem kolejne skanowanie OTL (OTL4 i Extras 4) po którym uruchomiłem skrypt3. Na samym końcu odaliłem po raz kolejny OTL i ostateczny log który chciałbym aby został sprawdzony czy jest "czysty" to OTL5 i Extras 5. Oczywiście niezaktualizowane oprogramowanie zaktualizuję. OTL1.txt Extras1.txt skrypt1.txt skrypt1efekt.txt Extras2.txt skrypt2efekt.txt OTL3.Txt Extras3.Txt gmer.txt mbam-log-2011-08-30 (12-47-07).txt OTL4.Txt Extras4.Txt skrypt3.txt skrypt3efekt.txt OTL5.Txt Extras5.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 W systemie była infekcja pochodząca z Facebooka. Najpierw sprostowanie w skrypcie 1, który był wykonywany - otóż poniższe pozycje nie powinny być usuwane. DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) O33 - MountPoints2\{d89dd366-9dd1-11e0-846b-0013e8980e35}\Shell - "" = Autorun [2011/01/02 07:08:44 | 000,081,920 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll [2011/01/02 07:08:44 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll "File not found" w powyższej grupie usług systemowych to normalne zjawisko i jest to jeden z wyjątków dlatego się tego nie rusza. Usługi te widziałeś dlatego, ze zaznaczyłeś w OTL pokazywanie na "Wszystko" zamiast na "Użyj filtrowania". Wpis O33 jest związany z autostartem urządzeń przenośnych i to tez się zostawia. Teraz poprawię po tobie i napiszę ci kolejny skrypt, który wyczyści resztę pozostałości po infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\5142376drv.spi C:\WINDOWS\unrar.exe C:\WINDOWS\geoiplist.rar C:\WINDOWS\info1 C:\WINDOWS\geoiplist C:\WINDOWS\System32\drivers\etc\hîsts :Services 5142376drv :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\services32.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :OTL O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
MatiK Opublikowano 30 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Tylko wydaje mi sie że było zaznaczone z filtrowaniem - chociaż mogę się mylić bo akurat ten był z OTLPE. Poniżej logi. log.txt OTL6.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
Landuss Opublikowano 30 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Teraz wyczyszczone jak należy. Na koniec do wykonania parę rzeczy: 1. Użyj opcji Sprzątanie z OTL oraz Ad-Remover z opcji Clean. 2. Wykonaj koniecznie aktualizację IE do najnowszej wersji Internet Explorer 8. To ważne nawet jeśli z samej przeglądarki się nie korzysta, ale od niej zależy wiele w systemie. 3. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
MatiK Opublikowano 30 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2011 Przywracanie było wyłączone, wszystko posprzątane i oczywiście zaktualizuję co się tylko będzie dało. Dziękuję bardzo za pomoc. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi