lolziom1 Opublikowano 5 Września 2011 Zgłoś Udostępnij Opublikowano 5 Września 2011 Cześć Jak w temacie Komp sie zacina jest słaby , ale myślę że przyczyniają sie także do tego virusy. Gmer.txt.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Września 2011 Zgłoś Udostępnij Opublikowano 5 Września 2011 Rzeczywiście jest tutaj kilka rodzajów infekcji. Rozpocznij proces usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\tracertw.dll C:\WINDOWS\tasks\daojfcuf.job C:\WINDOWS\System32\xyewmbm.dll C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :Services iuitj jknfgjx SSHNAS ResultTool Service :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99801092-1E24-4826-9BCB-A66B0B0C749C}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\system.exe"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://www.tangosearch.com/?useie5=1&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{474A0CFD-48C5-4E10-AC25-80B1A55C7D16}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://www.tangosearch.com/?useie5=1&q=" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.mystart.com/?pr=facesmo2_0" IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20031211052019468&tb_oid=11-12-2003&tb_mrud=11-12-2003&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=382950" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20031211052019468&tb_oid=11-12-2003&tb_mrud=11-12-2003&query=" [2003-12-11 01:05:39 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-07-07 11:59:00 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2010-10-02 20:55:41 | 000,000,000 | ---D | M] (Mario Forever Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{707db484-2428-402d-afb5-d85b387544c7} [2003-12-11 11:57:57 | 000,000,000 | ---D | M] (Facesmooch) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{ba23dafc-5a36-4bdd-9d69-ed60da9d6c78} [2011-07-07 11:59:03 | 000,000,000 | ---D | M] (Babylon-EnglishBB Community Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2010-09-07 05:47:15 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\ffxtlbr@Facemoods.com [2003-12-11 05:23:09 | 000,000,000 | ---D | M] (PandoraTV Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\toolbar@ask.com [2003-12-11 06:24:15 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\aol-web-search.xml [2003-12-11 05:24:26 | 000,002,255 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\askcom.xml [2010-09-16 18:48:08 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\conduit.xml [2010-09-30 13:00:05 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\daemon-search.xml [2003-12-11 01:41:31 | 000,009,967 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\mywebsearch.xml O2 - BHO: (Tango) - {99801093-1E24-4826-9BCB-A66B0B0C749C} - File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (Tango) - {99801092-1E24-4826-9BCB-A66B0B0C749C} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (Tango) - {99801092-1E24-4826-9BCB-A66B0B0C749C} - File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\system.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z panelu usuwania programów śmieci sponsoringowe: Ask Toolbar (PandoraTV Toolbar) / Conduit Engine / BrotherSoft Extreme Toolbar / FaceSmooch Toolbar / MP3Rocket FileBulldog Toolbar / Winamp Toolbar 3. Napraw wyłączone przez infekcję funkcje: Start > Uruchom > wklep services.msc > Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie , usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 4. Następnie uruchamiasz OTL ponownie, ale zaznacz opcje "Pomiń pliki Microsoftu", wpisz netsvcs w polu Własne opcje skanowania/Skrypt i kliknij w Skanuj Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan. . Odnośnik do komentarza
lolziom1 Opublikowano 5 Września 2011 Autor Zgłoś Udostępnij Opublikowano 5 Września 2011 Wszystko ok tylko nie wiem jak zrobić to Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". nie mam w panelu sterowania czegoś takiego jak system i zabezpieczenia Odnośnik do komentarza
Landuss Opublikowano 5 Września 2011 Zgłoś Udostępnij Opublikowano 5 Września 2011 Zapomniałem że masz system XP, a dałem ci instrukcję dla Windows 7. W takim razie leć dalej i zostaw to zalecenie w spokoju. Ja Xp już dawno nie używam więc nie pamiętam jak tam to leci, a szukać po sieci nie mam czasu. Odnośnik do komentarza
lolziom1 Opublikowano 5 Września 2011 Autor Zgłoś Udostępnij Opublikowano 5 Września 2011 Ok jest. OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
Landuss Opublikowano 5 Września 2011 Zgłoś Udostępnij Opublikowano 5 Września 2011 Log z OTL źle zrobiony, mówiłem przecierz: wpisz netsvcs w polu Własne opcje skanowania/Skrypt i kliknij w Skanuj Wcześniej przeoczyłem jeszcze do odinstalowania Mario Forever Toolbar więc to wykonaj. Użyj też Ad-Remover tym razem z opcji Clean i wklej z niego nowy log. Odnośnik do komentarza
lolziom1 Opublikowano 6 Września 2011 Autor Zgłoś Udostępnij Opublikowano 6 Września 2011 No chyba jest. OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
Landuss Opublikowano 6 Września 2011 Zgłoś Udostępnij Opublikowano 6 Września 2011 Miałeś użyć Ad-Remover z opcji Clean a log z niego wygląda tak jakbyś tego nie zrobił. Proszę to powtórzyć i wkleić nowy log ze skanu. Odnośnik do komentarza
lolziom1 Opublikowano 6 Września 2011 Autor Zgłoś Udostępnij Opublikowano 6 Września 2011 Jest Ad-Report-CLEAN2.txt Odnośnik do komentarza
Landuss Opublikowano 6 Września 2011 Zgłoś Udostępnij Opublikowano 6 Września 2011 W porządku. Można powoli kończyć sprawę. 1. Wklej do OTL skrypt o takiej zawartości: :Files C:\Program Files\Mario_Forever C:\Program Files\IObit Toolbar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}"=- "{707db484-2428-402d-afb5-d85b387544c7}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{A9E2B556-CB6D-44AA-838B-04F17CA46CE4}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{A9E2B556-CB6D-44AA-838B-04F17CA46CE4}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{707DB484-2428-402D-AFB5-D85B387544C7}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{707db484-2428-402d-afb5-d85b387544c7}"=- "{3c490bf5-4244-4310-b4a7-3361f288dac5}"=- "{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{707db484-2428-402d-afb5-d85b387544c7}] :OTL SRV - File not found [On_Demand | Stopped] -- -- (FirebirdServerMAGIXInstance) FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.2 Kliknij w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz już. W zamian za to użyj opcję Sprzątanie w OTL. 2. Obowiązkowo zaktualizuj Przeglądarki Internet Explorer i Firefox oraz Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. . Odnośnik do komentarza
lolziom1 Opublikowano 6 Września 2011 Autor Zgłoś Udostępnij Opublikowano 6 Września 2011 nie moge wejśna tą strone http://windows.microsoft.com/pl-PL/internet-explorer/downloads/ie-8 Odnośnik do komentarza
picasso Opublikowano 6 Września 2011 Zgłoś Udostępnij Opublikowano 6 Września 2011 Skoro nie możesz otworzyć strony Microsoft, to świadczy, że infekcja nie została usunięta. I niestety usuwane tu infekcje to nie wszystko co tu faktycznie jest .... Są jawne ślady okropnego wirusa Virut (niszczy wszystkie wykonywalne na wszystkich dyskach), a ślady te to ten oto wpis w pliku HOSTS, w GMER ukryty wpis startowy VT100 Emulator oraz hooki biblioteki ntdll.dll: O1 HOSTS File: ([2000-10-02 00:00:48 | 000,001,092 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hostsO1 - Hosts: 127.0.0.1 www.Brenz.pl Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@VT100 Emulator C:\WINDOWS\system32\VT101.EXE Dodatkowo (choć to ma nikłe znaczenie w kontekście porównawczym), w ostatnim sprawdzanym OTL było widać także w Netsvcs szczątki po rootkitach (i nie zadano tego do czyszczenia): NetSvcs: SSHNAS - File not foundNetSvcs: iuitj - File not foundNetSvcs: jknfgjx - File not found Proszę zrobić nowy log z GMER. Ale tym razem GMER ma być uruchomiony w prawidłowych warunkach, czyli po deinstalacji programu do napędów wirtualnych oraz sterownika SPTD: DRV - [2010-09-30 12:36:08 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Do wykonania instrukcje z ogłoszenia: KLIK. I dopiero po tym uruchom GMER. Po weryfikacji co widzi aktualnie GMER otrzymasz instrukcje specyficzne dla leczenia plików zaprawionych Virut. Jest to bardzo ciężka do wyleczenia infekcja i może się skończyć formatem całego dysku. . Odnośnik do komentarza
lolziom1 Opublikowano 6 Września 2011 Autor Zgłoś Udostępnij Opublikowano 6 Września 2011 ok mam Gmer: http://wklej.org/id/590508/ Odnośnik do komentarza
picasso Opublikowano 6 Września 2011 Zgłoś Udostępnij Opublikowano 6 Września 2011 W GMER niewątpliwa aktywność Virut. A poza tym: czy na pewno to GMER po odinstalowaniu sterownika SPTD narzędziem SPTDinst + restart systemu? Nie wygląda na to... 1. Pobierz VirutKiller (plik przehostowany, bo infekcja blokuje stronę Kasperskiego). 2. Zastartuj Windows do Trybu awaryjnego. Uruchom VirutKiller. Stosuj go do skutku (zero zainfekowanych). 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O1 - Hosts: 127.0.0.1 www.Brenz.pl NetSvcs: SSHNAS - File not found NetSvcs: iuitj - File not found NetSvcs: jknfgjx - File not found Klik w Wykonaj skrypt. 4. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj oraz GMER (przypominam: SPTD musi być całkowicie odinstalowany). . Odnośnik do komentarza
lolziom1 Opublikowano 7 Września 2011 Autor Zgłoś Udostępnij Opublikowano 7 Września 2011 Lipa, wchodzę w trybie awaryjnym, włączam to VirutKiller.exe i za chwile komunikat o zamknięciu komputera, no i odlicza min a po upłynięciu komp sie uruchomił ponownie. Odnośnik do komentarza
picasso Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 To już było na forum przy VirutKiller i mimo wszystko udało się. Ile razy podejmowałeś próby z VirutKiller? Ponów zadanie. Jeśli spali na panewce, otrzymasz inne instrukcje leczenia spod niezaładowanego systemu. Odnośnik do komentarza
lolziom1 Opublikowano 7 Września 2011 Autor Zgłoś Udostępnij Opublikowano 7 Września 2011 Udało sie zeskanować, ponad 1600 zainfekowanych, jutro następny skan. Odnośnik do komentarza
lolziom1 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 Ok JEST OTL.Txt gmer.txt..txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 Ile razy skanowałeś VirutKiller? Jest bez zmian. Virut szaleje w GMER. Proszę ponów skanowanie za pomocą VirutKiller (do skutku), a po tym zaprezentuj nowy log z GMER.... Odnośnik do komentarza
lolziom1 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 3razy robiłem skana i było 0 zainfekowanych Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 GMER tego nie potwierdza - widoczne hooki biblioteki ntdll.dll oraz patch pliku svchost.exe (to oznacza czynnego wirusa) plus ukryty wpis VT101.EXE. 1. Na początek likwidacja ukrytego wpisu. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\system32\VT101.EXE DeleteRegValue: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\VT100 Emulator" Klik w Execute Now. Zatwierdź restart komputera. 2. Następnie wykonaj ponownie skanowanie za pomocą VirutKiller. 3. Uruchom zgodnie ze wskazówkami ComboFix (być może zdoła wyszukać prawidłową kopię svchost.exe). 4. Zrób nowy log z GMER. Przedstaw log wygenerowany przez ComboFix. . Odnośnik do komentarza
lolziom1 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 nie moge pobrać BlitzBlank.Błąd wczytywania strony Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 Infekcja blokuje. Link zastępczy: KLIK. Odnośnik do komentarza
lolziom1 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 skanowanie za pomocą VirutKiller mam wykonać w trybie awaryjnym ? Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 Tak. Odnośnik do komentarza
Rekomendowane odpowiedzi