Trojan Win32/Sirefef

[bekon]

Witam!

 

Proszę o pomoc w sprawie pozbycia się Trojana. Z tego co widzę, wielu użytkowników ma ostatnio z nim problem. Zaciągnąłem go wczoraj z uczelnianego kompa, przez pendrive'a. Moja sytuacja wygląda następująco: system jest zamulony, nie mogę uruchomić zapory windowsa "z powodu niezidentyfikowanego problemu", czasami procek pracuje na maksie, Microsoft security essential ciągle pracuje i pokazuje komunikaty, że "wykrywane zagrożenia są usuwane", ale jeśli puszczę skan, to nic nie wykrywa, a w historii operacji widnieją zapiski o :

 

Kategoria: Koń trojański

 

Opis: Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.

 

Zalecana akcja: Usuń niezwłocznie to oprogramowanie.

 

Elementy:

file:C:\WINDOWS\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\00000001.@

 

Mam różne rodzaje trojana: Sirefef, Sirefef.AL, Sirefef. AG, czasami pokazuje jeszcze inny typ wirusa, ale teraz nie jestem w stanie go wychwycić, może raporty coś wskażą. Antywirus klasyfikuje te pliki do kwarantanny, z poziomem alertu poważny.

 

Proszę o pomoc

OTL.Txt

Extras.Txt

gmer1.txt

[picasso]

Mam wątpliwości czy Sirefef dostał się przez pendrive, to nie jest taki rodzaj infekcji (główny nośnik infekcji to linki URL). Przez pendrive to się dostały na ten system całkiem inne rzeczy, bo też i tu jest kilka infekcji a nie tylko tytułowa. Wymagany dodatkowy skan identyfikujący punkt ładowania Sirefef. Uruchom SystemLook i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Podaj raport wynikowy.

 

 

.

[bekon]

Dzięki za szybką odp.

 

Załączam raport

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:14 on 15/06/2012 by Administrator

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [11:47 06/12/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 108544 bytes [08:43 22/07/2010] [12:00 04/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [12:46 06/12/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 109056 bytes [08:48 22/07/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 04/08/2004] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [11:47 06/12/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v vhdeez /f
sc delete adfs

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}"
"C:\Documents and Settings\Administrator\Dane aplikacji\updates"
 
DeleteFile:
"C:\Documents and Settings\Administrator\heovoc.com"
"C:\Documents and Settings\Administrator\peotom.com"
"C:\Documents and Settings\Administrator\lsag.com"
"C:\Documents and Settings\Administrator\vhdeez.exe"
"C:\Documents and Settings\Administrator\saaded.com"
"C:\Documents and Settings\Administrator\fojah.com"
"C:\Documents and Settings\Administrator\tolon.com"
"C:\Documents and Settings\Administrator\yiojex.com"
"C:\Documents and Settings\Administrator\dkr.com"
"C:\Documents and Settings\Administrator\noadij.com"
"C:\Documents and Settings\Administrator\giaqew.com"
"C:\Documents and Settings\Administrator\heaso.com"
"C:\Documents and Settings\Administrator\ppud.com"
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Odinstaluj adware (vShare narobiło śmietnik): VshareComplete + vShare plugin 1.3. Popraw przez AdwCleaner z opcji Delete.

 

4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone) + szukanie SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Dołącz zawartość raportu BlitzBlank i log utworzony przez AdwCleaner.

 

 

.

[bekon]

Wykonałem polecenie 1. Przy drugim wyskoczyło, że jest błędna składnia w linijce 10 - "Synax error in line 10, Invalid file path". Może pomocną będzie informacja, że ciągle pracuje Essential Security i może on usuwać lub robić coś z tymi robakami.

 

Właśnie do kolekcji doszedł nowy kolega: WinNT/Alureon - kazałem programowi go spróbować usunąć, nie wiem z jakim skutkiem, ale coraz bardziej mi antywirus wariuje, każe coś usuwać, zamykać, restartować kompa...

 

I jeszcze jeden Win32\Gamarue.I - robi się coraz goręcej

[picasso]

Wykonałem polecenie 1. Przy drugim wyskoczyło, że jest błędna składnia w linijce 10 - "Synax error in line 10, Invalid file path". Może pomocną będzie informacja, że ciągle pracuje Essential Security i może on usuwać lub robić coś z tymi robakami.

 

Wyłącz osłonę Microsoft Security Essentials. Tylko utrudniasz tu usuwanie. W związku z tym, że nie wiadomo co kasował antywirus, skracam skrypt do postaci:

 

DeleteFolder:
C:\WINDOWS\Installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}
"C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}"
"C:\Documents and Settings\Administrator\Dane aplikacji\updates"
 
Execute: 
C:\fix.bat

 

Obiektami infekcji z pendrive zajmę się później, już na podstawie odczytu z OTL.

 

 

.

[bekon]

Ok. Zrobiłem kolejne kroki 2 i 3. Przy 4, kiedy chciałem wygenerować log z OTL skan zatrzymał się na : "scanning driver: ebzgijrh" i dalej nic, zatrzymał się, program nie odpowiada. Załączam pozostałe, bez OTL

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\00000001.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\80000000.@", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\windows\installer\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U\800000cb.@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\n", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\ustawienia lokalne\dane aplikacji\{8cd32f3f-0b68-567e-fd76-2214a6d3a97f}\U", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\documents and settings\administrator\dane aplikacji\updates", destinationDirectory = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

AdwCleanerS2.txt

[picasso]

Log ogólny jest konieczny. Wejdź w Tryb awaryjny i zrób log z OTL. Poza tym, brakuje logów z Farbar Service Scanner i SystemLook.

[bekon]

Zrobiłem jak prosiłaś.

Załączam brakujące pliki.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:26 on 16/06/2012 by Administrator

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="C:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

-= EOF =-

FSS.txt

OTL2.Txt

[picasso]

Trojan Sirefef załatwiony. Pozostała infekcja z pendrive oraz naprawa szkód zrobionych przez Sirefef.

 

1. Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\common.data
C:\Documents and Settings\Administrator\dnuk.com
C:\Documents and Settings\Administrator\feobiv.com
C:\Documents and Settings\Administrator\vuebob.com
C:\Documents and Settings\Administrator\dneb.com
C:\Documents and Settings\Administrator\cdtoeq.exe
C:\Documents and Settings\Administrator\peotom.com
C:\Documents and Settings\Administrator\lsag.com
C:\Documents and Settings\Administrator\saaded.com
C:\Documents and Settings\Administrator\fojah.com
C:\Documents and Settings\Administrator\tolon.com
C:\Documents and Settings\Administrator\yiojex.com
C:\Documents and Settings\Administrator\dkr.com
C:\Documents and Settings\Administrator\noadij.com
C:\Documents and Settings\Administrator\giaqew.com
C:\Documents and Settings\Administrator\heaso.com
C:\Documents and Settings\Administrator\ppud.com
C:\Documents and Settings\Administrator\heovoc.com
C:\Documents and Settings\Administrator\zkfx.exe
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mcqsmyh0.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mcqsmyh0.default\searchplugins\askcom.xml
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mcqsmyh0.default\searchplugins\startsear.xml
 
:OTL
DRV - [2012-06-16 09:49:05 | 000,093,696 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\ebzgijrh.sys -- (ebzgijrh)
O4 - HKCU..\Run: [cdtoeq] C:\Documents and Settings\Administrator\cdtoeq.exe (vigorless)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 18083 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiqaa.exe ()
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: {dd05fd3d-18df-4ce4-ae53-e795339c5f01}:1.21
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.100008
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{71CF7CE7-31E0-48CF-BA68-53C41727347C}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{94A39422-AB0B-49F6-A83B-CD1C3A65FBB7}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{71CF7CE7-31E0-48CF-BA68-53C41727347C}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Odtwórz w rejestrze skasowane usługi Zapory i Centrum zabezpieczeń: KLIK.

 

3. Zresetuj system i wygeneruj nowe logi: OTL z opcji Skanuj + GMER + Farbar Service Scanner. Dołącz log z wynikami usuwania OTL z punktu 1.

 

 

 

 

.

[bekon]

Niestety podany przez Ciebie skrypt z punktu 1 nie działa, tzn. zawiesza kompa i działanie programu OTL. Komputer nie jest restartowany

[picasso]

Czy na pewno robisz to z poziomu Trybu awaryjnego? Jeśli tak, to zmodyfikuj skrypt i odetnij mu spód, czyli:

 

:Commands

[emptytemp]

 

 

.

[bekon]

Po niedzielnej przerwie wracam do walki ze śmieciami.

Niestety, skrypty wpisuję z poziomu awaryjnego, nawet ten zmodyfikowany nie pomógł i dalej komp się zawiesza i nie restartuje.

Spisałem na kartce kilka chyba ostatnich linijek tego co wyszło w okienku skryptu, może Ci pomoże:

 

[M] Kernel/Auto/Stopped -- C:\WINDOWS\System32\drivers\ebzgijrh.sys

04 - HKCV...\Run:[cdtoeg] C:\Documents and Settings\Administrator\cdtoeg.exe (vigorless)

06 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policises\Explorer\Run:18083=C.

FF - prefs.js.browser.search.order.1: "Ask.com"

 

Tak jak napisałem wyżej, nie jestem przekonany która to część skryptu, czy końcowa czy jakaś inna.

[picasso]

Zrób nowy log z OTL, który wykaże ile się wykonało ze skryptu.

[bekon]

Załączam OTL. Niestety, działa on już tylko z trybu awaryjnego

OTL3.Txt

[picasso]

Nie wszystko zostało usunięte. Kolejna próba dokasowania reszty wystąpień infekcji:

 

1. Zrób nowy plik FIX.BAT o zawartości:

 

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v cdtoeq /f
sc delete ebzgijrh

 

Ułóż tak jak poprzednio wprost na C:\.

 

2. Uruchom BlitzBlank i do okna wklej:

 

DeleteFile:

C:\WINDOWS\System32\drivers\ebzgijrh.sys
"C:\Documents and Settings\All Users\Dane aplikacji\common.data"
 
DeleteFolder:
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp
 
Execute: 
C:\fix.bat

 

Tak jak poprzednio: Execute Now i restart systemu.

 

3. Przedstaw: log z pracy BlitzBlank oraz nowe logi z OTL + GMER.

 

 

 

.

[bekon]

GMER bardzo długo się tworzy...:/

[picasso]

Tak, ale ma być zrobiony.

[bekon]

Wreszcie

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\drivers\ebzgijrh.sys", destinationFile = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\all users\dane aplikacji\common.data", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\docume~1\alluse~1\locals~1\temp", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\docume~1\alluse~1\locals~1\temp\msiqaa.exe", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

gmer2.txt

OTL4.Txt

[picasso]

Zadanie wykonane prawie. Jest tu pewien problem, ten wpis nie puszcza:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 18083 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiqaa.exe

 

Poza tym, log z GMER wygląda podejrzanie. Są hooki procesów, które mogą sugerować infekcję bibliotek systemowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{71CF7CE7-31E0-48CF-BA68-53C41727347C}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{94A39422-AB0B-49F6-A83B-CD1C3A65FBB7}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{71CF7CE7-31E0-48CF-BA68-53C41727347C}]
 
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 18083 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiqaa.exe
O20 - Winlogon\Notify\NavLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found 
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.100008
FF - prefs.js..extensions.enabledItems: {dd05fd3d-18df-4ce4-ae53-e795339c5f01}:1.21
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System powienien zostać zrestartowany.

 

2. Do oceny: log z wynikami przetwarzania skryptu z punktu 1, nowy log z OTL oraz szukanie w SystemLook na warunek:

 

:filefind

ws2_32.dll

 

 

.

[bekon]

Tym razem wszystko sprawnie

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:06 on 18/06/2012 by Administrator

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "ws2_32.dll"

C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll -----c- 82944 bytes [08:43 22/07/2010] [12:00 04/08/2004] AB82237486B727DD7DAB36A76F38A3A2

C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll ------- 82432 bytes [08:48 22/07/2010] [20:51 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9

C:\WINDOWS\system32\ws2_32.dll --a---- 82432 bytes [12:00 04/08/2004] [20:51 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9

 

-= EOF =-

OTL5.Txt

06182012_130216OTL.txt

[picasso]

Skasowane, odczyt sum MD5 biblioteki systemowej jakoby poprawny. W związku z tym:

 

1. Czy wykonałeś to:

 

Odtwórz w rejestrze skasowane usługi Zapory i Centrum zabezpieczeń: KLIK.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. Ręcznie dokasuj resztę narzędzi.

 

3. Wykonaj skanowanie w Kaspersky Virus Removal Tool. Dla jasności: skanowanie pełne (w konfiguracji zaznacz wszystkie obszary), będzie o wiele dłuższe lecz pewniejsze. Przedstaw log końcowy z wynikami typu "Detected" (inne formy komunikatów mnie nie interesują).

 

 

 

 

.

[bekon]

Uporałem się z zaporą, posprzątałem po narzędziach.

Zapuściłem Kasperskyego i po 4,5 h zeskanował 42% danych i wygląda na to, że dalej nie ruszy, gdyż stoi już długo w jednym miejscu. Znalazł jakieś dwa śmieci, jeden z nich to Trojan Dropper.Win32.Dapato.bjam, drugi nie wiem.

Umiejscowiony jest w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{622DF84C-A8B5-8D74-AA2F-AA0B2504B161}-2kfx.exe

Zapuściłem antywira jeszcze raz, zobacze czy teraz uda się przeskanować całość.

 

Udało się zeskanować całość, jednak z problemami. Dwa razy musiałem wznawiać działanie programu, gdyż nie chciał dalej ruszyć.

Załączam raport, pełny się nie zmieścił więc jest "detected".

 

Status: Detected   (events: 2)	

2012-06-20 11:06:44 Detected Trojan program Trojan-Dropper.Win32.Dapato.bjam C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{ADDC3B01-229D-3EA0-5E67-8EB6A4B75E23}-2kfx.exe//PE-Crypt.XorPE High

2012-06-20 11:06:44 Detected Trojan program Trojan-Dropper.Win32.Dapato.bjam C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\LocalCopy\{622DF84C-A8B5-8D74-AA2F-AA0B2504B161}-2kfx.exe//PE-Crypt.XorPE High

[picasso]

Uporałem się z zaporą

 

Z Centrum zabezpieczeń również?

 

 

Załączam raport, pełny się nie zmieścił więc jest "detected".

 

Mówiłam wyraźnie, że pełny mnie nie interesuje, tylko wyniki "Detected". Wyniki nie mają znaczenia. Kaspersky wykrył obiekty w kwarantannie skanera Microsoftu. W związku z tym czyszczenie możemy uznać za zakończone i nasuwa się pytanie jak pracuje system, czy notujesz jakieś problemy? Na zakończenie:

 

1. Prewencyjnie zmień hasła logowania w serwisach.

 

2. Do wykonania aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox 13.0 (x86 pl)" = Mozilla Firefox 13.0 (x86 pl)
"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)

 

GG7 tu zakreślam ze względu na: brak pełnej obsługi własnego protokołu + niski poziom bezpieczeństwa (niesyfrowane połączenia). Tego kalekę możesz wymienić solidniejszą alternatywą. W artykule Darmowe komunikatory popatrz na opisy: WTW, Miranda, Kadu, AQQ.

 

 

 

.

[bekon]

Dzięki za pomoc!

Na razie nie obserwuję żadnych problemów z działaniem systemu.

Ze względu na małą pojemność dysku nie mogę dokonać aktualizacji, które zajmują dużo miejsca. Czy są one konieczne?

Z Centrum Zabezpieczeń również się uporałem, komunikator wymienię na lepszy.

 

Teraz pytania:

Czy działanie ochrony Microsoft Essential nie będzie powodowało problemów z jednoczesnym działaniem Kasperskyego?

Czy Essential jest wystarczająco dobrym programem do walki z wirusami? Jeśli nie to co polecasz?

Co z zainfekowanym pendrivem?