20 odpowiedzi w tym temacie

[Hasol]

Witam

Na mojego laptopa został ściągnięty plik wirusowy z Facebooka. Załatwiły one antywirusa obecnego na laptopie- nortona. Ściągnąłem na innym kompie Avasta i przy pomocy USB przeniosłem go na zawirusowany komputer. Zrobiłem pełny skan, wiele zarażonych plików o wysokim zagrożeniu zostało przeniesionych do kwarantanny ale też przy wielu pojawił się błąd, że archiwum jest zabezpiecozne hasłem. Rozumiem, że komputer jest tak zainfekowany, że tylko informatyk będzie wstanie wyrzucić te zarażone pliki zabezpiecozne hasłem? Czy może to nie są pliki wirusowe a tylko avast je bierze za takie? mogę ich nazwy w razie czego wypisać. Pozdrawiam

[Daroxx]

Wstaw logi ze skanowania.

[Hasol]

Wstaw logi ze skanowania.

tych logów jest naprawdę sporo więc jeżeli to ma znaczenie moge jutro więcej jutro przepisać ale ogólnie to sporo jest z końcówką png:

C:\...\bgBody.png
C:\...\bgButtonFinished.png
C:\...\bgDownloadBarError.png
C:\...\iconHeader.png

sporo z końcówką js ulokowanych też w Documents and settings:

\actionairappexists.js
\actionairruntimeexists.js

Tego i poprzedniego typu jest najwięcej, jeszcze się zdarzają openx.css i inne. Avast z nimi nic nie robi tylk oinformacja wszędzie obok że są zabezpieczone hasłem.

[KamilJB]

Wklej logi z OTL

[Hasol]

Wklej logi z OTL

OTL?

[Daroxx]

Twój poprzedni post nic nie dał, OTL masz tu Mój odnośnik

[KamilJB]

Tutaj poradnik: http://www.forumkomp...security-check/

[Hasol]

Postąpiłem zgodnie z instrukcjami ale komputer został zawirusowany z dobre pół roku temu więc nie wiem czy nie powinienem zmienić w opcjach programu z "Młodsze niż: 30 dni" na "Młodsze niż: 360 dni" więc gdyby to miało znaczenie to piszcie. Załączyłem te logi

Załączone pliki

•  OTL.Txt   106,15 KB   5 Ilość pobrań
•  Extras.Txt   46,75 KB   2 Ilość pobrań

[KamilJB]

Jest tutaj zniszczony Norton + stare jak świat odłamki wirusa FB.

 

1. Do deinstalacji Nortona posłuż się Norton Removal Tool.

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.ma...t/ultrashim.cab (Reg Error: Key error.)
O4 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet File not found
O4 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe File not found
O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog File not found
O4 - HKU\S-1-5-18..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog File not found
O4 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006..\Run: [AQQ] C:\PROGRA~1\WapSter\AQQ\AQQ.exe File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [TFncKy] TFncKy.exe File not found

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Michał\Moje dokumenty\Pobieranie\Flash-Player.exe" =-
"C:\WINDOWS\update.1\svchost.exe" =-
"C:\WINDOWS\update.tray-10-0\svchost.exe" =-
"C:\WINDOWS\update.2\svchost.exe" =-

:Files
C:\Windows\update.tray*
C:\WINDOWS\update.*
C:\Documents and Settings\Michał\Moje dokumenty\Pobieranie\Flash-Player.exe

:Commands
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. Do deinstalacji zbędne śmiecie przeglądarkowe: MSN Search Toolbar / Google Toolbar for Internet Explorer

4. Użyj AdwCleaner z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

5. Pokaż log z TDSSKiller. Rozpakuj, uruchom go, wciśnij Start Scan i czekaj, aż zakończy się skanowanie. Raport znajdziesz na partycji C:\

6. Wygeneruj nowy log z OTL opcją Skanuj (Extras już niepotrzebne po raz drugi). Dołącz log z wynikami usuwania z punktu 2 oraz raporty z punkty 4 i 5.

[Hasol]

Ok, postaram się to zorbić jeszcze dzisiaj ale raczej zrobię to jutro do 10:00 jakby co

[Hasol]

1. Norton zdeinstalowany
2. Punkt 2 wykonany, raport nie chce się załączyć
3. Nie wykonany
4. Wykonany, raport załączony
5. Wykonany, raport załączony
6. Ogólny raport OTLu załączony

Mam nadzieję, że zrobiłem wszystko dobrze co się dało.

Załączone pliki

•  AdwCleanerR1.txt   3,17 KB   2 Ilość pobrań
•  TDSSKiller.2.7.45.0_13.07.2012_09.28.26_log.txt   28 KB   1 Ilość pobrań
•  OTL.Txt   92,62 KB   2 Ilość pobrań

[Hasol]

Może tak pomoże jeśli chodzi o raport z usuwania:

All processes killed
========== OTL ==========
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry value HKEY_USERS\S-1-5-21-2755529949-2581820558-4078685403-1006\Software\Microsoft\Windows\CurrentVersion\Run\\Yahoo! Pager deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2755529949-2581820558-4078685403-1006\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\wxpdrv deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Nokia.PCSync deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Nokia.PCSync not found.
Registry value HKEY_USERS\S-1-5-21-2755529949-2581820558-4078685403-1006\Software\Microsoft\Windows\CurrentVersion\Run\\ALLUpdate deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2755529949-2581820558-4078685403-1006\Software\Microsoft\Windows\CurrentVersion\Run\\AQQ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico1 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico2 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico3 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tray_ico4 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TFncKy deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\"AlternateShell"|"cmd.exe" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\\"EnableLUA"|dword:00000001 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\Michał\Moje dokumenty\Pobieranie\Flash-Player.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\update.1\svchost.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\update.tray-10-0\svchost.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\update.2\svchost.exe deleted successfully.
========== FILES ==========
C:\Windows\update.tray-10-0 folder moved successfully.
C:\Windows\update.tray-10-0-lnk folder moved successfully.
C:\WINDOWS\update.1 folder moved successfully.
C:\WINDOWS\update.2 folder moved successfully.
C:\WINDOWS\update.5.0 folder moved successfully.
C:\WINDOWS\update.7.1 folder moved successfully.
File\Folder C:\Documents and Settings\Michał\Moje dokumenty\Pobieranie\Flash-Player.exe not found.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 98438 bytes

User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Michał
->Temp folder emptied: 3201038768 bytes
->Temporary Internet Files folder emptied: 25380009 bytes
->Java cache emptied: 45298645 bytes
->FireFox cache emptied: 95840923 bytes
->Google Chrome cache emptied: 6174324 bytes
->Flash cache emptied: 174698 bytes

User: Micha�

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 26984273 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 393216 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 42673995 bytes
RecycleBin emptied: 10299796 bytes

Total Files Cleaned = 3 294,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07132012_085504

Files\Folders moved on Reboot...
C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\WCESLog.log moved successfully.
File\Folder C:\WINDOWS\temp\_avast_\Webshlock.txt not found!

PendingFileRenameOperations files...
File C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\WCESLog.log not found!
File C:\WINDOWS\temp\_avast_\Webshlock.txt not found!

Registry entries deleted on Reboot...

[KamilJB]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O4 - Startup: C:\Documents and Settings\Michał\Menu Start\Programy\Autostart\Registration Heroes of Might & Magic 5.LNK = File not found
O2 - BHO: (CNisExtBho Class) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll File not found
O2 - BHO: (CNavExtBho Class) - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll File not found
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll File not found
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll File not found
O3 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll File not found
O3 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006\..\Toolbar\WebBrowser: (Norton Internet Security 2006) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll File not found
O3 - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll File not found
FF - prefs.js..keyword.URL: "http://vshare.toolba...spx?srch=ku&q="
FF - user.js - File not found
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
IE - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006\..\SearchScopes\{F00E4C65-A0A1-B2B2-8C20-0E9DB49EC4F9}: "URL" = http://imedix.zumix....g=2-377-0-2z6aT
SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
IE - HKU\S-1-5-21-2755529949-2581820558-4078685403-1006\..\SearchScopes,DefaultScope = {D9D16205-B8AB-4DEE-81CA-7893ED64C19A}

:Files
C:\DOCUMENTS AND SETTINGS\MICHAĹ‚\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\YN4IWKSQ.DEFAULT\EXTENSIONS\{20A82645-C095-46ED-80E3-08825760534B}
C:\DOCUMENTS AND SETTINGS\MICHAĹ‚\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\YN4IWKSQ.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Norton Internet Security
c:\program files\google
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\yn4iwksq.default\extensions\vshare@toolbar
C:\Program Files\Google\Common\Google Updater
C:\Program Files\Symantec
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\avast! Emergency Update.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Documents and Settings\Michał\Pulpit\CAP0GF9L. /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Documents and Settings\Michał\Pulpit\CA8LIVKT. /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Documents and Settings\Michał\Pulpit\CAP0GF9L /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Documents and Settings\Michał\Pulpit\CA8LIVKT /C

:Services
nenum13E

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

:Commands
[Reboot]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wygeneruj nowy log z OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Podaj log z wynikami usuwania z OTL

[Hasol]

Zajmuje się tym, skończę wkrótce

[Hasol]

OTL4 to wynik z usuwania, OTL to skan po usuwaniu, a FSS wiadomo

Załączone pliki

•  OTL4.txt   15,14 KB   2 Ilość pobrań
•  FSS.txt   4,57 KB   2 Ilość pobrań
•  OTL.Txt   86,96 KB   1 Ilość pobrań

[KamilJB]

OTL przez przypadek usunął wszystkie foldery Google, czyli wszystkie programy związane z GOOGLE do reinstalacji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Reg Error: Key error.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.65\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.65\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.3: C:\Program Files\Yahoo!\Shared\npYState.dll File not found
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem) Usługa Google Update (gupdatem)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate) Usługa Google Update (gupdate)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe -- (GoogleDesktopManager)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) - File not found
O4 - HKLM..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup File not found

:Files
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\yn4iwksq.default\searchplugins\web-search.xml
rd /s /q C:\Documents and Settings\Michał\Pulpit\CAP0GF9L. /C
rd /s /q C:\Documents and Settings\Michał\Pulpit\CA8LIVKT. /C

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001

Klik w Wykonaj Skrypt.

2. Uruchom AdwCleaner i wciśnij UNINSTALL // w OTL wciśnij Sprzątanie.

3. Wyczyść foldery Przywracania systemu: LINK.

4. Zalecam ponowne PEŁNE SKANOWANIE SYSTEMU za pomocą MalwareBytes Anti-Malware . Przed skanowaniem zaaktualizuj ręcznie bazę wirusów. Usuń to co znajdzie i wklej raport końcowy po czyszczeniu.

[Hasol]

Ok, zajmuje się tym, skończę w ciągu godziny jakby co.

[Hasol]

Czekam jeszcze na wyniki skanowania MalwareBytsa i wtedy napiszę

[Hasol]

Proszę, załączam wyniki skanowania

Moment, chyba załączyłem plik przed usunięciem zagrożeń przez MalwareBytesa

Ok, chyba chodzi o ten zapis z dwójką po nawiasie.

Załączone pliki

•  mbam-log-2012-07-13 (12-58-47).txt   3,96 KB   2 Ilość pobrań
•  mbam-log-2012-07-13 (11-56-53)2.txt   5,01 KB   3 Ilość pobrań

[KamilJB]

Jest oki, przechodzimy do kroków końcowych.

1.

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 26
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish
"Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20)

• Załataj krytyczne luki w systemie: Windows XP SP 3 + IE 8
• Wszystkie obecne Javy które posiadasz w systemie do kompletnej deinstalacji (tutaj specjalny program: JavaRa), w zamian zainstaluj: Java SE 7 update 5 (JRE) + Java SE 6 Update 33.
• Sprawdź jaką masz wersję Adobe Flash Playera za pomocą Find Flash Player version. Jeżeli masz inną niż 11.3.300.265 - do aktualizacji.
• Gadu-Gadu 7.7 to stary i niebezpieczny program. Nie wspomne też o 10-tce która jest ociężała dla systemu. Alternatywe którą polecma to: WTW
• Adobe Reader jest już w wersji X (10.1.3) - czyli do aktualzacji.
• Starego jak świat FireFoxa zastąp najnowszą wersję minimalizując luki i poprawiając swoje bezpieczeństwo: Firefox 13.0.1.

2. Prewencyjnie zmień hasła logowania w serwisach.