KamilJB

Ja tam jestem Moderatorem, z moim kolegą spróbujemy Ci pomóc.

Ja już nie mam pomysłów.
Zarejestruj się na tym forum: [SPAM]
i opisz wszystkie swoje problemy w dziale ,,Bezpieczeństwo".
Dorzuć nowy komplet logów z OTL.

Za kolejne wklejanie linków, robienia reklamy, dostaniesz ostrzeżenie /Kamillo

Zobacz te programy do rozszyfrowania:

http://www.speedysha...orDecryptor.exe
http://speedyshare.c...ohdecryptor.exe

1. Otwórz notatnik i wklej do niego ten tekst:

Folder::
c:\users\UpdatusUser\AppData\Local\temp
c:\users\Public\AppData\Local\temp
c:\users\Default\AppData\Local\temp

Driver::
2004CC287
dmvsc
EagleX64
X6va008
X6va011
X6va012

Dir::
C:\Windows\SysWOW64\config\systemprofile\AppData

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va012]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\vBszKyhV2.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\vBszKyhV2.sys]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie (i powstanie log na końcu). Daj ten log.


2. Widzę szczątki ESETa. Odinstaluj go tym: Eset Uninstaller Tool.

 

PPPS@ Jak coś to pobrałem wtedy 3 trainery. W tym dniu znaczy się. Jestem pewien, że to od nich się zaczęło. Cały czas mam do nich linki, wątpię, że to coś, by pomogło ale jak coś to mogę podać.

Spakuj mi te Trainery i wyślij.

Infekcja ponownie wróciła - nie mam pojęcia skąd...

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O9:64bit: - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
DRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-10 21:02:28 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-10 21:03:09 | 006,220,856 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-10 21:02:43 | 000,702,464 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-10 21:02:35 | 000,680,448 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-10 21:02:29 | 000,004,096 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-10 21:02:28 | 000,046,528 | ---- | C] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-10 21:02:23 | 000,031,232 | ---- | C] () -- C:\Windows\SysNative\vBszKyhVp.dll

:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.

2. Użyj ComboFixa i wklej z niego log (jak nie działa to próbuj w Trybie Awaryjnym)!

3. Uruchom SystemLook i wklej:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

:filefind
vBszKyh
baxitkcw

:regfind
vBszKyh
baxitkcw

Klik w Look i przedstaw log.

4. Dorzuć jeszcze raport z TDSSKiller.

 

@kamil90hg - proszę założyć własny wątek.