Avast - nie mam pojecia co robic - OTL nie dziala, RSIT log

web_2 · 6 Kwiecień 2010 15:08

od kliku dni avast mi glupieje - caly czas wykrywa nowe trojany i rootkity - ktorych ad-aware nie widzi …

Najdziwniejsze jest to iz wasze forum tez mam zablokowane - nie wiem na jakiej zasadzie - ale dziala mi tylko przez proxy … zupelnie jakby ban na IP? Otl uruchamia się i po 10 sekundach wylacza sie … nawet nie zdaze kliknac runscan … najlepsze jest top iz format nie poamaga - zrobilem format, usunalem partycje, zrobilem od nowa i nie pomoiglo … co to jest? Co robić ? dziwne to nie? zupełnie jakby jakis cracker mnie ogladal - zczail iz jestem"cfany" i usunalem jego narzedzie poprzez otl i wasze forum … Czy to mozliwe … sam fakt iz forum mam zablokowane jest dziwny ;] Pomocy!

Log z avast:

http://wklej.org/id/310932/

Najlepsze co mnie dobija to to iż wywala mi jakies bledy z IE, ktorego kompletnie nie uzywam… mam go tylko zainstalowanego do 8 zeby nie robilo dziadostwo

RSIt: http://wklej.org/id/310942/

GMER:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-04-06 17:20:38

Windows 5.1.2600 Dodatek Service Pack 3

Running: 194rxmvs.exe; Driver: C:\DOCUME~1\Kuba\USTAWI~1\Temp\uxlcyfow.sys

---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xEE3854FE]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xEE385322]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xEE38545C]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Processes - GMER 1.0.15 ----

Process C:\WINDOWS\system32\winupd01.exe (*** hidden *** ) 1992

---- EOF - GMER 1.0.15 ----

Leon1 · 6 Kwiecień 2010 17:12

Na początek Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

potem

Pobierz OTListIt2: otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTListIT.txt oraz Extras.txt.

tadeusz242 · 6 Kwiecień 2010 17:12

Witam. Tu masz ustawienia awasta.

web_2 · 6 Kwiecień 2010 17:48

Pisze z drugiego kompa = tamtem swiruje

Gdzie?;]

Malwarebytes’ Anti-Malware - nie dostć że mialem cholerny problem ze sciagnieciem tego to nie da sie zainstalowac - pojawiaja sie runtime errory. bluescreeny, moze jakaś wersja portable ? ;]

OTL mi nie działa!

… Wypiąłem pendrive … coś ruszyło … może to to ;]

xyzzyx · 6 Kwiecień 2010 18:01

http://files.avast.com/files/manuals/us … me-pol.pdf. " web_2" to jest adres z instrukcją Avasta. Nie wiem czy do najnowszej wersji też pasuje ale myślę że pewne ustawienia będą podobne.Przypomniało mi się że kiedyś przy włożonej do czytnika uszkodzonej karcie SD to też mi się niezłe j… wyrabiały, aż do wyjęcia karty. Na razie postępuj jak radzi"Leon$", to jest fachowiec =D> . Pozdrawiam.

Leon1 · 6 Kwiecień 2010 18:07

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

Files to delete: C:\WINDOWS\system32\favul.exe C:\WINDOWS\system32\winupd01.exe C:\WINDOWS\system32\cooquagoona.exe C:\WINDOWS\system32\rotegygak.exe C:\WINDOWS\system32\javaws.exe C:\WINDOWS\system32\javaw.exe C:\WINDOWS\system32\java.exe C:\WINDOWS\system32\wulepougah.exe C:\Documents and Settings\Kuba\Dane aplikacji\xmkk.exe C:\Documents and Settings\Kuba\Dane aplikacji\zwlr.exe Registry values to delete: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | vejo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | rycyssoow HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | “C:\WINDOWS\system32\winupd01.exe” HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list | “C:\WINDOWS\system32\winupd01.exe” Drivers to delete: e9aoiady teeto79iz3aoe

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

potem spróbuj uruchomić podane wcześniej narzędzia

web_2 · 6 Kwiecień 2010 18:09

Log OTL :http://wklej.org/id/311118/

Leon1 · 6 Kwiecień 2010 18:21

jeśli nie użyłeś Avangera to go użyj

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:OTL PRC - [2010-04-05 22:45:31 | 000,268,288 | ---- | M] (Four-F) – C:\WINDOWS\system32\wulepougah.exe PRC - [2010-04-05 22:45:31 | 000,268,288 | ---- | M] (Four-F) – C:\WINDOWS\system32\favul.exe SRV - [2010-04-05 22:45:31 | 000,268,288 | ---- | M] (Four-F) [Auto | Stopped] – C:\WINDOWS\system32\rotegygak.exe – (teeto79iz3aoe) SRV - [2010-04-05 22:45:31 | 000,268,288 | ---- | M] (Four-F) [Auto | Stopped] – C:\WINDOWS\system32\cooquagoona.exe – (e9aoiady) O4 - HKLM…\Run: [rycyssoow] C:\WINDOWS\system32\favul.exe (Four-F) O4 - HKLM…\Run: [vejo] C:\WINDOWS\system32\favul.exe (Four-F) O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Kuba\Dane aplikacji\zwlr.exe) - C:\Documents and Settings\Kuba\Dane aplikacji\zwlr.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Kuba\Dane aplikacji\xmkk.exe) - C:\Documents and Settings\Kuba\Dane aplikacji\xmkk.exe File not found [2010-04-06 13:36:20 | 000,268,288 | ---- | C] (Four-F) – C:\WINDOWS\System32\cooquagoona.exe [2010-04-06 09:51:34 | 000,268,288 | ---- | C] (Four-F) – C:\WINDOWS\System32\rotegygak.exe [2010-04-05 22:46:13 | 000,268,288 | ---- | C] (Four-F) – C:\WINDOWS\System32\favul.exe [2010-04-05 22:45:31 | 000,268,288 | ---- | C] (Four-F) – C:\WINDOWS\System32\wulepougah.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan

web_2 · 6 Kwiecień 2010 18:24

log z avanger : http://wklej.org/id/311129/

LEce z custom fix OTL!

DAruje sobie ten od malware? czy robic ?

Leon1 · 6 Kwiecień 2010 18:30

użyj teraz skrypt do OTL bo nie wszystko zostało usunięte

zrób jak podałem w poprzednim poście

web_2 · 6 Kwiecień 2010 18:36

Log z fixa OTL :http://wklej.org/id/311136/

Nowy log OTL:http://wklej.org/id/311146/

P.s: Wyraźna poprawa komp działa szybciej, net sie nie tnie …

CO dalej - forum dalej działa tylko z proxy …

Malwarebytes? teraz probowac ? wczesniej nie dzialalo

aha pendrive poszedł do formatu na iinnym kompie … to on chyba rozsylał

Leon1 · 6 Kwiecień 2010 18:49

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:OTL O20 - HKCU Winlogon: Shell - (c:\documents) - File not found O20 - HKCU Winlogon: Shell - (and) - File not found O20 - HKCU Winlogon: Shell - (settings\kuba\dane) - File not found O20 - HKCU Winlogon: Shell - (aplikacji\zwlr.exe) - File not found O20 - HKCU Winlogon: Shell - (c:\documents) - File not found O20 - HKCU Winlogon: Shell - (and) - File not found O20 - HKCU Winlogon: Shell - (settings\kuba\dane) - File not found O20 - HKCU Winlogon: Shell - (aplikacji\xmkk.exe) - File not found MsConfig - StartUpReg: CTFMON.EXE - hkey= - key= - File not found MsConfig - StartUpReg: HotKeysCmds - hkey= - key= - File not found MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found MsConfig - StartUpReg: rycyssoow - hkey= - key= - File not found MsConfig - StartUpReg: vejo - hkey= - key= - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

teraz Malwarebytes

potem nowy log OTL robiony opcją Run Scan

gdy wklejasz link to nie dawaj przed nim dwukropka wtedy adres będzie aktywny

web_2 · 6 Kwiecień 2010 19:48

malware http://wklej.org/id/311225/

co teraz usuń ?

Usunalem wszystko …

a oto nowy log z Otla ;] ufff moze za chwile dojdziemy do magicznego clean up

http://wklej.org/id/311281/

Leon1 · 7 Kwiecień 2010 18:17

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

W OTL kilknij CleanUp

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

web_2 · 7 Kwiecień 2010 19:53

co to znaczy że przywracanie jest wyłączone przez zasady grupy ? Pewnie fix rejestru potrzebny - jescze jakies slady trojanow ?

Leon1 · 8 Kwiecień 2010 08:33

spróbuj tego fixa

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

web_2 · 8 Kwiecień 2010 11:38

działą ;] … nawet nie musiales tak lopatologicznie - nieraz juz cos w rejestrze zwalilem :d ale coz skad masz to wiedzie jaki jest poziom mojej wiedzy - wielkie dziex - jestes niesamowity!