Infekcja Sality i Ukash

adrian2534 · 14 Styczeń 2013 14:30

Witam ostatnio miałem problem z wirusem “policja cyberprzestepczość departament” usunołem go Dr web live CD ale nie o to chodzi czy komputer jest już “czysty” czy musze podjąć jakieś kroki? proszę o pomoc prozdrawiam

Logi OTL: http://wklej.org/id/924644/

Extras.txt: http://wklej.org/id/924648/

spandaupol · 14 Styczeń 2013 14:40

Z raportu OTL wynika że nie został usunięty dodatkowo jest (była) infekcja Sality

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\nlrpn.sys – (amsint32) [2012-12-27 20:56:56 | 000,002,953 | ---- | C] () – C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.js [2012-12-27 20:56:56 | 000,000,784 | ---- | C] () – C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\runctf.lnk [2012-12-27 20:56:46 | 095,023,320 | ---- | C] () – C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.pad :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] “ServiceDll”=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.

Następnie użyj AdwCleaner z opcji Delete (zamknij wcześniej wszystkie przeglądarki przed użyciem narzędzia) otl-gmer-rsit-dss-inne-instrukcje-t370405.html#p3090080 pokaż raport z tej operacji na forum.

Następnie ponownie uruchamiasz OTL ustaw jak na obrazku w instrukcji analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741 klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

adrian2534 · 14 Styczeń 2013 14:42

ok już się zabieram do roboty

– Dodane 14.01.2013 (Pn) 15:43 –

+czy ten wirus może wykraść mi jakieś passy czy coś? (głównie mi chodzi o bank)

spandaupol · 14 Styczeń 2013 14:47

Hm, ten może nie, ale dla bezpieczeństwa po usunięciu infekcji zmienisz sobie hasła logowania. Tutaj jest więcej niż jedna infekcja.

adrian2534 · 14 Styczeń 2013 15:11

Więc tak

oto logi z ADWCleaner’a: http://wklej.org/id/924680/

A tutaj z OTL (nowe): http://wklej.org/id/924698/

Extras: http://wklej.org/id/924699/

z góry dziękuje za pomoc

spandaupol · 14 Styczeń 2013 15:47

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL SRV - File not found [Auto | Stopped] – C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe – (vToolbarUpdater13.2.0) DRV - [2009-10-22 12:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\22794812.sys – (22794812) DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\22794811.sys – (22794811) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files\Winamp Toolbar\winamppltb.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (Winamp Toolbar) - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - C:\Program Files\Winamp Toolbar\winamppltb.dll File not found O2 - BHO: (Winamp Toolbar Loader) - {4accc990-3dc7-4456-a734-5cb4b610a7f5} - C:\Program Files\Winamp Toolbar\winamppltb.dll File not found O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKLM…\Run: [vProt] “C:\Program Files\AVG Secure Search\vprot.exe” File not found O4 - Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\setup_9.0.0.722_04.08.2012_20-32.lnk = File not found :Files C:\Program Files\Common Files\AVG Secure Search C:\found.000 :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

adrian2534 · 14 Styczeń 2013 15:57

ok już się robi

– Dodane 14.01.2013 (Pn) 17:10 –

oto logi

ten 1 który mialem dać : http://wklej.org/id/924772/

a 2 już robię : http://wklej.org/id/924794/

Extras: http://wklej.org/id/924795/

spandaupol · 14 Styczeń 2013 16:36

Uruchom AdwCleanera wybierz opcje Uninstall

Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną.

Sprawdź czy działa Ci tryb awaryjny http://support.kaspersky.com/pl/faq/?qid=193238595 Jeśli jest problem zobacz sekcje Co zrobić, gdy komputer uruchamia się tylko w trybie standardowym?

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Użyj Securitycheck, uaktualnij to co wskaże program analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3080641

adrian2534 · 14 Styczeń 2013 17:01

tak co do trybu to nie ma blue screena tylko komputer się restartuje (tak przynajmniej na tą chwile jest) teraz wyłączyłem i włączyłem przywracanie systemu, AdwCleanera też “Odinstalowałem”, OTL też zrobiłem teraz zrobię tego Securitycheck. teraz mam pytanie czy to wszystko ? czy muszę coś jeszcze zrobić już wiem że teraz warto kupić sobie jakiegoś dobrego antywira

Results of screen317’s Security Check version 0.99.57 Windows XP Service Pack 3 x86 Internet Explorer 6 Out of date! Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Please wait while WMIC compiles updated MOF files.d i s p l a y N a m e ECHO jest wyĄczone. A V G ECHO jest wyĄczone. u p d a t e ECHO jest wyĄczone. m o d u l e ECHO jest wyĄczone. Antivirus up to date! Anti-malware/Other Utilities Check: CCleaner EasyCleaner Java 7 Update 11 Adobe Flash Player 11.5.502.146 Adobe Reader 10.1.3 Adobe Reader out of Date! Mozilla Firefox 17.0.1 Firefox out of Date! Process Check: objlist.exe by Laurent AVG avgwdsvc.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe System Health check Total Fragmentation on Drive C:: ````````````````````End of Log``````````````````````

prosz mógł by mi ktoś to wyjaśnić w sprawach

Evenementi · 16 Styczeń 2013 07:58

Odinstaluj:

Adobe Reader 10.1.3,

Mozilla Firefox 17.0.1

Zainstaluj:

http://www.microsoft.com/pl-pl/download/details.aspx?id=43 : Internet Explorer 8

http://www.dobreprogramy.pl/Adobe-Reader-XI,Program,Windows,11539.html : Adobe Reader XI

Zaktualizuj:

Mozilla Firefox

adrian2534 · 16 Styczeń 2013 08:51

ok juz zaktualizowałem co dalej ? czy komputer jest już czysty?

spandaupol · 16 Styczeń 2013 12:24

adrian2534 , Napraw tryb awaryjny fixa znajdziesz dla Twojego systemu w linku który już podałem http://support.kaspersky.com/pl/faq/?qid=193238595 Jest on w sekcji Co zrobić, gdy komputer uruchamia się tylko w trybie standardowym? Proszę http://sendfile.pl/260818/SafeBootWinXP.reg

adrian2534 · 17 Styczeń 2013 20:26

ok już właśnie Malwarebytes Anti-Malware po dogłębnym skanowaniu znalazł kilka maleware ale nie w tym sęk chodzi mi o to że są “przypięte” np na plikach C/vpncd.pif oraz niektórych plikach windows i nie wiem czy je usunąć :d proszę o pomoc ;d

– Dodane 17.01.2013 (Cz) 21:28 –

zapomniałem dopisać że są one w “kwarantannie”

spandaupol · 18 Styczeń 2013 08:18

Skoro są w kwarantannie to znaczy że zostały już usunięte. Uruchom Program Malwarebytes przejdź do zakładki Kwarantanna i usuń wszystko co tam jest.

adrian2534 · 18 Styczeń 2013 10:51

ok dziękuje czy mogę coś jeszcze zrobić ?

spandaupol · 18 Styczeń 2013 14:11

Jeśli naprawiłeś tryb awaryjny, zaktualizowałeś oprogramowanie, antywirus nic już nie wykrywa to chyba wszystko z mojej strony.

adrian2534 · 18 Styczeń 2013 17:10

ok to dziękuje temat do zamknięcia