Jak usunac coinn miner


(Mojtes) #1

Witam.

Od paru dni mam problemy z FB. Poczytałem trochę i domyślam się że mam wirusa coin miner. Zrobiłem skan OTL.

http://wklej.org/id/625765/

Marcel


(Spandau) #2

Tutaj jest rootkit zeroacccess Facebook to mały problem przy nim

Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa ... reator.zip Rozpakuj, uruchom

Wklej do niego

Klikasz Create wygenerowany log dasz później na forum

Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum


(Mojtes) #3

log z dummycreator

DummyCreator by Farbar

Ran by ANGELA (administrator) on 12-11-2011 at 09:57:32

**************************************************************

C:\Windows\252486790 [12-11-2011 09:47:56]

== End of log ==

log z kasperskyTDS

http://wklej.org/id/625778/


#4

marcel21 , na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba. Niezastosowanie się do prośby będzie skutkowało przeniesieniem tematu do śmietnika.


(Spandau) #5

Pobierz Combofixa ale nie uruchamiaj na razie Instrukcja http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/

Uruchom ponownie Kasperskiego jak znajdzie

Wybierasz opcje Delete Jak znajdzie

Wybierasz opcje Cure Po restarcie uruchom szybko Combofixa Jak narzędzie skończy pracę podaj raport na forum


(Mojtes) #6

Zrobione. Oto log z combofixa

http://wklej.org/id/626898/


(Spandau) #7

To początek usuwania Proszę odinstalować NIS narzędzie znajdziesz tutaj http://www.searchengines.pl/Deinstalato ... 45565.html

Pobierz GrandPerms http://download.bleepingcomputer.com/fa ... tPerms.zip rozpakuj, uruchom wklej do niego:

Klikasz Unlock

Następnie wklej do notatnika:

Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Następnie uruchom OTL klikasz Skanuj pokaż raport na forum


(Mojtes) #8

Zrobione. CF zakonczył działanie, a to log z OTL

http://wklej.org/id/627244/


(Spandau) #9

No ja nie wiem czy wszystko usunięte brak raportu Combofixa z usuwania. Bierzesz to na swoją odpowiedzialność

Odinstaluj Combofixa w prawidłowy sposób

Start - w pole Wyszukaj pliki i foldery wpisz (lub skopiuj)

"c:\otl\ComboFix.exe" \uninstall i Enter

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Mojtes) #10

O faktycznie zapomniałem o logu z CF. Oto on

http://wklej.org/id/627269/

Rozumiem że jeśli tu będzie ok to odinstalowuje ComboFixa i uruchamiam ponownie OTL z własnymi opcjami, tak?


(Spandau) #11

  1. Najpierw odinstalujesz Combofixa jak podałem powyżej

  2. Następnie uruchomisz OTL wkleisz do niego podany powyżej skrypt i klikniesz Wykonaj skrypt po restarcie powstanie raport dasz go na forum

  3. Następnie ponownie uruchomisz OTL klikasz ponownie Skanuj podasz nowy raport ze skanu na forum


(Mojtes) #12

Log po skrypcie

http://wklej.org/id/627303/

log po restarcie

http://wklej.org/id/627304/


(Spandau) #13

Coś mi tutaj nie pasuje Czy wykonałeś to zadanie?

Jeśli tak to

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport na forum.


(Mojtes) #14

Zadanie z GrandPerms było wykonane. Po wciśnięciu Unlock pokazalo sie okienko z potwierdzeniem wykonania. Nie pamiętam dokładnie co było napisane ale na pewno wiadomość była rodzaju "Wykonano poprawnie".

Log z OTL

http://wklej.org/id/627337/

Raport z Kaspersky

Status: Detected (events: 1)

2011-11-14 18:20:58 Detected virus HEUR:Trojan.Win32.Generic c:\Windows\System32\drivers\blbdrive.sys High


(Spandau) #15

Plik nie ma sygnatury Microsoftu

Ja nie mam takiego pliku aby Ci go podać do podmiany Więc spróbujemy inaczej Wejdź do katalogu c:\Windows\System32\ drivers i sprawdź czy na ikonce pliku blbdrive.sys nie ma takiej (małej kłódeczki) jeśli jest to sprawdź czy na innych ikonkach sterowników nie ma kłódek

Jeśli są takie kłódeczki to ścieżki do tych plików z kłódeczkami wklej do GrantPerms

Klikasz Unlock

Po tym uruchom OTL klikasz Skanuj pokaż nowy raport na forum

Dodatkowo pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum


(Mojtes) #16

Faktycznie, była kłódeczka przy tym i jeszcze paru innych plikach. Usunięte wszystkie.

Log z OTL

http://wklej.org/id/628115/

Log z SystemLook

http://wklej.org/id/628117/


(Spandau) #17

Dobrze zgodnie z tym http://www.faultwire.com/file_detail/bl ... 36889.html będziemy podmieniać

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Mojtes) #18

Log po podmianei pliku

http://wklej.org/id/628197/

log po restarcie

http://wklej.org/id/628201/


(Spandau) #19

Plik został podmieniony prawidłowo

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt.

Następnie uruchom OTL klikasz Sprzątanie

Następnie przeskanuj ponwonie system dla pewności Kasperski Virus Removal Tool Jak coś wykryje nie usuwaj tylko pokaż raport Jak nic nie znajdzie odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Następnie użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program


(Mojtes) #20

Raport Kaspersky

2011-11-16 18:47:38 Detected: HEUR:Trojan.Win32.Generic C:\Windows\System32\config\systemprofile\AppData\Local\86a40c0f\X

Log z SecurityCheck

Results of screen317's Security Check version 0.99.26

Windows 7 x86 (UAC is disabled!)

Internet Explorer 8 Out of date!

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

`

Anti-malware/Other Utilities Check:

Java 6 Update 25

Out of date Java installed!

Adobe Flash Player ( 10.0.42.34) Flash Player Out of Date!

Process Check:

objlist.exe by Laurent

End of Log

Nie wiem czy ma to jakieś znaczenie ale od momentu użycia ComboFix komputer uruchamia się wyłącznie w trybie awaryjnym. Nawet wciśnięcie F8 przy starcie i wybór uruchomienia normalnego nic nie daje.