Js/kryptik.i - koń trojański


(Maciekg 89) #1

Cześć

 

Na komputer siostry wlazł wirus - taki jak w temacie. ESET go wykrył i umieścił w kwarantannie, ale przydało by się usunać tego konia trojańskiego, tylko nie bardzo wiem jak. Od czasu, gdy wisus pojawił się na komputerze siostry występuje problem z połączeniem z siecią bezprzewodową. W załączeniu logi z OTL:

 

1) OTL: http://wklej.org/id/1348750/

 

Z góry dziękuję za odpowiedź


(Atis) #2

W panelu sterowania odinstaluj WPM18.8.0.212.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Acorus) #3

Odinstaluj WPM18.8.0.212,Cake Mania.Użyj AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.


(Maciekg 89) #4

Zrobiłem jak napisał Atis. Z późno zobaczyłem Twój post Acorus. Jeśli nie odinstalowałem Cake Mania, to będzie coś nie tak?

Raporty:

  1. FRS: http://wklej.org/id/1348785/

  2. Addntion: http://wklej.org/id/1348787/


(Atis) #5

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Secondary Start Pages = 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKCU - ${searchCLSID} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File []
FF Extension: Website Discovery Pro - C:\Users\Avans\AppData\Roaming\Mozilla\Firefox\Profiles\89vva978.default\Extensions\discoverypro@discoverypro.com [2014-04-29]
S3 vvnfagqo; No ImagePath
U4 WMCoreService; 
C:\AdwCleaner
C:\Program Files (x86)\SiteFinder
C:\ProgramData\WPM
C:\ProgramData\IePluginService
C:\Users\Avans\AppData\Local\Temp\*.exe
Task: {630BF42E-3738-455F-B9E6-9D0710A69FB9} - System32\Tasks\{5F489BAD-F657-4042-B029-F072B3E51039} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {810F9107-575B-4BAA-ABFA-4186A31BDF14} - System32\Tasks\{BE2820F8-1021-4629-9826-D41857556196} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12002
Task: {A206D92B-B36F-4DBA-9E71-92A4D72B1B77} - System32\Tasks\{8907E1BF-92C9-4233-81F4-41B1F75F40B9} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {C24AE2CA-5A97-41E0-926B-1FA22486E3A8} - System32\Tasks\{8E2879D4-3F9B-45DC-B7DF-7D3816F5A108} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12007
Task: {F0778027-D713-48E9-81EE-F1B0D1097572} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F6292464-4A99-47E5-9D83-E71FA03AC18C}.exe

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Maciekg 89) #6
  1. Fixlog: http://wklej.org/id/1348811/

(Atis) #7

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File []
C:\Windows\system32\Drivers\wStLibG64.sys

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Maciekg 89) #8

Zrobiłem wszystko, tak jak to zostało opisane w poprzednim poście. Skanowanie Malwarebytes Anti-Malware nie wykryło żadnych błędów. Czy wrzucić jeszcze jakieś logi z któregoś z programów, czy mogę uznać, że problem został rozwiązany?


(Atis) #9

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Maciekg 89) #10
  1. FRS: http://wklej.org/id/1349063/

  2. Addntion: http://wklej.org/id/1349065/


(Atis) #11

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM - DefaultScope value is missing.
FF NewTab: chrome://quick_start/content/index.html
R1 {3de9eb9c-a833-42cb-b66f-841b954aebef}Gw; C:\Windows\System32\drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gw.sys [52920 2014-04-24] (StdLib)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\AdwCleaner
C:\Windows\455F074C814E4520B69B5584BD90400C.TMP
C:\Program Files\Enigma Software Group
C:\Users\Maciek\AppData\Local\nsi3B72.tmp
C:\Users\Maciek\AppData\Local\nsz3E52.tmp
C:\ProgramData\IePluginService
C:\Program Files\GoforFiles Updater
C:\Users\Maciek\AppData\Local\Temp*.html
C:\Windows\system32\Drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gw.sys
C:\Users\Maciek\AppData\Local\cache
C:\Users\Maciek\AppData\Local\Temp\*.exe
C:\Users\Maciek\AppData\Local\Temp\*.dll

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Maciekg 89) #12
  1. Fixlog: http://wklej.org/id/1349093/

(Atis) #13

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Maciekg 89) #14

Malwarebytes wykazał dwa zagrożenia, oba przeniosłem do kwarantanny.

http://wklej.org/id/1349144/

To drugie, KMS -wiem co to, ale ten pierwszy to nie mam pojęcia. Coś jeszcze z tym zrobić?


(Atis) #15

Skasuj cały folder DM:

C:\Users\Maciek\AppData\Local\DM


(Maciekg 89) #16

Zrobione :wink: