and85
(And85)
14 Lipiec 2012 15:20
#1
Badziew i mnie dopadł, od wczoraj staram się pozbyć. Mam niestety nieuaktualnioną wersję g-daty z 2011… Próbowałem ad aware antivirus, emsisoft anti-malavere(nie wiem czemu nie chce mi się zaktualizować baza wirusów). Nie mam już siły, proszę o pomoc. Wklejam raport OLT.
Dodam, że draństwo dopadło mnie na koncie administratora, musiałem przez tryb awaryjny aktywować gościa i dopiero odzyskałem dostęp do net-u.
OLT: http://www.wklejto.pl/128933
Extras http://www.wklejto.pl/128934
Atis
(Atis)
14 Lipiec 2012 17:22
#2
Później zaloguj się na konto na którym jest infekcja.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM…\Run: [WSTPager] C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010\WSTPager.exe File not found [2012-07-13 23:36:49 | 000,000,126 | ---- | M] () – C:\user.js [2012-07-10 01:50:09 | 000,000,061 | ---- | M] () – C:\Program Files\Common Files\cc.bat C:\ProgramData\14xwg0rd726ss0go2gvr3nk7b378kyO3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM…\Run: [WSTPager] C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010\WSTPager.exe File not found [2012-07-13 23:36:49 | 000,000,126 | ---- | M] () – C:\user.js [2012-07-10 01:50:09 | 000,000,061 | ---- | M] () – C:\Program Files\Common Files\cc.bat :Files C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010 C:\ProgramData\14xwg0rd726ss0go2gvr3nk7b378ky :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
and85
(And85)
14 Lipiec 2012 18:06
#3
Całą operację przeprowadzić na koncie zainfekowanym czy też “czystym”?
Atis
(Atis)
14 Lipiec 2012 18:09
#4
Nie ważne na jakim koncie użyjesz skryptu.
Nowy log utwórz na zainfekowanym koncie.
and85
(And85)
14 Lipiec 2012 20:01
#5
Extras : http://www.wklejto.pl/128952
OLT: http://www.wklejto.pl/128955
ad Kostamar1976: Niestety nie, próbowałem combofix ale nic nie dało.
Atis
(Atis)
14 Lipiec 2012 20:22
#6
Wklej i kliknij Wykonaj skrypt:
:OTL O4:64bit: - HKLM…\Run: [WSTPager] C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010\WSTPager.exe () [2012-07-13 23:36:49 | 000,000,126 | ---- | M] () – C:\user.js [2012-07-10 01:50:09 | 000,000,061 | ---- | M] () – C:\Program Files\Common Files\cc.bat :Files C:\Users\Andrzej\AppData\Local\14xwg0rd726ss0go2gvr3nk7b378ky C:\ProgramData\14xwg0rd726ss0go2gvr3nk7b378ky :Commands [emptytemp]
Pokaż raport i nowy log Skanuj.
and85
(And85)
15 Lipiec 2012 18:39
#7
Atis
(Atis)
15 Lipiec 2012 18:44
#8
Gdzie jest raport z usuwania?
Robisz coś źle, bo nic nie zostało wykonane.
Nawet nie został utworzony folder do którego OTL przenosi szkodliwe pliki.
Ponownie użyj skryptu:
:OTL O4:64bit: - HKLM…\Run: [WSTPager] C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010\WSTPager.exe () [2012-07-13 23:36:49 | 000,000,126 | ---- | M] () – C:\user.js [2012-07-10 01:50:09 | 000,000,061 | ---- | M] () – C:\Program Files\Common Files\cc.bat :Files C:\Users\Andrzej\AppData\Local\Microsoft\Windows\2010 C:\Users\Andrzej\AppData\Local\14xwg0rd726ss0go2gvr3nk7b378ky C:\ProgramData\14xwg0rd726ss0go2gvr3nk7b378ky :Commands [emptytemp]
Pokaż raport z usuwania i nowy log.
and85
(And85)
15 Lipiec 2012 19:29
#9
Skrypt puściłem na goościu, skan tak jak poprzednio na administratorze (zainfekowany user). Ponowie.
Atis
(Atis)
15 Lipiec 2012 19:31
#10
W trybie awaryjnym zaloguj się na zainfekowane konto i wtedy użyj skryptu.
W awaryjnym ten trojan nie będzie blokował systemu.
and85
(And85)
16 Lipiec 2012 17:42
#11
Atis
(Atis)
16 Lipiec 2012 18:12
#12
Teraz system powinien prawidłowo działać w normalnym trybie.
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
and85
(And85)
23 Lipiec 2012 18:04
#13
Win działa, dziękuję bardzo za pomoc!!