Komputer rozsyła spam, spowolnienie działania


(Rafalbag1) #1

Znajomy zgłosił się do mnie o pomoc z jego notebookiem.

Komputer działa powoli, łapie chwilowe zawiechy itp. Oprócz tego antywirus kilkukrotnie poinformował że z komputera wysyłany jest spam.

Oto logi z OTL, może tam znajdziecie przyczynę problemu.

http://wklejto.pl/57024


(jessica) #2

Niektóre Twoje programy zostały zarażone przez VUNDO; po zakończeniu usuwania chyba trzeba będzie je przeinstalować (np. "quicktime", "pasek tvn24")

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

Mają jednakowy rozmiar, więc sprawdź je na --> JOTTI/ albo na VIRUSTOTAL.

jessi


(Rafalbag1) #3

Po przeskanowaniu kilku z tych plików podane przez Ciebie skanery wykrywały w większości 'Trojan.Win32.Bredolab'.


(jessica) #4

Wyedytowałam już swój poprzedni post i dołączyłem te pliki do usuwania.


(Rafalbag1) #5

Niestety włączyłem fix'a zanim napisałeś swój ostatni post w związku z czym nie wiem co wkleić by pozbyć się tych plików.

Załączam raport utworzony po restarcie.

http://wklejto.pl/57033


(jessica) #6

Pokaż nowy log


(Rafalbag1) #7

http://wklejto.pl/57038


(jessica) #8

Źle to wygląda, to się niby usuwa, ale dalej jest.

Na dodatek chyba plik Systemowy "rundll32.exe" jest zarażony.!

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

Jeśli masz płytkę instalacyjną zgodną z Twoim ServicePack2, to:

Włóż płytę z Windows do napędu. Potem start => Uruchom => cmd i wpisz, enter

Za X wstaw literę pod jaką masz napęd płytki.

Następnie przy pomocy>Replacer wymień te pliki między sobą:

e:\rundll32.exe

E:\WINDOWS\System32\rundll32.exe


(Rafalbag1) #9

http://wklejto.pl/57045 - po restarcie

http://wklejto.pl/57047 - skan

Plik podmieniony.

Czekam na dalsze instrukcje :slight_smile:


(jessica) #10

Usuwanie się niby udało, ale w nowym logu to wszystko dalej jest.

Powtarzaj usuwanie aż do skutku.

Potem nowy log.

EDIT:

Możesz też użyć do pomocy Avenger:Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

E:\WINDOWS\tasks\At24.job

E:\WINDOWS\tasks\At23.job

E:\WINDOWS\tasks\At22.job

E:\WINDOWS\tasks\At21.job

E:\WINDOWS\tasks\At20.job

E:\WINDOWS\tasks\At19.job

E:\WINDOWS\tasks\At18.job

E:\WINDOWS\vsnpstd3.exe

E:\WINDOWS\tasks\At9.job

E:\WINDOWS\tasks\At8.job

E:\WINDOWS\tasks\At7.job

E:\WINDOWS\tasks\At6.job

E:\WINDOWS\tasks\At5.job

E:\WINDOWS\tasks\At4.job

E:\WINDOWS\tasks\At3.job

E:\WINDOWS\tasks\At2.job

E:\WINDOWS\tasks\At17.job

E:\WINDOWS\tasks\At16.job

E:\WINDOWS\tasks\At15.job

E:\WINDOWS\tasks\At14.job

E:\WINDOWS\tasks\At13.job

E:\WINDOWS\tasks\At12.job

E:\WINDOWS\tasks\At11.job

E:\WINDOWS\tasks\At10.job

E:\WINDOWS\tasks\At1.job

E:\WINDOWS\tsnpstd3.exe

E:\Documents and Settings\KArol\rundll32.exe

E:\Documents and Settings\KArol\alcmtr.exe

E:\Documents and Settings\KArol\skytel.exe

E:\Documents and Settings\KArol\rthdcpl.exe

E:\Documents and Settings\KArol\chdaudpropshortcut.exe

E:\Documents and Settings\KArol\rundll32 .exe

E:\Documents and Settings\KArol\alcmtr .exe

E:\Documents and Settings\KArol\skytel .exe

E:\Documents and Settings\KArol\rthdcpl .exe

E:\Documents and Settings\KArol\chdaudpropshortcut .exe

E:\WINDOWS\System32\app_dll.dll

E:\WINDOWS\System32\alcmtr.exe

E:\WINDOWS\System32\skytel.exe

E:\WINDOWS\System32\rthdcpl.exe

E:\WINDOWS\System32\chdaudpropshortcut.exe

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt. I nowy log z OTL.

Jeśli to nie pomoże to dasz także log z ComboFix

jessi


(Rafalbag1) #11

http://wklejto.pl/57054 - raport z

http://wklejto.pl/57058 - log z OTL


(jessica) #12

To na nic, bo to dalej jest.

Daj więc log z ComboFixa.

Potem, czekając na odpowiedź, ściągnij >>http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Bo raczej na pewno trzeba go będzie użyć.

jessi


(Rafalbag1) #13

http://wklejto.pl/57063 - logi z combofix'a.


(jessica) #14

Jednak infekcja się stale odradza od nowa. ComboFix usunął, ale w dalszej części logu to już było znowu.

Użyj najpierw >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

Potem:

Wklej do Notatnika :

File::

e:\windows\vsnpstd3.exe

e:\windows\tsnpstd3.exe

e:\documents and settings\KArol\rundll32.exe

e:\program files\Common Files\Symantec Shared

e:\documents and settings\KArol\rundll32 .exe

e:\documents and settings\KArol\skytel.exe

e:\documents and settings\KArol\rthdcpl.exe

e:\documents and settings\KArol\chdaudpropshortcut.exe

e:\windows\vsnpstd3 .exe

e:\windows\tsnpstd3 .exe

e:\program files\Common Files\Symantec Shared\ccapp .exe

e:\program files\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe

e:\program files\Java\jre1.6.0_05\bin\jusched .exe

e:\program files\Microsoft Office\Office12\alcmtr .exe

e:\program files\Microsoft Office\Office12\chdaudpropshortcut .exe

e:\program files\Microsoft Office\Office12\groovemonitor .exe

e:\program files\Microsoft Office\Office12\rthdcpl .exe

e:\program files\Microsoft Office\Office12\rundll32 .exe

e:\program files\Microsoft Office\Office12\skytel .exe

e:\program files\Motorola\SMSERIAL\sm56hlpr .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Pasek TVN24\tvn-ustawienia .exe

e:\program files\Picasa2\picasamediadetector .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\QuickTime\qttask .exe

e:\program files\Symantec AntiVirus\vptray .exe

e:\windows\tsnpstd3 .exe

e:\windows\vsnpstd3 .exe

e:\windows\pchealth\helpctr\binaries\msconfig .exe

e:\program files\internet explorer\wmpscfgs.exe

E:\WINDOWS\tasks\At9.job

E:\WINDOWS\tasks\At8.job

E:\WINDOWS\tasks\At7.job

E:\WINDOWS\tasks\At6.job

E:\WINDOWS\tasks\At5.job

E:\WINDOWS\tasks\At4.job

E:\WINDOWS\tasks\At3.job

E:\WINDOWS\tasks\At2.job

E:\WINDOWS\tasks\At17.job

E:\WINDOWS\tasks\At16.job

E:\WINDOWS\tasks\At15.job

E:\WINDOWS\tasks\At24.job

E:\WINDOWS\tasks\At23.job

E:\WINDOWS\tasks\At22.job

E:\WINDOWS\tasks\At21.job

E:\WINDOWS\tasks\At20.job

E:\WINDOWS\tasks\At19.job

E:\WINDOWS\tasks\At18.job

E:\WINDOWS\tasks\At16.job

E:\WINDOWS\tasks\At15.job

E:\WINDOWS\tasks\At14.job

E:\WINDOWS\tasks\At13.job

E:\WINDOWS\tasks\At12.job

E:\WINDOWS\tasks\At11.job

E:\WINDOWS\tasks\At10.job

E:\WINDOWS\tasks\At1.job


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"=-

"ccApp"=-

"GrooveMonitor"=-

"SMSERIAL"=-

-"SunJavaUpdateSched"=-

"tsnpstd3"=-

"snpstd3"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitComet]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Tu chyba też trzeba będzie podmienić plik z płytki instalacyjnej.

jessi


(Rafalbag1) #15

app_dll.dll.7213625.old e:\windows\system32

ccapp.exe e:\program files\common files\symantec shared

googletoolbarnotifier.exe e:\program files\google\googletoolbarnotifier

wmpscfgs.exe e:\program files\internet exploler

jusched.exe e:\program files\java\jre1.6.0_05\bin

groovemonitor.exe e:\program files\microsoft office\office12

sm56hlpr.exe e:\program files\motorola\smserial

picasamediadetector.exe e:\program files\picasa2

tsnpstd3.exe e:\windows

vsnpstd3.exe e:\windows

To są trojan downloader't jeden i trojan siggen.


(jessica) #16

Rozumiem, że te podane przez Ciebie to wykryte i usunięte przez "Dr.Web"?

W takim razie te programy będą potem do przeinstalowania. Ale to w przyszłości.

jessi


(Rafalbag1) #17

Tak zostały wykryte i usunięte.

http://wklejto.pl/57090 - logi z combofix'a

Na płycie z windows'em nie mogę znaleźć pliku msconfig.exe, gdzie powinien się on znajdować? Znalazłem tylko msconfig.ex_


(jessica) #18

No, nareszcie czysto. Szkoda, że od razu nie zaleciłam użycia "Dr.Web", poszło by szybciej. No cóż, straconego czasu już się teraz nie odzyska. Nie przewidziałam, że usuwanie będzie takie ciężkie. Odradzanie się infekcji było spowodowane tym, że Twoje programy były zarażone, i to te programy dbały o to, by infekcja się ciągle odradzała. .

To jest właśnie ten plik, tylko że spakowany - wystarczy go rozpakować.

Ale chyba nie będzie potrzeby podmiany, bo "Dr.Web" nie uznał tego pliku za zarażony.

Zarażony był tylko ten podstawiony przez VUNDO (z odstępem przed .exe):

Ale, na wszelki wypadek, sprawdź ten:

na -> JOTTI/ albo na VIRUSTOTAL.

Wg mnie - nie jest zarażony.

jessi


(Rafalbag1) #19

Wielkie dzięki. Jesteś WIELKI. :smiley:

msconfig.exe jest czysty :smiley:

PS. Teraz muszę wrzucić tam jakiś dobry skaner antywirusowy - chodzi mi aby był jak najbardziej "bezobsługowy" bo właściciel pewnie i tak by go nigdy nie włączył, w miarę sprawny i nie obciążający mocno lapka. Co polecasz?

Symantec który był zainstalowany do tej pory zginął straszną śmiercią podczas naszych prób usunięcia wirusów :o


(jessica) #20

O, to niedobrze wróży.

Wg mnie wymiana Antivirusów nie ma większego sensu, bo żaden Antivirus nie ustrzeże na 100%, zwłaszcza jeśli użytkownik niezbyt się przejmuje możliwością infekcji.

Ja mam Avasta5, i mi to w zupełności wystarcza. Miałam płatną PANDĘ, ale wolałam z niej zrezygnować - była za bardzo obciążająca.

jessi