aylas
6 Sierpień 2012 15:26
#1
Witam,
Jakies 15 minut temu ,mój laptop został zainfekowany tym znanym wirusem.Nie moge nic otworzyc,wszystko jest blokowane przez LSP.Nie wiem co robic bo nie jestem ,przyzwyczajony do takich działań wiec zwracam się z pomocą do was…bo coś sprawia ,że wam ufam
Logi z OTL do pobrania tu :
http://www30.zippyshare.com/v/83815060/file.html
Atis
6 Sierpień 2012 16:04
#2
Security Platinum, ZeroAccess (Sirefef) i prawdopodobnie rootkit w MBR dysku:
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – c:\program files\common files\akamai/netsession_win_7de0ed9.dll – (Akamai) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) [2012-04-06 12:13:16 | 000,000,000 | —D | M] (TheBflix) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\z2qzddve.default\extensions\info@bflix.info O4 - HKCU…\RunOnce: [036DFF85000D22076548E17C81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF85000D22076548E17C81CB3EF3\036DFF85000D22076548E17C81CB3EF3.exe () O32 - AutoRun File - [2012-03-17 00:04:22 | 000,000,033 | RHS- | M] () - F:\Autorun.inf – [NTFS] [2012-08-06 17:06:04 | 000,000,232 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-07-08 02:54:58 | 000,294,536 | ---- | M] () – C:\WINDOWS\System32\shimg.dll [2012-07-08 02:54:50 | 000,000,016 | ---- | M] () – C:\WINDOWS\System32\crt.dat [2012-03-07 18:30:50 | 000,004,104 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\ojobkspa.ako [2012-03-06 18:13:06 | 000,004,910 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\qjaxlkio.dss :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF85000D22076548E17C81CB3EF3 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Odinstaluj:
Babylon toolbar
DealPly
uTorrentBar Toolbar
Ask Toolbar
AOL Messaging Toolbar
Complitly
DAEMON Tools Toolbar
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Delete
Wklej i kliknij Skanuj:
Pokaż ten log.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu.
Agaton
6 Sierpień 2012 16:33
#3
aylas ,
Wklejanie logów na forum - zastosuj się do Tematu
aylas
6 Sierpień 2012 19:35
#4
Przepraszam Admina - następnym razem sie zastosuje ;))
Dziękuje , Atis - komputer juz dziala
Oto OTL po usuwaniu : http://wklejto.pl/txt130597
Oraz Raport z TDS - http://img687.imageshack.us/img687/889/tdss.jpg
Atis
6 Sierpień 2012 20:26
#5
W TDSSKiller zostaw akcje zalecane przez program.
sptd -> Skip to jest nieszkodliwy sterownik DAEMON Tools
W drugim przypadku wybierz leczenie Cure
Zatwierdź restart w celu dokończenia leczenia.
Po restarcie ponownie przeskanuj TDSSKiller i napisz czy nadal wykrywa rootkita.
Wszystkie programy -> Akcesoria -> Wiersz polecenia
Wklej i zatwierdź enterem:
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\xpsec.sys – (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\xcpip.sys – (xcpip) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1337165102_662241 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1337165102_662241 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1337165102_662241 IE - HKCU…\SearchScopes{2ea620b7-d6d5-4946-8a1e-e0e00e7bb29f}: “URL” = http://slirsredirect.search.aol.com/red … 706&query={searchTerms}&invocationType=tb50-ie-aim-chromesbox-en-us&tb_uuid=20120208140357421&tb_oid=08-02-2012&tb_mrud=08-02-2012 IE - HKCU…\SearchScopes{c1d89ae7-449d-4929-b24b-fded04adbe06}: “URL” = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch FF - prefs.js…browser.search.order.1: “Ask.com ” [2012-07-08 02:54:45 | 000,000,000 | —D | C] – C:\Documents and Settings\user\Dane aplikacji\hellomoto :Files C:\Documents and Settings\user*.lnk C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Bron.tok.A17.em.bin C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\JunkAtx.bin C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji{a7e604e8-612a-0a5e-5ea4-e80f4c68c626} C:\WINDOWS\Installer{a7e604e8-612a-0a5e-5ea4-e80f4c68c626} :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
aylas
6 Sierpień 2012 21:42
#6
OTL(raport po usuwaniu) - http://wklejto.pl/txt130602
OTL(po skanie) - http://wklejto.pl/txt130603
TDS nie wykrywa rootkita
Atis
6 Sierpień 2012 22:02
#7
Napraw usługi uszkodzone przez trojana ZeroAccess (Sirefef).
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
