ciapekk
(Amigolove)
3 Styczeń 2010 10:42
#1
od dluzszego czasu juz zauwazylem ze bankowo mam jakies wirusy, tzn widocznie spowolniona praca systemu, sam start trwa o 5 minut za dlugo, przykladowo przy grach: dzialaja za szybko, 5-krotnie szybciej niz powinny, zas od wczoraj zaczela sie akcja z Malware defense, czyli caly czas powiadomienia o wirusach, probach wpakowania sie na kompa z roznych ip no i wiadomo, reklamy co 3 minuty zeby kupic i wyleczyc wirusa, pojawiajace sie na pulpicie ikony odnoszace sie do stron o tresci erotycznej, tyle przychodzi mi do glowy teraz, ponizej wklejam logi otl i rsid
log
http://www.wklej.org/hash/8645ead5d2/
dodam ze komputer jest uzywany przez wiele osob, jak to w zaciszu domowym bywa :?
jessica
(jessica)
3 Styczeń 2010 12:15
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=101764&l=dis FF - prefs.js…browser.search.defaultenginename: “Fast Browser Search” FF - prefs.js…browser.search.defaultthis.engineName: “Fast Browser Search” FF - prefs.js…browser.search.defaulturl: “http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q= ” FF - prefs.js…browser.search.order.1: “Fast Browser Search” FF - prefs.js…browser.search.selectedEngine: “Fast Browser Search” FF - prefs.js…keyword.URL: “http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={09428B8E-D970-D70A-511E-D5386848AAAB}&q= ” [2009.06.20 00:22:22 | 00,000,682 | ---- | M] () – C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\2zxqfd5x.default\searchplugins\ask.xml [2009.12.06 07:17:28 | 00,005,407 | ---- | M] () – C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\2zxqfd5x.default\searchplugins\fast-browser-search.xml O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKLM…\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe () O4 - HKLM…\Run: [sGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe () O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Owner\Local Settings\Temp\herss.exe () O4 - HKCU…\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKCU…\Run: [Hula Pula] C:\Documents and Settings\Owner\My Documents\Hula Pula\HulaPula.exe File not found O4 - HKCU…\Run: [Malware Defense] C:\Program Files\Malware Defense\mdefense.exe () O33 - MountPoints2{0ffa7055-5e7d-11de-b101-001d7d5d9dec}\Shell - “” = AutoRun O33 - MountPoints2{0ffa7055-5e7d-11de-b101-001d7d5d9dec}\Shell\AutoRun - “” = Auto&Play O33 - MountPoints2{13ecb933-b1aa-11de-80b5-001d7d5d9dec}\Shell\AutoRun\command - “” = G:\cqb6wo.exe – File not found O33 - MountPoints2{13ecb933-b1aa-11de-80b5-001d7d5d9dec}\Shell\open\Command - “” = G:\cqb6wo.exe – File not found O33 - MountPoints2{316ea0e2-f727-11de-80f2-001d7d5d9dec}\Shell\AutoRun\command - “” = G:\wfx062.exe – File not found O33 - MountPoints2{316ea0e2-f727-11de-80f2-001d7d5d9dec}\Shell\open\Command - “” = G:\wfx062.exe – File not found O33 - MountPoints2{a5434751-eb53-11de-80f1-001d7d5d9dec}\Shell\AutoRun\command - “” = G:\wfx062.exe – File not found O33 - MountPoints2{a5434751-eb53-11de-80f1-001d7d5d9dec}\Shell\open\Command - “” = G:\wfx062.exe – File not found O33 - MountPoints2\H\Shell\AutoRun\command - “” = H:\ukvr.bat – File not found O33 - MountPoints2\H\Shell\open\Command - “” = H:\ukvr.bat – File not found O33 - MountPoints2\I\Shell\AutoRun\command - “” = I:\ukvr.bat – File not found O33 - MountPoints2\I\Shell\open\Command - “” = I:\ukvr.bat – File not found [2010.01.03 00:39:10 | 00,000,000 | —D | C] – C:\Program Files\Malware Defense [2009.12.06 07:18:05 | 00,000,000 | —D | C] – C:\Program Files\Search Guard PlusU [2009.12.06 07:18:05 | 00,000,000 | —D | C] – C:\Program Files\Search Guard Plus [2009.12.06 07:17:50 | 00,000,000 | —D | C] – C:\Program Files\SGPSA [2009.12.06 07:17:27 | 00,000,000 | —D | C] – C:\Program Files\Fast Browser Search [2010.01.03 09:01:49 | 00,000,860 | ---- | M] () – C:\WINDOWS\System32\krl32mainweq.dll [2010.01.03 00:39:38 | 00,001,603 | ---- | C] () – C:\Documents and Settings\Owner\Desktop\Malware Defense Support.lnk [2010.01.03 00:39:38 | 00,000,697 | ---- | C] () – C:\Documents and Settings\Owner\Desktop\Malware Defense.lnk [2010.01.03 00:27:54 | 00,000,860 | ---- | C] () – C:\WINDOWS\System32\krl32mainweq.dll [2010.01.03 00:26:53 | 00,000,202 | ---- | C] () – C:\WINDOWS\System32\srcr.dat :Files C:\Program Files\Malware Defense\mdefense.exe C:\Program Files\Malware Defense C:\Program Files\Fast Browser Search C:\Program Files\Search Guard Plus :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
ciapekk
(Amigolove)
3 Styczeń 2010 14:13
#3
http://wklej.org/hash/4309f7385d/ otl
moge raczej spokojnie powiedziec ze pomoglo bo wszystko wrocilo do starego porzadku, poza tym ze predkosc lacza spadla, mam nadzieje ze to chwilowe :}
log z czyszczenia
http://wklej.org/hash/2a5ef49f8d/
jessica
(jessica)
3 Styczeń 2010 14:17
#4
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
ciapekk
(Amigolove)
3 Styczeń 2010 14:56
#5
zrobilem wszystko wg zalecen, z tym ze nod nadal wyswietla informacje:
co z tym moge zrobic?
jessica
(jessica)
3 Styczeń 2010 15:11
#6
Daj log z ComboFix
Przed uruchomieniem ComboFix’a trzeba zrobić najpierw to:
użyć >defogger
usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
jessi
ciapekk
(Amigolove)
3 Styczeń 2010 15:27
#7
wiec… nie moge uruchomic, w procesach combofix.exe widoczne, ale zadnej reakcji, nic sie nie uruchamia, tylko zabiera pamiec
jessica
(jessica)
3 Styczeń 2010 15:44
#8
A więc chwilowo usuń tego ComboFixa - może któryś z Twoich programów ochronnych go uszkodził.
Później ściągniesz go od nowa, przy ściąganiu zapisz go pod jakąś inną nazwą.
Ale na razie daj dwa logi z GMER
Przed uruchomieniem GMER trzeba zrobić najpierw to:
użyć >defogger
usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
W logach GMER zobaczymy, czy jest ten Rootkit, bo może go nie ma , w takim przypadku ComboFix nie byłby potrzebny.
jessi
ciapekk
(Amigolove)
3 Styczeń 2010 19:07
#9
jessica
(jessica)
3 Styczeń 2010 19:40
#10
ComboFix już usunął Rootkita.
Zostały jeszcze po nim:
Wklej do Notatnika :
File::
C:\Documents and Settings\Owner\Local Settings\Temp\h8srtmainqt.dll
C:\Documents and Settings\Owner\Local Settings\Temp\H8SRT449.tmp
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–> [
Rozpocznie się usuwanie i powstanie log.
jessi
ciapekk
(Amigolove)
3 Styczeń 2010 19:51
#11
http://wklej.org/id/255214/
jak sadze, na tym sie konczy moj problem, jesli tak to dzieki za poswiecony czas i pomoc, jesli nie, to tez dziekuje i czekam na jakies odpowiedzi
jessica
(jessica)
3 Styczeń 2010 20:12
#12
Tak, czysto.
******************************************
Usuń ręcznie folder C:* * Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
ciapekk
(Amigolove)
3 Styczeń 2010 20:18
#13
wszystko wykonane dzieki wielkie