Malware i inne wirusy

ciapekk · 3 Styczeń 2010 10:42

od dluzszego czasu juz zauwazylem ze bankowo mam jakies wirusy, tzn widocznie spowolniona praca systemu, sam start trwa o 5 minut za dlugo, przykladowo przy grach: dzialaja za szybko, 5-krotnie szybciej niz powinny, zas od wczoraj zaczela sie akcja z Malware defense, czyli caly czas powiadomienia o wirusach, probach wpakowania sie na kompa z roznych ip no i wiadomo, reklamy co 3 minuty zeby kupic i wyleczyc wirusa, pojawiajace sie na pulpicie ikony odnoszace sie do stron o tresci erotycznej, tyle przychodzi mi do glowy teraz, ponizej wklejam logi otl i rsid

log

http://www.wklej.org/hash/8645ead5d2/

dodam ze komputer jest uzywany przez wiele osob, jak to w zaciszu domowym bywa :?

jessica · 3 Styczeń 2010 12:15

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=101764&l=dis FF - prefs.js…browser.search.defaultenginename: “Fast Browser Search” FF - prefs.js…browser.search.defaultthis.engineName: “Fast Browser Search” FF - prefs.js…browser.search.defaulturl: “http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=” FF - prefs.js…browser.search.order.1: “Fast Browser Search” FF - prefs.js…browser.search.selectedEngine: “Fast Browser Search” FF - prefs.js…keyword.URL: “http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={09428B8E-D970-D70A-511E-D5386848AAAB}&q=” [2009.06.20 00:22:22 | 00,000,682 | ---- | M] () – C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\2zxqfd5x.default\searchplugins\ask.xml [2009.12.06 07:17:28 | 00,005,407 | ---- | M] () – C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\2zxqfd5x.default\searchplugins\fast-browser-search.xml O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKLM…\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe () O4 - HKLM…\Run: [sGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe () O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Owner\Local Settings\Temp\herss.exe () O4 - HKCU…\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKCU…\Run: [Hula Pula] C:\Documents and Settings\Owner\My Documents\Hula Pula\HulaPula.exe File not found O4 - HKCU…\Run: [Malware Defense] C:\Program Files\Malware Defense\mdefense.exe () O33 - MountPoints2{0ffa7055-5e7d-11de-b101-001d7d5d9dec}\Shell - “” = AutoRun O33 - MountPoints2{0ffa7055-5e7d-11de-b101-001d7d5d9dec}\Shell\AutoRun - “” = Auto&Play O33 - MountPoints2{13ecb933-b1aa-11de-80b5-001d7d5d9dec}\Shell\AutoRun\command - “” = G:\cqb6wo.exe – File not found O33 - MountPoints2{13ecb933-b1aa-11de-80b5-001d7d5d9dec}\Shell\open\Command - “” = G:\cqb6wo.exe – File not found O33 - MountPoints2{316ea0e2-f727-11de-80f2-001d7d5d9dec}\Shell\AutoRun\command - “” = G:\wfx062.exe – File not found O33 - MountPoints2{316ea0e2-f727-11de-80f2-001d7d5d9dec}\Shell\open\Command - “” = G:\wfx062.exe – File not found O33 - MountPoints2{a5434751-eb53-11de-80f1-001d7d5d9dec}\Shell\AutoRun\command - “” = G:\wfx062.exe – File not found O33 - MountPoints2{a5434751-eb53-11de-80f1-001d7d5d9dec}\Shell\open\Command - “” = G:\wfx062.exe – File not found O33 - MountPoints2\H\Shell\AutoRun\command - “” = H:\ukvr.bat – File not found O33 - MountPoints2\H\Shell\open\Command - “” = H:\ukvr.bat – File not found O33 - MountPoints2\I\Shell\AutoRun\command - “” = I:\ukvr.bat – File not found O33 - MountPoints2\I\Shell\open\Command - “” = I:\ukvr.bat – File not found [2010.01.03 00:39:10 | 00,000,000 | —D | C] – C:\Program Files\Malware Defense [2009.12.06 07:18:05 | 00,000,000 | —D | C] – C:\Program Files\Search Guard PlusU [2009.12.06 07:18:05 | 00,000,000 | —D | C] – C:\Program Files\Search Guard Plus [2009.12.06 07:17:50 | 00,000,000 | —D | C] – C:\Program Files\SGPSA [2009.12.06 07:17:27 | 00,000,000 | —D | C] – C:\Program Files\Fast Browser Search [2010.01.03 09:01:49 | 00,000,860 | ---- | M] () – C:\WINDOWS\System32\krl32mainweq.dll [2010.01.03 00:39:38 | 00,001,603 | ---- | C] () – C:\Documents and Settings\Owner\Desktop\Malware Defense Support.lnk [2010.01.03 00:39:38 | 00,000,697 | ---- | C] () – C:\Documents and Settings\Owner\Desktop\Malware Defense.lnk [2010.01.03 00:27:54 | 00,000,860 | ---- | C] () – C:\WINDOWS\System32\krl32mainweq.dll [2010.01.03 00:26:53 | 00,000,202 | ---- | C] () – C:\WINDOWS\System32\srcr.dat :Files C:\Program Files\Malware Defense\mdefense.exe C:\Program Files\Malware Defense C:\Program Files\Fast Browser Search C:\Program Files\Search Guard Plus :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi

ciapekk · 3 Styczeń 2010 14:13

http://wklej.org/hash/4309f7385d/ otl

moge raczej spokojnie powiedziec ze pomoglo bo wszystko wrocilo do starego porzadku, poza tym ze predkosc lacza spadla, mam nadzieje ze to chwilowe :}

log z czyszczenia

http://wklej.org/hash/2a5ef49f8d/

jessica · 3 Styczeń 2010 14:17

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

ciapekk · 3 Styczeń 2010 14:56

zrobilem wszystko wg zalecen, z tym ze nod nadal wyswietla informacje:

co z tym moge zrobic?

jessica · 3 Styczeń 2010 15:11

Daj log z ComboFix

Przed uruchomieniem ComboFix’a trzeba zrobić najpierw to:

użyć >defogger
usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

jessi

ciapekk · 3 Styczeń 2010 15:27

wiec… nie moge uruchomic, w procesach combofix.exe widoczne, ale zadnej reakcji, nic sie nie uruchamia, tylko zabiera pamiec

jessica · 3 Styczeń 2010 15:44

A więc chwilowo usuń tego ComboFixa - może któryś z Twoich programów ochronnych go uszkodził.

Później ściągniesz go od nowa, przy ściąganiu zapisz go pod jakąś inną nazwą.

Ale na razie daj dwa logi z GMER

Przed uruchomieniem GMER trzeba zrobić najpierw to:

użyć >defogger
usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

W logach GMER zobaczymy, czy jest ten Rootkit, bo może go nie ma , w takim przypadku ComboFix nie byłby potrzebny.

jessi

ciapekk · 3 Styczeń 2010 19:07

dwa logi? dwa takie same? :x

combofix

http://wklej.org/hash/97d863f822/

gmer

http://wklej.org/hash/845a6996b2/

jessica · 3 Styczeń 2010 19:40

ComboFix już usunął Rootkita.

Zostały jeszcze po nim:

Wklej do Notatnika :

File::

C:\Documents and Settings\Owner\Local Settings\Temp\h8srtmainqt.dll

C:\Documents and Settings\Owner\Local Settings\Temp\H8SRT449.tmp

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–> [

Rozpocznie się usuwanie i powstanie log.

jessi

ciapekk · 3 Styczeń 2010 19:51

http://wklej.org/id/255214/

jak sadze, na tym sie konczy moj problem, jesli tak to dzieki za poswiecony czas i pomoc, jesli nie, to tez dziekuje i czekam na jakies odpowiedzi

jessica · 3 Styczeń 2010 20:12

Tak, czysto.

******************************************

Usuń ręcznie folder C:** Qoobox**.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

ciapekk · 3 Styczeń 2010 20:18

wszystko wykonane dzieki wielkie