Problem wiele wirusow spyweare ROOTKIT z honkongu 3721!

Bekon · 24 Październik 2009 13:51

Witam problem jak w temacie, wczoraj miałem 211 infekcji na komputerze zredukowałem je do około 40 z czego te wpisy to sprawa 2 infekcji możne…

najgorzej wygląda folder o nazwie 3721 w c:\program files\ … (infekcja to helper.dll) opis o\usuwania znalazłem tutaj jednak nie poskutkował, proszę o szybka pomoc.

opis problemu tutaj:

http://www.mac-net.com/296485.page

powiązany temat:

http://www.searchengines.pl/Rootkity-made-in-China-t87318.html a wiec to rootkit

Proszę Wszystkich co mieli z nim do czynienia o pomoc, antywirusy nie działają nie potrafią naprawić, tylko wykrywają infekcje.

To wirus który spowalnia system i pobiera inne z chińskich stron. To ja czekam

Proszę o odpowiedz co dalej jakie logi i co usunąć

Pozdrawiam

jessica · 25 Październik 2009 21:17

A niby co my tu mamy oceniać, jeśli nie dałeś żadnych logów?

jessi

Bekon · 25 Październik 2009 22:13

Tak nie dałem bo nie wiedziałem jaki program będzie odpowiedni HJD podobno potrafi wszytko popsuć, przeskanowałem komputer Gmer’ em specjalista od root kitów wysłałem również logi do twórcy programu chiński wirus jest straszny i trudny do usunięcia. Nie miałem ukrytych serwisów ale wirus nadal jest nawet po częściowym usuwaniu plików wszytko wraca po restarcie, przywracanie systemu wyłączone.

Log z Gmer’a

http://wklej.org/id/185812/

jeśli ma być inny proszę pisać i dziękuje za odzew, Jessica

jessica · 25 Październik 2009 22:22

Ja tu nie widzę żadnego Rootkita.

Jeśli dalej uważasz, że masz Rootkita, to dasz komplet logów:

>OTL
>>SRENG

(Po uruchomieniu kliknij “SmartScan”, zaznacz “Verify…”, kliknij “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).

>>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

jessi

Bekon · 26 Październik 2009 05:25

Cześć

Poniżej logi z programików

OTL > http://wklej.org/id/185992/

SREG > http://wklej.org/id/185993/

GMER PROCESY ALL > http://wklej.org/id/185995/

Proszę jest wszytko, Jessi ale ja śmieci z mojego 1 postu pierwszy link mam ten folder i nie mogę go usunąć, pliki albo krzyczą o braku dostępu a jak osunę przed załadowaniem WinXP to i tak za chwile się przywracają. To podobno jakieś reklamowe ale strasznie uciążliwe i spowalniają system, rund32.dll jest 2 razy a explorer.exe czasem pobiera 70 % procesora, jak próbuje, zamknąć proces to zero reakcji uruchomię explorer,a exe od nowa to mam 2 procesy takie same (w widoku opcje folderów ustawione ze ma być jeden nie osobno. W C: program files mam folder 3721 a w nim rożne dll.

screen > http://wstaw.org/p/6af2/

Opis problemu z 1 posta

http://www.mac-net.com/296485.page

To na razie tyle Jessi, to ja czekam na odzew i dziękuje za pomoc.

jessica · 26 Październik 2009 06:45

Trzeba przyznać, że ten chiński (a właściwie honghoński) Rootkit jest dobrze rozbudowany.

Przy okazji daję do usuwania trochę pustych, bezplikowych kluczy.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O4 - HKU\S-1-5-21-1085031214-1604221776-725345543-1003…\Run: [H/PC Connection Agent] File not found O4 - HKU\S-1-5-21-1085031214-1604221776-725345543-1003…\Run: [MSMSGS] File not found O4 - HKU\S-1-5-21-1085031214-1604221776-725345543-1003…\Run: [steam] File not found O4 - HKU\S-1-5-21-1085031214-1604221776-725345543-1003…\Run: [updateMgr] File not found O9 - Extra Button: Yahoo 1G mail - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - File not found O9 - Extra Button: E bazar - {59BC54A2-56B3-44a0-93E5-432D58746E26} - File not found O9 - Extra Button: Yahoo Assistant - {5D73EE86-05F1-49ed-B850-E423120EC338} - File not found O9 - Extra Button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - File not found O9 - Extra ‘Tools’ menuitem : Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - File not found :Files C:\WINDOWS\System32\drivers\kasdsa.sys C:\WINDOWS\system32\drivers\CnsMinKP.sys C:\Program Files\3721\Helper.dll C:\Program Files\3721 C:\WINDOWS\DOWNLO~1\CnsMin.dll C:\WINDOWS\DOWNLO~1\cnshook.dll C:\WINDOWS\System32\3721 C:\WINDOWS\DOWNLO~1\cnsio.dll C:\WINDOWS\System32\cns.dll C:\WINDOWS\System32\cns.exe C:\WINDOWS\ycns.dat C:\WINDOWS\System32\Selur.enc C:\PROGRA~1\3721\alrex.dll C:\PROGRA~1\3721\autolive.dll C:\PROGRA~1\3721\alLiveEx.dll C:\WINDOWS\DOWNLO~1\CnsMinIO.dll C:\WINDOWS\DOWNLO~1\CnsMinEx.dll C:\PROGRA~1\3721\notifier.dll C:\PROGRA~1\3721\alLiveEx.dll :Services kasdsa CnsMinKP R2A :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{D157330A-9EF3-49F8-9A67-4141AC41ADD4}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Acrobat Assistant 8.0”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CnsMin”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “GhostStartTrayApp”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “helper.dll”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “HP Component Manager”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “HP Software Update”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “PWRISOVM.EXE”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “QuickTime Task”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SpeedTouch USB Diagnostics”=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{D157330A-9EF3-49F8-9A67-4141AC41ADD4}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{33BBE430-0E42-4F12-B075-8D21ACB10DCB}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{38928D50-8A48-44C2-945F-D2F23F771410}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{406F94F0-504F-4A40-8DFD-58B0666ABEBD}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{500BCA15-57A7-4EAF-8143-8C619470B13D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{507F9113-CD77-4866-BA92-0E86DA3D0B97}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{59BC54A2-56B3-44A0-93E5-432D58746E26}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{5D73EE86-05F1-49ED-B850-E423120EC338}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{62EED7C6-9F02-42F9-B634-98E2899E147B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{6354ABE6-05F1-49ED-B850-E423120EC338}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{92780B25-18CC-41C8-B9BE-3C9C571A8263}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{E2E2DD38-D088-4134-82B7-F2BA38496583}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{ECF2E268-F28C-48D2-9AB7-8F69C11CCB71}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{EF99BD32-C1FB-11D2-892F-0090271D4F88}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{F0D4B231-DA4B-4DAF-81E4-DFEE4931A4AA}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{FB5F1910-F110-11D2-BB9E-00C04F795683}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{FD00D911-7529-4084-9946-A29F1BDF4FE5}] :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Z GMER, ten usługowy, też daj.

Z SRENG też daj.

Zobacz, czy to jest system32a2.sys , czy może system32*0a2.sys (gwiazdka dodana przeze mnie, by po drodze nie nastąpiło przekłamanie)

jessi

Bekon · 27 Październik 2009 04:18

Cześć Jessi!

Dobrze zaraz zrobię mówiłem wcześniej ze mam kontakt z twórca Gmera poprosił o takie logi wiec może zechcesz zerknąć.

te które tu daje są przed czyszczeniem OTL

ten z zaznaczonymi opcjami file version info + Only non MS > http://wklej.org/id/186914/

drugi tylko ze zaznaczone samo Only non MS oczywiście Gmer > http://wklej.org/id/186916/

EDIT Po Twoim FIX’ie Jessi

Oto jakiś błąd OTL po restarcie screen > http://wstaw.org/p/6bbf/ teraz jest tak przy każdorazowym uruchomieniu programu ponowne pobranie i podmiana nic nie dały…

ale log zrobiłem bo program się uruchomił > http://wklej.org/id/186927/

Log z Usługami GMER > http://wklej.org/id/186931/ program nie wykrył modyfikacji w systemie…

ale patrz pozycja 77 w logu

SRENG LOG > http://wklej.org/id/186935/

Żadnego z nich nie znalazłem WinXP krzyczy że ścieżka nie jest poprawna…

Oki Jessi Twój ruch (formata nie mam zamiaru robić).

jessica · 27 Październik 2009 09:35

Jeśli pomaga Ci GMER, to trzymaj się Jego, po co Ci jeszcze pomoc od nas.

>Gmer >>> zakładka CMD i zaznacz w niej opcję REGEDIT a do okna wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{D157330A-9EF3-49F8-9A67-4141AC41ADD4}"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Acrobat Assistant 8.0"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CnsMin"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GhostStartTrayApp"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"helper.dll"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HP Component Manager"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HP Software Update"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PWRISOVM.EXE"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpeedTouch USB Diagnostics"=-


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33BBE430-0E42-4F12-B075-8D21ACB10DCB}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38928D50-8A48-44C2-945F-D2F23F771410}] 


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{406F94F0-504F-4A40-8DFD-58B0666ABEBD}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4EAF-8143-8C619470B13D}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{507F9113-CD77-4866-BA92-0E86DA3D0B97}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59BC54A2-56B3-44A0-93E5-432D58746E26}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D73EE86-05F1-49ED-B850-E423120EC338}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{62EED7C6-9F02-42F9-B634-98E2899E147B}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6354ABE6-05F1-49ED-B850-E423120EC338}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{92780B25-18CC-41C8-B9BE-3C9C571A8263}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2E2DD38-D088-4134-82B7-F2BA38496583}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ECF2E268-F28C-48D2-9AB7-8F69C11CCB71}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B231-DA4B-4DAF-81E4-DFEE4931A4AA}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB5F1910-F110-11D2-BB9E-00C04F795683}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]

Kliknąć na Uruchom.

Potem:

znów >gmer.exe

Rozwiń>>>zakładka CMD >>tym razem zaznacz CMD —w górne czarne pole wklej to:

gmer -del service lcrckcoa gmer -del service CnsMinKP gmer -del service kasdsa gmer -del service Viewpoint Manager Service gmer -del service ASKService gmer -del service ASKUpgrade gmer -del file C:\WINDOWS\System32\cns.dat gmer -del file C:\WINDOWS\System32\cns.exe gmer -del file C:\WINDOWS\System32\cns.dll gmer -del file C:\WINDOWS\System32\drivers\CnsMinKP.sys gmer -del file C:\WINDOWS\System32\drivers\lcrckcoa.sys gmer -del file C:\Program Files\AskSearch gmer -del file C:\Program Files\AskBarDis gmer -del file C:\Program Files\3721 gmer -del file C:\PROGRA~1\3721\helper.DLL gmer -del file C:\WINDOWS\DOWNLO~1\cnshook.dll gmer -del file C:\PROGRA~1\3721\autolive.dll gmer -del file C:\WINDOWS\DOWNLO~1\CnsMinIO.dll gmer -del file C:\WINDOWS\DOWNLO~1\cnsio.dll gmer -del file C:\WINDOWS\DOWNLO~1\CnsMinEx.dll gmer -del file C:\PROGRA~1\3721\notifier.dll gmer -del file C:\PROGRA~1\3721\alLiveEx.dll gmer -del file C:\WINDOWS\System32\Selur.enc gmer -del file C:\WINDOWS\System32\Selur.enc gmer -del file C:\WINDOWS\ycns.dat gmer -del file C:\WINDOWS\System32\3721 gmer -del service R2A gmer -reboot

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Logi z OTL, SRENG, GMER (usługowy).

jessi

Bekon · 27 Październik 2009 16:17

Hej i znowu męczę

Tak ten Pan sprawdza jak na razie logi i prosi o nowe, jednak co 2 głowy to nie jedna no i temat zostanie na forum, może ktoś skorzysta a poza tym łatwiej tu niż na e mail

Jesii teraz tak:

Klucze do rejestru wprowadzone Gmer dodał poprawnie jednak nie skasował nic z Twojego 2 kodu.

Przy próbie kasowania usług gmer -del service pisze ze parametr nie poprawny klikam OK i tak do końca aż dochodzę do “file”

Kasowanie plików tez jednak nie wychodzi ponieważ parametr gmer -del file jest ok, ale Gmer informuje ze nie można ich odnaleźć no i jesteśmy w kropce.

ponieważ skoro zmieniły się same wpisy w rejestrze a nic nie usunęło na razie nie robiłem kolejnych logów, wolałem poinformować co się dzieje, aha no i restart Komputera był oczywiście poprawnie z Gmer

jessica · 27 Październik 2009 16:33

Zmieniłam trochę script: przy jednym service dalam cudzysłów, bo nazwa klikuwyrazowa, poza tym zmieniłam skrótowe nazwy folderów na ich pełne nazwy.

Nie wiem, czy to wystarczy, być może GMER zmienił zupełnie komendy, a ja nic o tej zmianie nie wiem.

gmer -del service lcrckcoa gmer -del service CnsMinKP gmer -del service kasdsa gmer -del service “Viewpoint Manager Service” gmer -del service ASKService gmer -del service ASKUpgrade gmer -del file C:\WINDOWS\System32\cns.dat gmer -del file C:\WINDOWS\System32\cns.exe gmer -del file C:\WINDOWS\System32\cns.dll gmer -del file C:\WINDOWS\System32\drivers\CnsMinKP.sys gmer -del file C:\WINDOWS\System32\drivers\lcrckcoa.sys gmer -del file C:\Program Files\AskSearch gmer -del file C:\Program Files\AskBarDis gmer -del file C:\Program Files\3721 gmer -del file C:\Program Files\3721\helper.DLL gmer -del file C:\WINDOWS\Downloaded Program Files\cnshook.dll gmer -del file C:\Program Files\3721\autolive.dll gmer -del file C:\WINDOWS\Downloaded Program Files\CnsMinIO.dll gmer -del file C:\WINDOWS\Downloaded Program Files\cnsio.dll gmer -del file C:\WINDOWS\Downloaded Program Files\CnsMinEx.dll gmer -del file C:\Program Files\3721\notifier.dll gmer -del file C:\Program Files\3721\alLiveEx.dll gmer -del file C:\WINDOWS\System32\Selur.enc gmer -del file C:\WINDOWS\System32\Selur.enc gmer -del file C:\WINDOWS\ycns.dat gmer -del file C:\WINDOWS\System32\3721 gmer -del service R2A gmer -reboot

Jeśli to się też nie uda, to ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\cns.dat

C:\WINDOWS\System32\cns.exe

C:\WINDOWS\System32\cns.dll

C:\WINDOWS\System32\drivers\CnsMinKP.sys

C:\WINDOWS\System32\drivers\lcrckcoa.sys

C:\Program Files\3721\helper.DLL

C:\WINDOWS\Downloaded Program Files\cnshook.dll

C:\Program Files\3721\autolive.dll 

C:\WINDOWS\Downloaded Program Files\CnsMinIO.dll

C:\WINDOWS\Downloaded Program Files\cnsio.dll

C:\WINDOWS\Downloaded Program Files\CnsMinEx.dll 

C:\Program Files\3721\notifier.dll

C:\Program Files\3721\alLiveEx.dll

C:\WINDOWS\System32\Selur.enc

C:\WINDOWS\ycns.dat


Folders to delete:

C:\Program Files\AskSearch

C:\Program Files\AskBarDis

C:\Program Files\3721

C:\WINDOWS\System32\3721


Registry keys to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}


Registry values to delete: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | CnsMin

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | helper.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {D157330A-9EF3-49F8-9A67-4141AC41ADD4}


Drivers to delete:

kasdsa

CnsMinKP

R2A

"Viewpoint Manager Service"

ASKService

ASKUpgrade

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Logi daj bez względu na to, czy usuwanie się uda, czy nie - trzeba zobaczyć, czy w ogóle coś się zmieniło.

jessi

M_i_r · 27 Październik 2009 17:27

Spróbuj Reanimatora -> http://www.greatis.com/appdata/d/Window … emoval.htm

Po zainstalowaniu i wybraniu Scan for viruses , pliki do usunięcia zaznaczasz Czerwonym listkiem.Po wykonaniu skanu klikasz na Fix Problems.

Bekon · 28 Październik 2009 04:07

Jestem!

Dziękuje Jessie, wiesz chyba się udało Avenger sobie poradził dużo plików nie znalazł, ale przeniósł, folder 3721 i usunięte pliki (patrz LOG) do folderu c:\Avenger.

Komp widocznie przyspieszył, na początku miałem jakąś odmowę dostępu, ale skrypt zadziałał.

Oto log Avenger *.txt > http://wklej.org/id/187928/

4 pomyślnie usunięte składniki, pozycja na wklejce nr. 123, 124,125,168. pozostałych plików nie znalazł, mam nadzieje ze ich nie ma

Logi z OTL, SRENG, GMER (usługowy) poniżej

OTL > http://wklej.org/id/187942/

SRENG > http://wklej.org/id/187949/

GMER (usługowy) > http://wklej.org/id/187950/,

z tego co zauważyłem po tym wirusie zostały klucze w rejestrze oczywiście (no file) błędne, Jessie jaki program użyć do czyszczenia Rejestru i defragmentacji? może być CCleaner? i jaki 2? Erunt?.. Oki sprawdź logi i czekam na opinie eksperta za wszystko z góry dziękuję.

jessica · 28 Październik 2009 08:59

Tak, jest czysto.

W logach są jeszcze co prawda widoczne pozostałości po “Ask”, ale to już możesz usuwać przy pomocy wspomnianego przez Ciebie CCleanera…

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

W OTL kliknij na przycisk “CleanUp” - to go usunie.

jessi

Bekon · 28 Październik 2009 12:16

Dzięki wielkie Jessie sam nie dał bym rady chciał bym się nauczyć czytania logów i pisania skryptów ale nie wiem gdzie znajdę “składnie” i od czego zacząć, co do przywracania systemu wyłączyłem go przed próbą usunięcia tego wynalazku włączę jak tylko wyczyszczę pozostałości OTL bardzo Ci dziękuję. Wielki plus…

2 razy się tu pojawiłem do tej pory z innym wirusem i również mi pomogli z logami dlatego mam sentyment TU pisać Dobre forum zdolni Ludzie

No To papa

PS. zmieniłem temat wątku na bardziej odpowiedni bo przeważnie szuka się wirusów po nazwie ( może komuś się przyda )

Do Administracji - Temat do zamknięcia problem rozwiązany