Marcoo
(Smarcoo)
24 Styczeń 2010 13:25
#1
Poniżej zamieszczam logi:
logi z hijack:
http://www.wklejto.pl/55289
logi z combofix:
http://www.wklejto.pl/55290
Tak jak w temacie, wyskakuje mi reklama w internet explorer chociaż używam firefox. Na dysku z zainstalowanym windowsem utworzyły się jakieś dziwne pliki, które usunąłem. Poza tym wyskakuje mi błąd odnośnie .net Framework. Brdzo proszę o sprawdzenie logów i o radę czy można sobie z tym jakoś poradzić.
deFco247
(deFco247)
24 Styczeń 2010 13:46
#2
Masz infekcję typu masakra, czyli Vundo.
Wygląda na to, że zamienił on kilka plików systemowych swoimi zainfekowanymi plikami i tutaj chyba będzie potrzebna płytka z systemem oraz ponowne zainstalowanie kliku programów…
W takim przypadku jedynym sensownym sposobem pozostaje:
Do ponownego postawienia systemu może być potrzebna płytka z systemem. Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD. Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner. Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia. Skanujesz tyle razy, aż skaner nic nie znajdzie. Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz instalację nakładkową Windows. Po ewentualnej instalacji nakładkowej wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP lub Vista. Wykonaj pełny skan DR WEB CureIt. Jeśli skaner nic nie znajdzie, dla pewności podaj log z Combofix (pobierz go na nowo) i wyłącz ponownie przywracanie systemu włączone przez Combofixa.
@dół
Pomyliły mi się nazwy. Przepraszam za wprowadzenie w pomyłkę.
jessica
(jessica)
24 Styczeń 2010 13:56
#3
@ deFco247 - to nie JEEFO, tylko Trojan VUNDO.
Trzeba po prostu usunąć wszystkie pliki zmodyfikowane w dniu 2010-01-24, które teraz mają rozmiar 39440 .
Programy z tymi plikami do przeinstalowania od nowa:
c:\program files\Adobe\acrotray .exe
c:\program files\ASUS\AI Suite\cpuleveluphelp .exe
c:\program files\ASUS\AI Suite\AiNap\ainap .exe
c:\program files\ASUS\AI Suite\QFan3\qfanhelp .exe
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe
c:\program files\DAEMON Tools\daemon .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Lavasoft\Ad-Aware\aawtray .exe
c:\program files\LivingEarthDesktop\living-earth-desktop .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\NVIDIA Corporation\nView\nwiz .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\Spybot - Search & Destroy\teatimer .exe
c:\program files\Unlocker\unlockerassistant .exe
c:\windows\pchealth\helpctr\binaries\msconfig .exe
W logu widać, które pliki są do usunięcia:
jessi
Marcoo
(Smarcoo)
24 Styczeń 2010 14:23
#4
Czyli wystarczy odinstalować te zainfekowane programy i ewentualnie usunąć to co po nich zostało?
jessica
(jessica)
24 Styczeń 2010 14:46
#5
Ja proponuję taki scenariusz:
użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
przeinstaluj programy, jeśli one same będą się tego domagały
ewentualnie po wszystkim log z ComboFixa do sprawdzenia
Choć z drugiej strony: usunięcie ComboFixem wszystkich zarażonych plików i potem przeinstalowanie programów trwałoby znavcznie krócej.
Jeśli się na to zdecydujesz, to daj znać, napiszę Script.
jessi
Marcoo
(Smarcoo)
24 Styczeń 2010 17:04
#6
Po próbach naprawienia wyszło mi coś takiego:
log z Combofix:
http://www.wklejto.pl/55350
Jeżeli nic te naprawy nie dały bardzo proszę o Script.
jessica
(jessica)
24 Styczeń 2010 17:20
#7
Wklej do Notatnika :
File::
c:\windows\updreg.exe
c:\windows\system32\ctfmon.exe
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Creative\SBAudigy\Surround Mixer\ctsysvol .exe
c:\program files\DAEMON Tools\daemon .exe
c:\program files\Internet Download Manager\idman .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Lavasoft\Ad-Aware\aawtray .exe
c:\program files\LivingEarthDesktop\living-earth-desktop .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\Microsoft ActiveSync\wcescomm .exe
c:\program files\NVIDIA Corporation\nView\nwiz .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\RocketDock\rocketdock .exe
c:\program files\Spybot - Search & Destroy\khalmnpr .exe
c:\program files\Spybot - Search & Destroy\rundll32 .exe
c:\program files\Spybot - Search & Destroy\teatimer .exe
c:\program files\Unlocker\unlockerassistant .exe
c:\windows\pchealth\helpctr\binaries\msconfig .exe
c:\program files\Java\jre6\bin\jusched.exe
c:\program files\LivingEarthDesktop\Living-Earth-Desktop.exe
c:\program files\rocketdock\rocketdock .exe
c:\program files\Unlocker\UnlockerAssistant.exe
c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
d:\programy\uniblue\uniblue\registrybooster\registrybooster .exe
c:\windows\UpdReg.EXE
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
d:\programy\Home Cinema\PowerDVD\PDVDServ.exe
c:\program files\DAEMON Tools\daemon.exe
d:\programy\Ciname\PowerCinema\PCMService.exe
c:\program files\Common Files\Real\Update_OB\realsched.exe
c:\program files\NVIDIA Corporation\nView\nwiz.exe
c:\windows\system32\drivers\dGzeYzo.sys
Driver::
dGzeYzo
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GGWallpaper"=-
"RocketDock"=-
"Uniblue RegistryBooster 2009"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
"ISUSScheduler"=-
"UnlockerAssistant"=-
"CTSysVol"=-
"P17Helper"=-
"UpdReg"=-
"Ad-Watch"=-
"RemoteControl"=-
"DAEMON Tools"=-
"PCMService"=-
"TkBellExe"=-
"nwiz"=-
"SunJavaUpdateSched"=-
"Calc32"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"RocketDock"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Safe'n'Sec Pro]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Marcoo
(Smarcoo)
24 Styczeń 2010 17:48
#8
Zrobiłem tak jak było napisane.
Log z combofix:
http://wklejto.pl/55371
Chyba nic nie naprawił. Dziwnie działa mi ten combofix. Jak go włączę wyskakuje mi komunikat o antywirusie. Wyłączam antywirus. Klikam OK i wyskakuje okienko zatytułowane błąd bez żadnej treści, później komputer się restartuje i uruchamia się combofix. Czy to normalne?
jessica
(jessica)
24 Styczeń 2010 18:00
#9
Rzeczywiście, trochę nitypowo zachowuje się u Ciebie ten ComboFix.
Gdyby był Komunikat o Rootkicie przed tym restartem, to nie byłoby nic dziwnego, ale u Ciebie jest tylko pusty Komunikat.
Wklej do Notatnika :
File::
c:\program files\Common Files\InstallShield\UpdateService\issch .exe
c:\program files\Common Files\InstallShield\UpdateService\isuspm .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\Lavasoft\Ad-Aware\khalmnpr .exe
c:\program files\Lavasoft\Ad-Aware\rundll32 .exe
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
Marcoo
(Smarcoo)
24 Styczeń 2010 18:19
#10
nowy log:
http://www.wklejto.pl/55379
A wiesz może jak można ustrzec się przed taką sytuacją, jakie pogramy mogą zabezpieczyć komputer przed takimi akcjami?
Jeżeli nie da się wyleczyć to chyba nic się nie stanie bo i tak chciałem w niedalekiej przyszłości przesiąść się na win7, ale zanim go kupię chcę wypróbować, która wersja będzie mi odpowiadać i czy programy, które mnie interesują będą na niej działać.
jessica
(jessica)
24 Styczeń 2010 18:35
#11
Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL .
Poza tym - log czysty.
Ta infekcja przeważnie dostaje się na komputer razem z jakimś crackiem, choć u Ciebie akurat nie widzę żadnego.
Widzę, że masz już MBAM I Dr.Web, więc możesz przeskanować którymś z nich - zawsze to większa pewność, że jest czysto.
jessi
Marcoo
(Smarcoo)
24 Styczeń 2010 18:46
#12
plik sprawdziłem - nic nie znaleziono
Dzięki za pomoc