Trojan.Agent/ trojan.FakeAlert.H i zainfekowany rejestr

sajlent555 · 6 Kwiecień 2012 15:16

Acorus · 6 Kwiecień 2012 15:43

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2012-04-06 16:21:07 | 000,196,608 | ---- | M] () – D:\Documents and Settings\patryk\Ustawienia lokalne\Temp\BN3.tmp MOD - [2012-04-05 12:16:06 | 000,019,384 | -HS- | M] () – D:\Documents and Settings\patryk\3mu4ooc1ga.exe MOD - [2008-04-14 23:50:36 | 000,049,152 | ---- | M] () – D:\WINDOWS\system32\crrss.exe SRV - File not found [Auto | Stopped] – D:\DOCUME~1\patryk\USTAWI~1\Temp\jcqvywt.exe – (iauqghejat) O4 - HKLM…\Run: [Cmaudio8788] RunDll32 cmicnfgp.cpl,CMICtrlWnd File not found O4 - HKLM…\Run: [cplmgywo] D:\WINDOWS\system32\cplmgywo.exe (YthqO) O4 - HKLM…\Run: [crrss] D:\WINDOWS\system32\crrss.exe () O4 - HKLM…\Run: [Device Detector] DevDetect.exe -autorun File not found O4 - HKLM…\Run: [intelAgent] D:\WINDOWS\Temp\temp68.exe File not found O4 - HKLM…\Run: [Regedit32] D:\WINDOWS\system32\regedit.exe File not found O4 - HKCU…\Run: [3mu4ooc1ga] D:\Documents and Settings\patryk\3mu4ooc1ga.exe () O4 - HKCU…\Run: [cplmgywo] D:\Documents and Settings\patryk\cplmgywo.exe (YthqO) O4 - HKCU…\Run: [kcxkwtekw9] D:\Documents and Settings\patryk\kcxkwtekw9.exe () O4 - HKCU…\Run: [MSConfig] D:\Documents and Settings\patryk\wsbnr.exe () O4 - HKCU…\Run: [tcpudp] D:\WINDOWS\BN3.tmp () O4 - HKCU…\Run: [winlogon] D:\Documents and Settings\patryk\winlogon.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 62394 = D:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubm.cmd (hTXvl) O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\crrss.exe) - D:\WINDOWS\system32\crrss.exe () O20 - HKCU Winlogon: Shell - (“D:\Documents and Settings\patryk\winlogon.exe”) - D:\Documents and Settings\patryk\winlogon.exe () MsConfig - StartUpReg: ACSW14EN - hkey= - key= - File not found MsConfig - StartUpReg: HKCU - hkey= - key= - File not found MsConfig - StartUpReg: HKLM - hkey= - key= - File not found MsConfig - StartUpReg: RGSC - hkey= - key= - File not found [2012-04-04 16:32:39 | 000,333,312 | ---- | C] (YourCompany) – D:\Documents and Settings\patryk\bm.exe [2012-04-03 23:20:17 | 000,096,256 | ---- | C] (YthqO) – D:\WINDOWS\System32\cplmgywo.exe [2012-04-03 23:20:17 | 000,096,256 | ---- | C] (YthqO) – D:\Documents and Settings\patryk\cplmgywo.exe [2012-04-05 12:16:06 | 000,019,384 | -HS- | M] () – D:\Documents and Settings\patryk\3mu4ooc1ga.exe [2012-04-05 12:16:58 | 000,019,384 | -HS- | C] () – D:\Documents and Settings\patryk\3mu4ooc1ga.exe [2012-04-04 18:04:47 | 000,046,264 | ---- | C] () – D:\WINDOWS\System32\drivers\648779c0bee85010.sys [2012-04-04 16:31:16 | 000,173,568 | -H-- | C] () – D:\Documents and Settings\patryk\wsbnr.exe [2012-04-04 15:18:19 | 000,173,568 | -H-- | C] () – D:\Documents and Settings\patryk\nxahcup.exe [2012-04-04 15:18:15 | 000,019,408 | -HS- | C] () – D:\Documents and Settings\patryk\kcxkwtekw9.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

spandaupol · 6 Kwiecień 2012 15:44

sajlent555 , Masz rootkita

Dodatkowo oprócz tego co zalecił Acorus proszę o raport Gmera instrukcja jak przygotować system i wykonać skan Gmerem http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/

sajlent555 · 6 Kwiecień 2012 16:09

raport z usuwania http://wklej.to/R1Qyl

otl http://wklej.to/AKwVb

extras http://wklej.to/xU5D9

spandaupol · 6 Kwiecień 2012 16:47

sajlent555 , Prośba o raport Gmera nadal aktualna inaczej będziesz miał problem z usunięciem tego rootkita.

sajlent555 · 6 Kwiecień 2012 17:16

Miałem problemy z GMER’em. Na pcozątku nie chciał skanować. WYskakiwały błędy ,że proces nie może uzyskać dostępu bla bla. W końcu udało się ale opcje System, Sekcje itd. nie były aktywne i nie mogłem ich zaznaczyć. Aktywne były tylko Rejestr, Usługi, Pliki.

Log z gmera http://wklej.org/id/726061/

spandaupol · 6 Kwiecień 2012 17:25

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Następnie uruchom ponownie OTL klikasz Skanuj pokaż na forum nowy raport OTL.txt

sajlent555 · 6 Kwiecień 2012 17:44

log z avengera http://wklej.to/pQcTr

OTL http://wklej.to/s1LVZ

Extras http://wklej.to/BnSo1

spandaupol · 7 Kwiecień 2012 06:48

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – D:\DOCUME~1\patryk\USTAWI~1\Temp\catchme.sys – (catchme) O4 - HKLM…\Run: [intel Control Daemon] D:\WINDOWS\system32\igfxcd86.exe File not found O4 - HKLM…\Run: [Regedit32] D:\WINDOWS\system32\regedit.exe File not found O4 - HKCU…\Run: [4Y3Y0C3AUF7XXA7WQMWQIY] D:\Recycle.Bin\B6232F3A062.exe /q File not found O4 - HKCU…\Run: [kcxkwtekw9] D:\Documents and Settings\patryk\kcxkwtekw9.exe File not found :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] “D:\WINDOWS\system32\igfxcd86.exe” =- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “D:\WINDOWS\Temp\temp68.exe” =- “D:\WINDOWS\system32\igfxcd86.exe” =- :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

sajlent555 · 7 Kwiecień 2012 15:09

z usuwania http://wklej.org/id/726653/

OTL http://wklej.org/id/726685/

Extras http://wklej.org/id/726687/

spandaupol · 8 Kwiecień 2012 10:08

Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną

Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Jak program coś wykryje pokaż raport na forum.

Jak Malwarebytes nic nie wykryje użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

sajlent555 · 8 Kwiecień 2012 15:17

mbam wykrył 21 zagrożeń - http://wklej.org/id/727299/

spandaupol · 9 Kwiecień 2012 07:51

Usuń wszystko za wyjątkiem

Użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

scripter1 · 9 Kwiecień 2012 09:15

sajlent555 , najwyraźniej masz ALLPlayera w wersji v5.0, w tamtej wersji wtyczka Scripter’s Spectrum.svp z bliżej nieokreślonych powodów wywalała ten alarm w mbam (i tylko w nim).

Na koniec po wykonaniu czyszczenia pobierz sobie najnowszego ALLPlayera v5.1, w tej wersji jest tamta wtyczka już nie wywala alarmu w mbam (chyba że mbam znów coś pokręciło w bazie, daj znać jakby co) i sam program ma kilka ważnych poprawek.