Trojan WIN32:Sinowal-IK . Proszę o pomoc w USUNIĘCIU!

niyans · 9 Sierpień 2012 13:26

Witam

Proszę bardzo o pomoc w usunięciu wirusa

Od kilku dni gdy włączam komputer lub Google Chrome avast informuje mnie o znalezieniu trojana w

C:\WINDOWS\TEMP\ixqdobbtst\plugin.dll o nazwie

WIN32:Sinowal-IK

Załączam Logi proszę bardzo o sprawdzenie i pomoc jak usunąć wirusa .:

Logi z OTL : http://wklej.org/id/807281/http://wklej.org/id/807285/

Logi z Hijack This : http://wklej.org/id/807287/

Logi z Silent Runners : http://wklej.org/id/807289/

spandaupol · 9 Sierpień 2012 16:35

Proszę o raport Kasperski TDSSKiller [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak coś wykryje Wybierz opcje Skip i zaprezentuj raport na forum

niyans · 9 Sierpień 2012 19:56

Dziękuję bardzo za odpowiedź . !

Za 1 razem gdy skanowałam dysk Kasperski TDSSKiller wykryto trojana i program go usunął - Jak narazie wydaje się ,że wszystko jest w porządku .

Przeskanowałam komputer jeszcze raz i nic nie wykrywa , tak samo Avast . Oto logi z obu operacji z TDSSKillera :

http://wklej.org/id/807672/ , http://wklej.org/id/807674/ .

Zamieszczam jeszcze log z OTL , proszę jeśli można o sprawdzenie także go : http://wklej.org/id/807683/

spandaupol · 10 Sierpień 2012 07:29

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKU\S-1-5-21-343818398-1229272821-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819 … fce4f31800 IE - HKU\S-1-5-21-343818398-1229272821-682003330-500…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=10eda372000000000000d4fce4f31800 IE - HKU\S-1-5-21-343818398-1229272821-682003330-500…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaulturl: “http://www.bing.com/search?FORM=IPGTDF&PC=IPGTDF&q=” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.startup.homepage: “http://search.babylon.com/?AF=108976&tt=151211_ctrl&babsrc=HP_ss&mntrId=10eda372000000000000d4fce4f31800” FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\xpsec.sys – (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\xcpip.sys – (xcpip) O4 - HKLM…\Run: [] File not found O20 - HKU\S-1-5-21-343818398-1229272821-682003330-500 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] “3389:TCP” =- “65533:TCP” =- “52344:TCP” =- “7029:TCP” =- “7030:TCP” =- “8320:TCP” =- “6148:TCP” =- “7523:TCP” =- “6992:TCP” =- “5883:TCP” =- “9945:TCP” =- “3477:TCP” =- “6601:TCP” =- “7258:TCP” =- “2977:TCP” =- “5789:TCP” =- “7664:TCP” =- “8445:TCP” =- “2682:TCP” =- “7945:TCP” =- “5339:TCP” =- “7508:TCP” =- “6579:TCP” =- “2909:TCP” =- “1739:TCP” =- “1942:TCP” =- “2051:TCP” =- “1567:TCP” =- “4506:TCP” =- “1801:TCP” =- “9832:TCP” =- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “3389:TCP” =- “65533:TCP” =- “52344:TCP” =- “7029:TCP” =- “7030:TCP” =- “8320:TCP” =- “6148:TCP” =- “7523:TCP” =- “6992:TCP” =- “5883:TCP” =- “9945:TCP” =- “3477:TCP” =- “6601:TCP” =- “7258:TCP” =- “2977:TCP” =- “5789:TCP” =- “7664:TCP” =- “8445:TCP” =- “2682:TCP” =- “7945:TCP” =- “5339:TCP” =- “7508:TCP” =- “6579:TCP” =- “2909:TCP” =- “1739:TCP” =- “1942:TCP” =- “2051:TCP” =- “1567:TCP” =- “4506:TCP” =- “1801:TCP” =- “9832:TCP” =- :Files C:\TDSSKiller_Quarantine C:\WINDOWS\tasks\At*.job :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

niyans · 10 Sierpień 2012 08:43

Wykonałam skrypt zgodnie z pana poleceniem jednak coś chyba poszło nie tak .

W czasie robienia skryptu wyskoczył mi błąd error code:2 . Po restarcie komputera również wyskakuje i nie mogę nic włączyć . Działa tylko tapeta - brak ikonek na pulpicie , menu start i itd .

Udało mi się wejść do przeglądarki tylko dlatego ,że gdy wyskoczyło okienko sprawdzenia oryginalności systemu windows nacisnęłam dowiedz się więcej online .

PROSZĘ O POMOC , Co mam teraz zrobić skoro nie mam dostępu do programów ??? .

– Dodane 10.08.2012 (Pt) 10:57 –

Przez menadżera zadań uruchomiłam proces explorer.exe jednakże co mnie dziwi nie znajdował się on w C:\WINDOWS tylko w folderze _OTL . Przy każdym restarcie komputera problem jest ten sam - Pulpitu nie ma . Ponad to gdy próbuje włączyć Mój komputer bądź Moje dokumenty włącza mi się wyszukiwanie plików ( Wyszukaj Pliki lub Foldery z menu start ),Kosz - włącza się CCleaner …

Także wszystkie foldery otwierają mi się wyłącznie przez ACDsee . Nie mogę otworzyć także panelu sterowania .

Log 1 , który wyskoczył po uruchomieniu pulpitu : http://wklej.org/id/807868/

Log 2 po ponownym skanie :

OTL.txt : http://wklej.org/id/807869/ , Extras.txt : http://wklej.org/id/807870/

Pomocy ! Co mam z tym zrobić . Gdy naprawie sytuacje CCleanerem to i tak przy restarcie komputera problem jest od nowa .

– Dodane 10.08.2012 (Pt) 12:10 –

Po ręcznym przeniesieniu explorer.exe z folderu _OTL\ moved files\08102012_100758\C_WINDOWS pulpit przy restarcie działa normalnie jednak dalej nie mogę otworzyć mojego komputera i itd . Gdy go kilkam ciągle pokazuje się wyszukaj . Także w dalszym ciągu wszystko otwiera mi przez ACDsee .

Proszę o pomoc .

Daje najświeższe logi z OTL : http://wklej.org/id/807910/http://wklej.org/id/807911/

spandaupol · 10 Sierpień 2012 10:44

Rzeczywiście narzędzie przeniosło ten plik chociaż powinien się on znajdować na tkzw. Whitelist jako plik nie do ruszenia bez specjalnej komendy, to nauczka dla mnie.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

niyans · 10 Sierpień 2012 11:38

Dziękuję bardzo !

Log z usuwania :http://wklej.org/id/807992/

Niestety dalej Mój komputer i itd . nie działają tzn. zamiast nich włącza się wyszukaj , a gdy próbuję włączyć panel sterowania pokazuje się okienko iż z plikiem nie jest skojarzony program umożliwiający wykonanie tej czynności .

panel sterowania działa jedynie gdy wpisuje komendę CONTROL w uruchom wtedy też kilkając na narzędzia admin. wyskakuje mi zamiast nich okienko ’ System windows nie może utworzyć skrótu w tym miejscu czy chcesz utworzyć skrót na pulpicie ’ …

Logi OTC z scanowania : http://wklej.org/id/807996/http://wklej.org/id/807997/

spandaupol · 10 Sierpień 2012 13:44

OTL usunął plik explorer.exe ale wszystko zostało przywrócone, a problem jest nadal.

Wykonaj pełny skan Malwarebytes http://www.malwarebytes.org/products/malwarebytes_free (odrzuć instalacje wersji testowej) Jak program coś wykryje pokaż raport na forum.

niyans · 10 Sierpień 2012 15:56

Wykonałam scan Malwarebytes . Znalazł 14 zagrożeń , które usunełam .

Logi z przed usunięciem wirusów : http://wklejto.pl/130995 ,

Loga z po usunięcia niestety nie mogę znaleźć .

Podczas skanowania folderu zaczynającego się tak: C:\System Volume Information_restore avast ciągle blokował wirusa (chyba wirusa) WIN32:Cacaoweb-A [PUP].

Problem z moim komputerem , panelem sterowania i itd . dalej niestety niezmieniony …

Jeszcze raz bardzo proszę o pomoc i dziękuję za chęci , wysiłek .

adam9870 · 11 Sierpień 2012 00:31

CZYSZCZENIE FOLDERÓW PRZYWRACANIA SYSTEMU: [http://www.fixitpc.pl/topic/5-dezynfekc … 50#entry50](http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page p 50#entry50)

Użyj SFC http://www.fixitpc.pl/topic/1236-weryfi … edzie-sfc/ i sprawdź Przywracanie domyślnych skojarzeń z typami plików Windows XP. http://www.bezpieczenstwosystemow.pl/in … pic=1128.0

Jeżeli nie zadziała, instalacja nakładkowa Windows XP (bez utraty danych) instalacja-nakladkowa-windows-t486919.html

Pozdrawiam.

niyans · 11 Sierpień 2012 10:33

Gdy używam SFC to po scannow gdy już sprawdzi te elementy chronione nic mi nie wyskakuje żaden nowy wiersz , nawet nie wiem czy skanowanie coś znalazło .Jeśli chodzi o przywracanie domyślnych skojarzeń z typami plików winows xp , to które mam konkretnie poinstalować fixy ? Poinstalowałam np. exe , divers , msi ale bez zmian po restarcie …

spandaupol · 14 Sierpień 2012 09:20

niyans A co z tym, czy masz możliwość wykonania instalacji nakładkowej bez utraty danych?

niyans · 14 Sierpień 2012 13:01

Jestem w trakcie poszukiwań mojej płyty od Windowsa sp3 , niestety gdzieś się zapodziała ale jestem dobrej myśli ,że ją znajdę.

Także planowałam zakup laptopa i nie wiem czy to nie jest odpowiedni moment na ten krok bo mój komputer i tak już mi służy tyle lat i to bez formatowania go .

Bardzo dziękuję za pomoc , mam nadzieję ,że instalacja nakładkowa gdy już znajdę płytę naprawi mój problem

– Dodane 20.08.2012 (Pn) 20:32 –

Chciałam tylko poinformować jakby ktoś kiedyś miał podobny problem jak ja ,że naprawiłam błąd

kiedy zamiast otwierania się mój komputer , moje dokumenty i itd otwierało się wyszukaj tak:

Uruchom - komenda control następnie:

Opcje folderów ->

Typy Plików -> przy typie pliku Folder -> zaawansowane -> w akcjach Nowa -> akcja open , program explorer.exe .

A także dodanie do rejestru regsvr32 /i shell32.dll .

I gotowe !