sebek98
(Sebi098)
8 Listopad 2012 17:59
#1
Witam, przed chwilą zaczął mnie atakować Win32/Reveton.J
NOD mi go blokuje, jednak dosłownie co sekundę mam kolejny atak, w logach NODa sa takie lagi ( w plikach dziennika, ciągle nowy atak jest zapisywany )
Co mam zrobić?
sebek98
(Sebi098)
8 Listopad 2012 18:12
#3
OTL : http://www.wklej.org/id/865769/
Extras : http://www.wklej.org/id/865770/
Bardzo proszę o pomoc, mam już 1200 infekcji w kwarantannie, a pare minut temu miałem ledwo 20…
– Dodane 08.11.2012 (Cz) 19:36 –
Niech mi ktoś pomoże, tego syfu ciągle jest więcej , zaraz 3000…
sebek98
(Sebi098)
8 Listopad 2012 19:04
#4
5 minut temu skończyły mi się ataki, 2,5k infekcji…
Do tego obawiam, się, czy ten syf nie dodał mi czegoś do autostartu, mam tu parę podejrzanych wg. mnie rzeczy :
– Dodane 08.11.2012 (Cz) 20:08 –
Atronics zalecił mi skan pewnym programem, rezultat
– Dodane 08.11.2012 (Cz) 20:09 –
Atis
(Atis)
8 Listopad 2012 19:22
#5
Nie powinien nic polecać skoro nie ma pojęcia o tym temacie.
Sterownik sptd jest od DAEMON Tools i nie jest szkodliwy.
ESET wykrywa trojana który blokuje system udając policję.
Odinstaluj przestarzały Spybot.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [On_Demand | Stopped] – H:\Program Files\PC Connectivity Solution\ServiceLayer.exe – (ServiceLayer) DRV - File not found [Kernel | System | Stopped] – system32\DRIVERS\VClone.sys – (VClone) DRV - File not found [Kernel | On_Demand | Stopped] – H:\DOCUME~1\DOM\USTAWI~1\Temp\sony_ssm.sys – (sony_ssm.sys) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcacm.sys – (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\ewfiltertdidriver.sys – (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] – H:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – H:\WINDOWS\system32\drivers\AWRTPD.sys – (AdWatchDrv) IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = http=;ftp=;https=; O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O4 - HKLM…\Run: [bigDog303] H:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found O4 - HKCU…\Run: [Easy Driver Pro] I:\easydriverpro\DPLauncher.exe File not found O8 - Extra context menu item: Translate this web page with Babylon - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O9 - Extra ‘Tools’ menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab (Reg Error: Key error.) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} http://game01.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) [2012-11-08 18:44:05 | 000,033,280 | ---- | C] (Microsoft Corporation) – H:\Documents and Settings\All Users\Dane aplikacji\lsass.exe [2012-11-08 18:44:09 | 083,023,306 | ---- | M] () – H:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad [2011-11-27 16:27:58 | 000,004,430 | ---- | C] () – H:\Documents and Settings\DOM\Ustawienia lokalne\Dane aplikacji\promo.exe [2010-02-15 21:14:17 | 000,377,763 | R— | C] () – H:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak [2010-02-15 21:14:17 | 000,002,596 | ---- | C] () – H:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak [2010-02-15 21:14:17 | 000,001,734 | ---- | C] () – H:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak [2010-08-13 17:52:48 | 000,000,000 | —D | M] – H:\Documents and Settings\All Users\Dane aplikacji\Babylon [2010-08-13 17:54:05 | 000,000,000 | —D | M] – H:\Documents and Settings\DOM\Dane aplikacji\Babylon :Commands [resethosts] [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
sebek98
(Sebi098)
9 Listopad 2012 15:59
#6
Zrobiłem, jak kazaliście, chyba wszystko jest ok…
Dziękuję Wam bardzo, pamiątka jest wspaniała, hehe
Skoro jestem już w temacie, pytanie kieruję głównie do Atisa.
1 ) Skąd to się wzięło ?
2 ) Co to jest ?
3 ) I skąd wiedziałeś w ogóle co zrobić ? Jest to dla mnie czymś wspaniałym ( mowa o Twoim poście ). Co to jest za log? Sam tego chyba nie pisałeś… Jak to zrobiłeś, gdzie można się tego nauczyć?
A!
No i log :
http://www.wklej.org/id/866517/
Pozdrawiam + dzięki
– Dodane 09.11.2012 (Pt) 17:00 –
4 ) * I czym jest Babylon…?
Atis
(Atis)
9 Listopad 2012 16:37
#7
Wystarczy wejść na zainfekowaną stronę internetową
Trojan Weelsof/UKASH który blokuje system udając policję, a na forum znajdziesz dużo podobnych tematów.
Skrypt tworzysz na podstawie informacji widocznych w logu.
Samodzielnie musisz się tego nauczyć:
http://www.geekstogo.com/forum/topic/27 … er-listit/
http://traxter-online.net/otl-by-oldtim … elementow/
Babylon pozostałość po odinstalowanym programie Babylon-Pro
Kliknij Skanuj i pokaż nowy log.
sebek98
(Sebi098)
9 Listopad 2012 17:46
#8
Atis
(Atis)
9 Listopad 2012 22:33
#9
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date