Win32/Reveton.J

sebek98 · 8 Listopad 2012 17:59

Witam, przed chwilą zaczął mnie atakować Win32/Reveton.J

NOD mi go blokuje, jednak dosłownie co sekundę mam kolejny atak, w logach NODa sa takie lagi ( w plikach dziennika, ciągle nowy atak jest zapisywany )

Co mam zrobić?

anon89827741 · 8 Listopad 2012 18:01

obowiazkowe-logi-t253052.html

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

sebek98 · 8 Listopad 2012 18:12

OTL : http://www.wklej.org/id/865769/

Extras : http://www.wklej.org/id/865770/

Bardzo proszę o pomoc, mam już 1200 infekcji w kwarantannie, a pare minut temu miałem ledwo 20…

– Dodane 08.11.2012 (Cz) 19:36 –

Niech mi ktoś pomoże, tego syfu ciągle jest więcej , zaraz 3000…

sebek98 · 8 Listopad 2012 19:04

5 minut temu skończyły mi się ataki, 2,5k infekcji…

Do tego obawiam, się, czy ten syf nie dodał mi czegoś do autostartu, mam tu parę podejrzanych wg. mnie rzeczy :

– Dodane 08.11.2012 (Cz) 20:08 –

Atronics zalecił mi skan pewnym programem, rezultat

– Dodane 08.11.2012 (Cz) 20:09 –

Atis · 8 Listopad 2012 19:22

Nie powinien nic polecać skoro nie ma pojęcia o tym temacie.

Sterownik sptd jest od DAEMON Tools i nie jest szkodliwy.

ESET wykrywa trojana który blokuje system udając policję.

Odinstaluj przestarzały Spybot.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [On_Demand | Stopped] – H:\Program Files\PC Connectivity Solution\ServiceLayer.exe – (ServiceLayer) DRV - File not found [Kernel | System | Stopped] – system32\DRIVERS\VClone.sys – (VClone) DRV - File not found [Kernel | On_Demand | Stopped] – H:\DOCUME~1\DOM\USTAWI~1\Temp\sony_ssm.sys – (sony_ssm.sys) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcacm.sys – (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\ewfiltertdidriver.sys – (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] – H:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – H:\WINDOWS\system32\drivers\AWRTPD.sys – (AdWatchDrv) IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = http=;ftp=;https=; O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O4 - HKLM…\Run: [bigDog303] H:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found O4 - HKCU…\Run: [Easy Driver Pro] I:\easydriverpro\DPLauncher.exe File not found O8 - Extra context menu item: Translate this web page with Babylon - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O9 - Extra ‘Tools’ menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://H:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab (Reg Error: Key error.) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} http://game01.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) [2012-11-08 18:44:05 | 000,033,280 | ---- | C] (Microsoft Corporation) – H:\Documents and Settings\All Users\Dane aplikacji\lsass.exe [2012-11-08 18:44:09 | 083,023,306 | ---- | M] () – H:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad [2011-11-27 16:27:58 | 000,004,430 | ---- | C] () – H:\Documents and Settings\DOM\Ustawienia lokalne\Dane aplikacji\promo.exe [2010-02-15 21:14:17 | 000,377,763 | R— | C] () – H:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak [2010-02-15 21:14:17 | 000,002,596 | ---- | C] () – H:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak [2010-02-15 21:14:17 | 000,001,734 | ---- | C] () – H:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak [2010-08-13 17:52:48 | 000,000,000 | —D | M] – H:\Documents and Settings\All Users\Dane aplikacji\Babylon [2010-08-13 17:54:05 | 000,000,000 | —D | M] – H:\Documents and Settings\DOM\Dane aplikacji\Babylon :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

sebek98 · 9 Listopad 2012 15:59

Zrobiłem, jak kazaliście, chyba wszystko jest ok…

Dziękuję Wam bardzo, pamiątka jest wspaniała, hehe

Skoro jestem już w temacie, pytanie kieruję głównie do Atisa.

1 ) Skąd to się wzięło ?

2 ) Co to jest ?

3 ) I skąd wiedziałeś w ogóle co zrobić ? Jest to dla mnie czymś wspaniałym ( mowa o Twoim poście ). Co to jest za log? Sam tego chyba nie pisałeś… Jak to zrobiłeś, gdzie można się tego nauczyć?

A!

No i log :

http://www.wklej.org/id/866517/

Pozdrawiam + dzięki

– Dodane 09.11.2012 (Pt) 17:00 –

4 ) * I czym jest Babylon…?