Wirus miner + blokada stron antywirusów

jasiuniu · 7 Czerwiec 2013 19:15

Moje skany:

OTL: http://www.wklej.org/id/1060409/

Extras: http://www.wklej.org/id/1060408/

Co chwila powraca proces minerd.exe i jemu pokrewne procesy o nazwie “Splinters”.

Nie mogę tez połączyć się ze stronami antywirusów.

Mam Malwarebytes i proces minerd.exe nie wraca dopóki działa “ochrona systemu”.

Pomóżcie, dobrzy ludzie!

Atis · 7 Czerwiec 2013 19:34

Odinstaluj Skaner on-line mks_vir.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [On_Demand | Stopped] – -- (stllssvr) SRV - File not found [On_Demand | Stopped] – -- (stllssvr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\LV302V32.SYS – (PID_PEPI) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lv302af.sys – (pepifilter) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\MSI\PC Alert 4\NTGLM7X.sys – (PCAlertDriver) DRV - File not found [Kernel | Auto | Stopped] – system32\DRIVERS\mdmxsdk.sys – (mdmxsdk) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lvrs.sys – (LVRS) DRV - File not found [File_System | Boot | Stopped] – system32\DRIVERS\Lbd.sys – (Lbd) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HSXHWAZL.sys – (HSXHWAZL) DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive) DRV - [2012-12-17 13:22:45 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] – C:\Windows\System32\drivers\gfibto.sys – (gfibto) IE - HKU\S-1-5-21-1330428597-1347299134-62496948-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7227 IE - HKU\S-1-5-21-1330428597-1347299134-62496948-1000…\SearchScopes{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: “URL” = http://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms} FF - prefs.js…keyword.URL: “http://go.mail.ru/search?fr=fftb&q=” [2013-06-07 19:22:27 | 000,000,000 | —D | C] – C:\Program Files\Mail.Ru [2013-06-07 19:22:26 | 000,000,000 | —D | C] – C:\Users\Renia\AppData\Local\Mail.Ru [2013-06-07 19:23:22 | 000,000,000 | —D | C] – C:\Users\Renia\AppData\Local\Xpom [2013-06-07 11:50:54 | 000,000,000 | —D | C] – C:\TDSSKiller_Quarantine [2013-06-06 17:34:03 | 000,000,000 | —D | C] – C:\Users\Renia\Doctor Web [2013-06-06 16:50:38 | 000,000,000 | —D | C] – C:\ComboFix [2013-06-05 11:29:55 | 000,004,944 | -H-- | C] () – C:\Windows\System32\jrrjojrgo :Files C:\Users\Renia\AppData\Roaming*.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

jasiuniu · 7 Czerwiec 2013 20:19

Oto nowy log OLT: http://www.wklej.org/id/1060456

Niestety, po wpisaniu podanego przez Ciebie skryptu i poleceniu “wykonaj skrypt”, wyskoczyła informacja na temat krytycznego błędu i windows zamknął się, więc nie mam raportu z usuwania.

Na razie cały czas nie mogę wejść np. na stronę http://www.avast.com

Atis · 7 Czerwiec 2013 20:34

U mnie też nie działa strona Avasta, a w logu nie widać infekcji.

http://forum.avast.com/index.php?topic=126626.0

Wklej i kliknij Wykonaj skrypt:

Odinstaluj:

Java 6 Update 24

Java 7 Update 9

J2SE Runtime Environment 5.0 Update 2

Java SE Runtime Environment 6

Java 6 Update 2

Java 6 Update 3

Java 6 Update 5

Flash Player 10 ActiveX

Adobe Shockwave Player 12.0

Zainstaluj:

Java 7 Update 21

Flash Player Internet Explorer

Adobe Shockwave Player

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

jasiuniu · 8 Czerwiec 2013 15:58

Hej!

Zrobiłem wszystko, co wczoraj mi poleciłeś, Atis.

Testowo wyłączyłem dziś Malwarebytes’a i po kilku chwilach w aktualnych procesach ukazały się niechciane procesy o wspólnej nazwie Splinters. Jeden z nich, co widać na załączonym obrazku http://forum.dobreprogramy.pl/gallery/image_page.php?album_id=20&image_id=5731 co chwila zabiera prawie cały procesor.

Załączam jeszcze raz logi:

OTL: http://www.wklej.org/id/1061001/

Extras: http://www.wklej.org/id/1061002/

Problem powstał, gdy żonka otworzyła linka z facebookowego chata.

Nadal też nie mogę połączyć się ze stronami Avast, Kaspersky, AVG i innymi stronami z oprogramowaniem antywirusowym. Jednak nie wiem, czy obydwa problemy są ze sobą powiązane. Nie mogę też oczywiście zaktualizować Avasta.

Jestem bezradny

Ponadto, oto link do msconfiga i programów uruchamianych przy starcie systemu: http://forum.dobreprogramy.pl/gallery/image_page.php?album_id=20&image_id=5732 Te dwa elementy z katalogu “AppData\Roaming” same się zaznaczają, mimo odznaczenia przeze mnie.

Atis · 8 Czerwiec 2013 16:34

Programy z autostartu widać w logu.

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Dysk przeskanuj Kaspersky Virus Removal Tool:

http://sendfile.pl/7190/setup_11.0.0.12 … _19_02.exe

jasiuniu · 8 Czerwiec 2013 18:58

Raport z usuwania: http://www.wklej.org/id/1061038/

OTL: http://www.wklej.org/id/1061148/

Kaspersky nic nie znalazł, a strony antywirusów…działają

Mam nadzieję, że logi są OK.

Atis · 8 Czerwiec 2013 19:33

Nie widać infekcji. Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania

jasiuniu · 8 Czerwiec 2013 20:05

Atis, nie wiem jak mam dziękować

Na razie nie ma śladu po wirusie.

Dzięki Tobie ponadto przybyło mi ok. 10 GB wolnego miejsca na dysku.

W zamian zapraszam na żurek z ziemniakami i naleśniki z serem :lol: