Tibioman
(Jan Rak)
14 Listopad 2012 22:11
#1
wirus paysafecard
witam
mam problem jak wiele osób na forum…związany z wirusem paysafecard(Cyberprzestępczość, POLICJA)
Proszę o pilną pomoc! zainfekowany komputer wykorzystuję do prowadzenia firmy.
Zaznaczę ze potrzebuję wskazówki krok po kroku ponieważ przyznam się, jestem laikiem w dziedzinie komputeryzacji.
OTL- http://wklej.org/id/871008/
Extras- http://wklej.org/id/871012/
Atis
(Atis)
14 Listopad 2012 22:50
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbdev.sys – (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\DRIVERS\COMFiltr.sys – (ComFiltr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\adiusbaw.sys – (adiusbaw) DRV - File not found [Kernel | Auto | Stopped] – System32\Drivers\adildr.sys – (ADILOADER) IE - HKCU…\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found IE - HKCU…\SearchScopes{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: “URL” = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Web Search…” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.0 [2009-07-22 08:33:03 | 000,000,000 | —D | M] (BearShare MediaBar) – C:\Program Files\Mozilla Firefox\extensions{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} O3 - HKLM…\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” File not found O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause File not found O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - Startup: C:\Documents and Settings\Waldex\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation) O9 - Extra ‘Tools’ menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shoc … tor/sw.cab (Reg Error: Key error.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s … wflash.cab (Reg Error: Key error.) [2012-11-13 22:03:44 | 000,033,280 | ---- | C] (Microsoft Corporation) – C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe [2012-11-14 00:52:50 | 000,805,861 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad [2012-11-13 22:03:52 | 000,001,038 | ---- | M] () – C:\Documents and Settings\Waldex\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Tibioman
(Jan Rak)
15 Listopad 2012 18:09
#3
kurcze po usuwaniu (wykonaj skrypt i restarcie kompa) nie wyskoczył mi raport usuwania ;/
kolejny skan:
OTL: http://wklej.org/id/871642/
Extras: http://wklej.org/id/871648/
Tibioman
(Jan Rak)
15 Listopad 2012 23:19
#5
aha, tak więc rozumiem że muszę zaznaczyć wszędzie Użyj filtrowania oraz opcje Wszyscy użytkownicy, Infekcja LOP, Infekcja Purity i wtedy przeprowadzić skan??
Przepraszam za brak profesjonalizmu, ale jak wspomniałem na początku jestem kompletnym laikiem w tej dziedzinie…
Atis
(Atis)
15 Listopad 2012 23:37
#6
Wystarczy, że uruchomisz OTL i nie będziesz zmieniał żadnych ustawień.
Domyślne ustawienia po uruchomieniu są prawidłowe.
Tibioman
(Jan Rak)
16 Listopad 2012 18:12
#7
dokonałem skanu zgodnie z informacjami z podanego linka ( analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741 )
OTL-http://wklej.org/id/872419/
Extras- http://wklej.org/id/872420/
Może w końcu się uda, bo już nerwy mi puszczają przy tym zafajdanym wirusie…
Atis
(Atis)
16 Listopad 2012 18:43
#8
Uruchom system w trybie awaryjnym i wtedy wykonaj skrypt:
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
https://support.kaspersky.com/pl/faq?SS … 3238595#q1
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\DRIVERS\COMFiltr.sys – (ComFiltr) O3 - HKU\S-1-5-21-789336058-764733703-725345543-1004…\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” File not found O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause File not found O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - Startup: C:\Documents and Settings\Waldex\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\Waldex\Menu Start\Programy\Autostart\ctfmon.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Tibioman
(Jan Rak)
16 Listopad 2012 20:45
#9
Działa! oczywiście jak narazie
Wielkie dzięki
Raport: http://www.wklej.org/id/872559/
OTL: http://www.wklej.org/id/872560/
Extras: http://www.wklej.org/id/872561/
Jeżeli widział by ktoś w tych raportach i skanach jakiś inne problemy, proszę o info o co chodzi i jak sobie z tym mam poradzić
Atis
(Atis)
16 Listopad 2012 21:13
#10
Tibioman
Odinstaluj MediaBar 2.0.
DRV - [2003-09-04 17:05:00 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] – C:\WINDOWS\system32\drivers\wg3n.sys – (wg3n) DRV - [2003-09-04 17:05:00 | 000,055,888 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\Teefer.sys – (Teefer) DRV - [2003-09-04 17:05:00 | 000,018,515 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\wpsdrvnt.sys – (wpsdrvnt)
Nie widać Sygate Firewall na liście zainstalowanych programów.
Sprawdź czy we właściwościach połączenia sieciowego są sterowniki od Sygate.
To połączenie wykorzystuje następujące składniki.
Jeżeli będą sterowniki to odinstaluj.
Kliknij prawym na Mój Komputer -> Zarządzaj -> Menedżer Urządzeń
W menu Widok zaznacz Pokaż ukryte urządzenia
Rozwiń gałąź Sterowniki niezgodne z Plug and Play i odinstaluj:
Teefer
wpsdrvnt
wg3n
Kliknij prawym i wybierz Odinstaluj.
Później pokaż nowy log z OTL.