Snajj
24 Listopad 2012 08:36
#1
Cześć,
bardzo proszę o analizę logów. Niestety nie mam uprawnień (komp. służbowy) admina na McAfee-Agenta i nie mogę go wyłączyć. Mam nadzieję, że mimo to uda sie wyczyścić kompa.
http://www.wklej.org/id/878518/
http://www.wklej.org/id/878520/
Z góry dziękuję za pomoc.
Atis
24 Listopad 2012 09:07
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_med … 1347907212 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_med … 1347907212 IE - HKU\S-1-5-21-2506558259-1157833031-76886558-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = http://www.v9.com/?utm_source=b&utm_med … 1347907212 IE - HKU\S-1-5-21-2506558259-1157833031-76886558-500…\SearchScopes${searchCLSID}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-2506558259-1157833031-76886558-500…\SearchScopes{043C5167-00BB-4324-AF7E-62013FAEDACF}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-2506558259-1157833031-76886558-500…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.v9.com/web/?q={searchTerms} IE - HKU\S-1-5-21-2506558259-1157833031-76886558-500…\SearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86}: “URL” = http://search.v9.com/web/?q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “v9” FF - prefs.js…browser.search.order.1: “v9” FF - prefs.js…keyword.URL: “http://startsear.ch/?q= ” [2012-04-25 09:34:03 | 000,001,565 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\yw73xle8.default\searchplugins\web-search.xml [2012-09-17 19:40:13 | 000,000,402 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKU\S-1-5-21-2506558259-1157833031-76886558-500…\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM…\Run: [Adobe ARM] FILES\ADOBE\ARM\1.0\ADOBEARM.EXE" File not found O4 - HKLM…\Run: [AESTFltr] ODLG File not found O4 - HKLM…\Run: [Apoint] T.EXE File not found O4 - HKLM…\Run: [HotKeysCmds] DOWS\SYSTEM32\HKCMD.EXE File not found O4 - HKLM…\Run: [iMSS] STARTUP.EXE" File not found O4 - HKLM…\Run: [intelWireless] TEL WIRELESS TRAY File not found O4 - HKLM…\Run: [intelZeroConfig] \ZCFGSVC.EXE" File not found O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] PR.EXE File not found O4 - HKLM…\Run: [LogMeIn Hamachi Ui] HAMACHI\HAMACHI-2-UI.EXE" --AUTO-START File not found O4 - HKLM…\Run: [McAfeeUpdaterUI] KEY File not found O4 - HKLM…\Run: [MfeEpePcMonitor] ITOR.EXE" File not found O4 - HKLM…\Run: [NVHotkey] VHOTKEY.DLL,START File not found O4 - HKLM…\Run: [Persistence] DOWS\SYSTEM32\IGFXPERS.EXE File not found O4 - HKLM…\Run: [shStatEXE] E File not found O4 - HKLM…\Run: [speedTouch USB Diagnostics] \SPEEDTOUCH USB\DRAGDIAG.EXE" /ICON File not found O4 - HKLM…\Run: [sunJavaUpdateSched] FILES\JAVA\JAVA UPDATE\JUSCHED.EXE" File not found O4 - HKU\S-1-5-21-2506558259-1157833031-76886558-500…\Run: [tycugmuqexys] C:\Documents and Settings\Administrator\tycugmuqexys.exe () [2012-11-23 20:54:24 | 000,035,272 | ---- | M] () – C:\Documents and Settings\Administrator\tycugmuqexys.exe [2009-02-09 11:53:44 | 000,000,000 | -HSD | M] – C:\Documents and Settings\Administrator\Dane aplikacji\34AEDE :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Snajj
24 Listopad 2012 09:47
#3
Raport z usuwania:
http://www.wklej.org/id/878538/
nowy log:
http://www.wklej.org/id/878543/
nowy extras:
http://www.wklej.org/id/878548/
Wydaje mi się, ze nadal nie jest dobrze ponieważ:
Przy uruchamianiu systemu automatycznie otwiera się Folder system32,
Nadal w dotychczasowej lokalizacji znajduje się plik tycugmuqexy tylko już bez rozszerzenia .exe .
Atis
24 Listopad 2012 09:58
#4
Dodatkowo jest trojan ZeroAccess (Sirefef)
Pobierz i uruchom plik FIX:
http://sendfile.pl/236080/FIX.bat
Nie wkleiłeś komendy :OTL
Ponownie wykonaj poprzedni skrypt.
Snajj
24 Listopad 2012 11:42
#5
Teraz chyba zrobiłem wszystko, jak należy. Dadtkowo przeskanowałem FIX.bat.
Raport z usuwania:
http://www.wklej.org/id/878622/
OTL:
http://www.wklej.org/id/878624/
Extras:
http://www.wklej.org/id/878625/
Dzięks!
Atis
24 Listopad 2012 12:23
#6
Pobierz i uruchom plik FIX:
http://sendfile.pl/236078/Fix.bat
Zrestartuj system.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
Snajj
24 Listopad 2012 14:08
#7
Zrobiłem jak napisałeś.
Raport z FSS:
http://www.wklej.org/id/878774/
Atis
24 Listopad 2012 14:40
#8
Pobierz i uruchom ESET ServicesRepair
Później pokaż nowy log z OTL i Farbar Service Scanner.
Snajj
24 Listopad 2012 15:37
#9
Atis
24 Listopad 2012 15:40
#10
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Snajj
24 Listopad 2012 16:10
#11
Ogromne dzięki za pomoc i poświecony czas. Wszystko zrobiłem, nie udało mi się jednak wyłączyć przywracania systemu, pojawił się komunikat, ze system napotkał przeszkodę i nie może odłoczyć jednego lub kilku dysków. Restart kompa nie pomógł.
czy jest jakaś inna opcja aby to wykonać, czy poprostu odpuścić sobie???
Atis
24 Listopad 2012 17:31
#12
Oczyszczanie dysku -> Więcej opcji -> Przywracanie systemu -> Oczyść
http://support.microsoft.com/kb/310312/pl
Usuwanie punktów przywracania Aby usunąć wszystkie punkty przywracania z wyjątkiem najnowszych, wykonaj następujące kroki: 1. Kliknij przycisk Start, a następnie kliknij polecenie Mój komputer. 2. Kliknij prawym przyciskiem myszy dysk, na którym chcesz zwolnić miejsce, a następnie kliknij polecenie Właściwości. 3. Kliknij kartę Ogólne, a następnie kliknij przycisk Oczyszczanie dysku. 4. Kliknij kartę Więcej opcji, a następnie w obszarze Przywracanie systemu kliknij przycisk Oczyść. 5. Kliknij przycisk Tak, aby usunąć wszystkie (z wyjątkiem najnowszych) punkty przywracania. 6. Kliknij przycisk OK, kliknij przycisk Tak, aby kontynuować operację, a następnie kliknij przycisk OK.
Snajj
26 Listopad 2012 18:25
#13
Chciałbym jeszcze na chwilę wrócić do tematu, a mianowicie podejrzewam, że wirus mógł zablokowac mi adres IP. Mam postawioną u siebie gre sieciową, jestem serwerm dla kilku kumpli i dziś w grze zobaczyłem komusnikat że IP jest zablokowany, a kumple nie mogą sie podłączyć. W Hamachi wszysko wygląda OK, może macie jakis pomysł???
