Wirus w systemie


(Katarzyna747) #1

Witam!

Więc dzisiaj popołudniu przy wchodzeniu na pewną stronę wyświetliło mi się ostrzeżenie Avasta, że strona próbuje zainstalować na kompie szkodliwe oprogramowanie. Oczywiście przerwałam połączenie, ale po chwili pojawiły mi się 2 komunikaty, że wykryto trojany. Zaczęłam je usuwać, ale Avast wyświetlił mi, żeby zrobić skanowanie przed rozruchem, więc tak zrobiłam. Usunęłam kilka trojanów. Potem jeszcze raz zrobiłam to skanowanie i wyświetliło mi się dużo informacji o uszkodzonych plikach i znowu trojany i tak w kółko...Zainstalowałam i użyłam kilka razy FlashDisinfectora. Potem przy kolejnym skanowaniu wyszły mi dwa zainfekowane pliki przez Win 32: Trojan-gen, których Avast nie chce usunąć. Te pliki to:

D:\Documents and Settings\Kasia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\LEBA49ET\pdfforgeToolbar[1].msi\Data1.cab\searchsettingsff.dll.E6883502_1789_4249_BEC8_2C5C0A565A43

D:\Documents and Settings\Kasia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\LEBA49ET\pdfforgeToolbar[1].msi\Data1.cab\widgitoolbarff.dll

* u mnie dysk D pełni rolę C

Przeczytałam gdzieś w Internecie, że można zrobić przywracanie systemu, ale nie wiem czy to pomoże w moim przypadku

Liczę na szybką pomoc! !!


([i]DAEMON) #2

Pobierz OTL: http://oldtimer.geekstogo.com/OTL.exe

Instrukcja: http://forum.dobreprogramy.pl/otl-gmer-rsit-dds-inne-instrukcje-t370405.html

Zawartość logów (OTL.txt, Extras.txt) wklej na http://www.wklej.to lub http://www.wklej.org. Linki do logów podaj na forum.


#3

Dodatkowo:

Pokaż log z narzędzia:

GMER

W GMER nic nie zmieniamy tylko wciskamy przycisk "Szukaj" (skan potrwa kilkadziesiąt minut) a po skanie przycisk "Kopiuj".

Przed uruchomieniem powyższego narzędzia odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe to OK).


(Katarzyna747) #4

Dzięki, ale nie wiem czy będę w stanie to zrobić... Odłączyłam kabel sieciowy, bo wirusy bardzo się mnożyły i aktualnie piszę z komputera koleżanki.

Chciałabym na razie wiedzieć, czy mogłabym do usunięcia tego wirusa użyć SDfixa, albo jakiegoś innego programu. Nie wiem tylko czy SDfix może usunąć wirusy, które są w plikach systemowych, bo avast nie chce.


(deFco247) #5

Nie. SDFIx to już narzędzie nierozwijane od kilku lat i do tego aby cokolwiek on usunął konieczne jest uruchomienie systemu w trybie awaryjnym. Tak czy siak na pewno on nie usunie takiej infekcji.

Potrzebne są logi z OTL, a szczególnie z GMER.


([i]DAEMON) #6

Proponował bym jednak podać log z OTL + Gmer.

Zastosuj się do instrukcji podanej powyżej.

Możesz przeskanować Dr. Web jednak wątpię by coś to dało ponieważ pliki mogą być nadpisywane przez infekcję.


(Katarzyna747) #7

Okey, zaczęłam skanować, a czy mogę puścić naraz OTL i GMER??


(deFco247) #8

Lepiej nie.


(Katarzyna747) #9

Hej, bo zaczęły mi wyskakiwać komunikaty o treści

Hidden connection IP: 128.154.26.11

Target: Microsoft Corporation Keys

Ktoś na mnie przeprowadza jakies ataki???? !!

Mam wyłączyć kabel sieciowy??

-- Dodane 23.08.2010 (Pn) 14:13 --

Okey, sprawdziłam ten numer IP - należy do NASA :slight_smile:

Z tego, co czytałam to program, który mi to wyświetla robi to specjalnie, żeby kupić pełne oprogramowanie, nazywa się My Seciurity Shield

-- Dodane 23.08.2010 (Pn) 14:14 --

Logi z GMER:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-08-23 14:13:35

Windows 5.1.2600 Dodatek Service Pack 2

Running: k37st1wm.exe; Driver: D:\DOCUME~1\Kasia\USTAWI~1\Temp\ugwdrfoc.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB95F96B8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB95F9574]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB95F9A52]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB95F914C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB95F964E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB95F908C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB95F90F0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB95F976E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB95F972E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB95F98AE]

---- User code sections - GMER 1.0.15 ----

.text D:\Program Files\Mozilla Firefox\plugin-container.exe[1532] USER32.dll!TrackPopupMenu 77D84F16 5 Bytes JMP 1044721D D:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

.text D:\Program Files\Mozilla Firefox\firefox.exe[2596] ntdll.dll!LdrLoadDll 7C915CBB 5 Bytes JMP 004013F0 D:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT D:\WINDOWS\system32\services.exe[904] @ D:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003C0002

IAT D:\WINDOWS\system32\services.exe[904] @ D:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003C0000

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

-- Dodane 23.08.2010 (Pn) 14:25 --

Logi z OTL:

http://wklej.to/9mJj

http://wklej.to/Dcgy

Teraz czekam na Waszą pomoc;)


(deFco247) #10

Zastosuj się do tego: http://www.bleepingcomputer.com/virus-r ... ity-shield

Następnie pokaż raport z usuwania MBAM oraz nowe logi z OTL i GMER.


([i]DAEMON) #11

Dodatkowo podepnij wszystkie pamięci masowe (pendrive, karta flash) do komputera i użyj narzędzia UsbFix naciskająć listing. Podaj logi na forum.


(Katarzyna747) #12

Okey, postaram się to zrobić;] Powiedzcie mi tylko, czy to My Security Shield to jedyny wirus, czy są jakieś jeszcze i co z tymi trojanami, których wcześniej nie mógł usunąć Avast??

-- Dodane 23.08.2010 (Pn) 22:33 --

Raport z usuwania MBAM:

http://wklej.to/lbr5

Chyba się udało, bo Avast działa;]

-- Dodane 24.08.2010 (Wt) 0:05 --

Log z GMER:

http://wklej.to/Hi2s

Logi z OTL:

http://wklej.to/kiEj

http://wklej.to/aC42


([i]DAEMON) #13

W Custom Scans/Fixes wklej:

:OTL

O4 - HKLM..\Run: [zzGBK] F:\Setup.exe File not found

O32 - AutoRun File - [2010-08-19 17:43:17 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-08-19 17:43:18 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [FAT32]

O32 - AutoRun File - [2002-09-12 10:04:54 | 000,000,046 | R--- | M] () - E:\autorun.inf -- [NTFS]


:Commands

[resethosts]

[emptytemp]

Następnie naciśnij Runfix/Wykonaj skrypt.

Zaktualizuj Java 6 Update 17 do Update 21.

Dodaj lub usuń programy->odinstaluj pdfforge Toolbar v1.1.2

Dodatkowo podepnij wszystkie pamięci masowe (pendrive, karta flash) do komputera i użyj narzędzia UsbFix naciskająć listing. Podaj logi na forum.


(Katarzyna747) #14

Raport OTL z tego skryptu, co kazałeś zrobić:

http://wklej.to/Gdth

Odinstalowałam pdfforge Toolbar i zaktualizowałam Jave.

Log z UsbFix:

http://wklej.to/ajJx

GMER:

http://wklej.to/WUS7

OTL:

http://wklej.to/jsSA

http://wklej.to/dzWN

-- Dodane 24.08.2010 (Wt) 11:50 --

Oprócz tego zaktualizowałam Avasta do 5,0 bo miałam 4,8 :oops:

-- Dodane 24.08.2010 (Wt) 12:36 --

Sprawdźcie proszę logi, czy mam jakieś wirusy!!

-- Dodane 24.08.2010 (Wt) 16:09 --

Dlaczego w tym miejscu logu z USBfix dalej jest napisane My Security Shield???? Wydawało mi się, że już to usunęłąm


([i]DAEMON) #15

W Custom Scans/Fixes wklej:

:OTL

O4 - HKU\S-1-5-21-746137067-73586283-682003330-1004..\Run: [ares] D:\Program Files\Ares\Ares.exe File not found

[2010-08-19 21:23:33 | 000,000,000 | -HSD | M] -- D:\Documents and Settings\All Users\Dane aplikacji\MSFIYLS

[2010-08-19 21:23:33 | 000,000,000 | -HSD | M] -- D:\Documents and Settings\All Users\Dane aplikacji\4ca100e


:Files

C:\autorun.inf

D:\autorun.inf


:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"D:\Documents and Settings\All Users\Dane aplikacji\4ca100e\MS4ca1_2121.exe"=-


:Commands

[emptytemp]

[reboot]

Następnie naciśnij Runfix/Wykonaj skrypt.

Podaj log z usuwania i nowy log z OTL.

Dla dokładności przeskanuj jeszcze raz system MBAM. Pamiętaj o aktualizacji baz.


(Katarzyna747) #16

Log z usuwania:

http://wklej.to/iHDr

OTL:

http://wklej.to/5yTP

http://wklej.to/YISH

MBAMem juz skanowałam kilka razy i nigdy nic nie wychodzi, ale gdy włączam USBfix Listing to My Security Shield dalej się pokazuje:

http://wklej.to/0FeY


(deFco247) #17

W logach nie widzę już niczego na usuwanie, więc nie wiem skąd to może się dalej brać.

Na wszelki wypadek wyłącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

Przeskanuj się Dr.Web CureIt.

Przede wszystkim jednak siedzisz na przestarzałym, nieaktualizowanym systemie:

Windows XP SP2 nie jest już oficjalnie wspierany, więc żeby nie siedzieć na bombie wypadałoby zainstalować Service Pack 3.

Instalacja Internet Explorer 8 również jest obowiązkowa nawet, gdy się go nie używa.


(Asaka86) #18

proszę o pomoc, kliknelam na strone 3 city media i wyskoczyly mi rozne trojany i inne i nie moge sie ich pozbyc, mam avast ale nic nie daje, zainstalowalam trojan remover ale tez slabo.

Podaje link do OTL

http://wklej.to/6RhRy

Pozdr

Asaka86


(Acorus) #19

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt..Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.


(Asaka86) #20

Witam,

Wielkie dzieki za odzew. Wlaśnie stosuje się do Twoich wskazówek i mam nadzieje ze pozbędę się tego badziewia..:slight_smile:

Tu raport z usuwania:

http://wklej.to/82A95

Właśnie ponownie skanuje kompa tym OTL. Nie wiedzialam czy teraz tam cos w te wlasne opcje skanowania wklejac czy juz nie i w sumie nic nie wklejalam, dobrze?

Tu raport:

http://wklej.to/IPwSM

Pozdrawiam

asaka86

-- Dodane 20.03.2011 (N) 13:26 --

Muszę przyznac (nie zapeszajac) ze na razie przez pare minut spokoj - zadnego wyskakujacego okienka :smiley: