Wirus Weelsof (Ukash)- proszę o pomoc

adrian661 · 24 Lipiec 2012 23:29

Jak u innych kod Ukash nie działa, dodam że regedit nie działa w trybie awaryjnym, daje logi:

OTL:

otl- http://wklej.to/3pos1

extras- http://wklej.to/T3Mtf

RSIT:

info- http://wklej.to/V1p1t

log- http://wklej.to/S3uBh

Atis · 24 Lipiec 2012 23:50

Odinstaluj Spybot - Search & Destroy.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva398.sys – (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva397.sys – (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva394.sys – (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva392.sys – (XDva392) DRV - File not found [Kernel | On_Demand | Stopped] – F:\NTGLM7X.sys – (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] – F:\NTACCESS.sys – (NTACCESS) DRV - File not found [Kernel | On_Demand | Stopped] – F:\install4\MSICPL.sys – (MSICPL) DRV - File not found [Kernel | On_Demand | Stopped] – F:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) O4 - HKLM…\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe () O4 - HKLM…\Run: [kqweygyyqxmtqft] C:\Documents and Settings\All Users\Dane aplikacji\kqweygyy.exe () O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [cdoosoft] C:\Documents and Settings\niewazne\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [kqweygyyqxmtqft] C:\Documents and Settings\All Users\Dane aplikacji\kqweygyy.exe () O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [Tok-Cirrhatus-1992] C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\gry i multimedia\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\niewazne\Menu Start\Programy\Autostart\Empty.pif () O7 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\KesenjanganSosial.exe”) - C:\WINDOWS\KesenjanganSosial.exe () [2012-07-24 20:06:25 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\fdqmgtggqsfsbbs [2012-07-23 11:03:44 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-23 [2012-07-20 11:42:43 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-20 [2012-07-05 21:00:01 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-5 [2012-07-04 12:50:56 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-4 [2012-07-03 11:03:42 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-3 [2012-07-02 10:26:28 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-2 [2012-06-30 10:36:34 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-30 [2012-06-29 07:06:18 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-29 [2012-06-28 21:16:12 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-28 [2012-06-26 10:16:39 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-26 [2012-06-25 16:11:48 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-25 [2012-06-24 08:28:18 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-24 [2012-06-22 15:09:23 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-22 [2012-06-21 14:59:36 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-21 [2012-06-19 14:19:34 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-19 [2012-06-18 18:04:55 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-18 [2012-06-17 20:38:24 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-17 [2012-06-16 15:31:36 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-16 [2012-06-15 18:44:08 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-15 [2012-06-14 15:25:39 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-14 [2012-06-13 15:15:03 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-13 [2012-06-12 12:50:06 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-12 [2012-06-11 15:00:46 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-11 [2012-06-10 10:51:05 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-10 [2012-06-09 12:30:01 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-9 [2012-06-08 14:22:03 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Conduit [2012-06-08 09:49:47 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-8 [2012-06-07 10:11:16 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-7 [2012-06-06 14:12:51 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2012-06-06 14:12:22 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2012-06-06 14:06:46 | 000,000,000 | —D | C] – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-6 :Files autorun.inf /alldrives opdux.exe /alldrives C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji*.exe :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

adrian661 · 25 Lipiec 2012 12:01

Raport z usuwania:

OTL- http://wklej.to/Pb1mE

Log ze skana:

OTL- http://wklej.to/iVwIw

@ aha dodam jeszcze że OTL przeniósł pliki bron.tok’a do swojego folderu (C:_OTL\MOVEDFILES*), i tu jest pytanie czy normalnie mogę to usunąć?

Atis · 25 Lipiec 2012 12:33

Sprzątanie skasuje kwarantannę od OTL.

W poprzednim logu było widać zainfekowane urządzenie podłączone pod USB - G

Zanim ponownie podłączysz użyj Panda USB Vaccine

Wklej i kliknij Wykonaj skrypt:

:OTL O2 - BHO: (no name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found. O2 - BHO: (no name) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [cdoosoft] C:\DOCUME~1\GRYIMU~1\USTAWI~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [Tok-Cirrhatus] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found O4 - HKU\S-1-5-21-1957994488-1343024091-725345543-1003…\Run: [Tok-Cirrhatus-1992] “C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\smss.exe” File not found O31 - SafeBoot: AlternateShell - cmd-brontok.exe [2012-02-25 20:06:47 | 000,000,474 | ---- | M] () – C:\user.js [2012-07-15 14:25:40 | 000,043,403 | ---- | M] () – C:\WINDOWS\System32\cmd-brontok.exe [2012-07-15 14:25:38 | 000,043,403 | ---- | M] () – C:\WINDOWS\System32\gry i multimedia’s Setting.scr [2012-07-15 14:25:38 | 000,043,403 | ---- | M] () – C:\WINDOWS\System32\Administrator’s Setting.scr [2012-07-15 14:25:40 | 000,043,403 | ---- | M] () – C:\WINDOWS\System32\niewazne’s Setting.scr [2012-07-24 21:06:19 | 000,000,051 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\mvmhvyelijkxwca [2012-03-15 15:10:45 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\bProtector [2012-02-26 21:01:20 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\TheBflix [2012-03-07 09:49:51 | 000,012,393 | ---- | C] () – C:\Documents and Settings\niewazne\Ustawienia lokalne\Dane aplikacji\Bron.tok.A15.em.bin :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Wykonaj Pełne skanowanie Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

adrian661 · 25 Lipiec 2012 15:32

Hmm, wszystko zrobiłem i narazie działa sprawnie, zaktualizowałem to co mogłem, usunęłem zagrożenia w MBAM (log: http://wklej.to/bLs9s ) i teraz skanuję dla pewności komputer przy użyciu AVG.

Z góry dziekuję za pomoc !