Wirus(y) blokada stron/log z OTL pomocy!


(Wildred84) #1

Witam!

Niedawno komp zaczal sie dziwnie zachowywac dzialala tylko przegladarka FF,pozniej wyszykiwarka zmienila sie z google na babylon,ogolnie duzo problemow bez mozliwosci wchodzenia na strony antyvir a jesli juz udalo sie sciagnac ktoregos i zainstalowac to i tak nie odpalal.Nie wiedzac juz co robic sformatowalem c:.Po formacie jest lepiej przejechalem go malwarebytes anti-malware i costam znalazl ale nadal jest ten sam problem-nie moge wejsc na strone zadnego producenta oprogramowania antyvir.Z czasem pewnie wszystko zacznie sie sypac jak wczesniej... :/Jak ktos moze to poprosze o jakas pomoc.Ponizej log z OTL:

http://wklej.to/Fo1zI

Jeszcze 1 log po skanie zrobionym zgodnie z instrukcjami w przyklejonym temacie:

http://wklej.to/08G65


(Spandau) #2

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Wildred84) #3

log z usuwania:

http://wklej.to/RhxfM

i kolejny skan:

http://wklej.to/b9C9y

Narazie jest bez zmian :confused:


(Spandau) #4

Wygląda jakby się nie usunęło

Proszę pokazać raport Malwarebytes Uruchom Malwarebytes zakładka Logi - tutaj powinien być zapisany.


(Wildred84) #5

Jest ich kilka:

http://wklej.to/Ybblo

http://wklej.to/IfBT4

http://wklej.to/9rw6V

http://wklej.to/846Xc

http://wklej.to/mjWhU

http://wklej.to/CJeFv

http://wklej.to/aurwB

http://wklej.to/IObLE

http://wklej.to/33Gsx


(Spandau) #6

Dobrze ostatnie podejście z Malwarebytes Uruchom program wykonaj pełny skan Jeśli ponownie to wykryje pokaż raport na forum. Po tym pokaż nowy raport z OTL.txt oraz Extras.txt

Instalowałeś narzędzie do usuwania Confickera http://www.whatsthelatest.net/tutorials ... conficker/ Ponieważ brak raportu Extras.txt nie wiem czy jest jakiś wpis w Dodaj Usuń programy.


(Wildred84) #7

malwarebytes:

http://wklej.to/zPkHH

OTL extras:

http://wklej.to/0gDGv

OTL skan przed chwila:

http://wklej.to/M0yLY

tak-instalowalem noflickera

btw.dziekuje za pomoc :wink:

edit:

Pare minut temu po restarcie kompa malware pokazal to:

http://tinypic.com/view.php?pic=3132dlj&s=7

Kiedy sprobowalem kliknac kwarantanne powiesil sie.Po kolejnych restartach nie pokazywal juz tego.Niewiele myslac usunalem zawartosc katalogu jednak tego pliku tam nie widac(zaznaczona opcja pokaz ukryte pliki).W katalogu zostaly 3 pliki - Perflib_Perfdata_4b0 i 2 podobne-roznia sie jedynie cyframi na koncu.Nie moge ich usunac ani normalnie ani assassinem z malwarebytes.Po kazdym restarcie w tym samym katalogu pojawai sie tez plik z kombinacja liter i rozszerzeniem exe,malware go wykrywa ale ten sie znowu pokazuje i tak w kolko.Z temp usunalem tez DF5BE5.tmp. ktory w google pokazuje sie jako trojan jednak nie moge otworzyc stron z dokladniejszym jego opisem-sa blokowane tak jak strony z antyvirami :confused:

Mam nadzieje ze nie zrobilem nic zle sorry jesli zle po prostu troche mnie ponioslo bo chce sie pozbyc tego shitu,bede czekal na instrukcje.


(Spandau) #8

Tak, bo mamy jeszcze rootkita Będzie potrzebny log Gmera ale na razie wykonaj to

Usuń wszystko co znalazł Malwarebytes

Co się stało z antywirusem GData bo widzę w OTL jego foldery a nie widzę działających usług ani nie ma go na liście Dodaj Usuń Jeśli to pozostałość po nim to proszę usunąć ręcznie przez Shift+Del poniższe foldery

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Wildred84) #9

Pozostalosci po Gdata usuniete,usuniete tez wszystko co wykryl malwarebytes.

OTL:

-usuwanie

http://wklejto.pl/107276

-skan

http://wklejto.pl/107277

-extras

http://wklejto.pl/107278

Po wykonaniu skryptu ktory podales i restarcie kompa na pulpicie pokazal sie OTLmgr.exe .Plik ma taka sama ikonke jak ten z losowa nazwa z katalogu C:\Documents and Settings\konop\Local Settings\Temp i zachowuje sie tak samo.Jesli klikne ppm na podany katalog(plik z losowa nazwa znowu tam jest) lub teraz rowniez na pulpit ,wlacza sie setup driverow do grafiki.

Pulpit-OTLmgr.exe czwarty od konca i uruchomiony setup ATI catalyst control centre:

http://tinypic.pl/xccl9yzae5yw

A tak wyglada C:\Documents and Settings\konop\Local Settings\Temp :

http://tinypic.pl/c1gub4qvcimp


(Spandau) #10

Odinstaluj nonfickera http://www.whatsthelatest.net/tutorials ... conficker/

Pobierz Combofixa instrukcja do przeczytania przed uruchomieniem http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ uruchom dwuklikiem Jak narzędzie skończy pracę zaprezentuj raport na forum


(Wildred84) #11

Tutaj nonfickera nie ma- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost

http://tinypic.pl/tl03dk8qwjc7

tutaj byl i usunalem HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesaaaaanonficker

Za chwile sciagam combofix i podam rezultaty

Combofix za pierwszym razem nie chcial odpalic-wyskoczyl komunikat o braku uprawnien ale za drugim razem juz ok.Updatowal sie +zainstalwalem konsole odzyskiwania.log:

http://wklej.to/MakJU


(Spandau) #12

Najważniejsza część bo jakiś niedowidzący dzisiaj jestem To jest infekcja Ramnit/Nimnul Pobierz Kasperski Virus Removal Tool (podaje link zastępczy) http://hostuje.net/file.php?id=a6a99246 ... e25a302e26 Wykonaj pełny skan Lecz wszystko co znajdzie, czego nie da się wyleczyć usuwasz. Skanujesz tyle razy aż skaner nic nie wykryje.

Następnie ponownie pobierz i uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum


(Wildred84) #13

KVRT juz nic nie wykrywa(po 3 skanach).

OTL:

http://wklej.to/HKESU

http://wklej.to/3jc9I

Dzialaja strony z antyvirami.Cos dalej mam robic czy to wystarczy?


(Spandau) #14

Nagrodą jest czysty system Tak to wygląda Przejdziemy więc do kroków końcowych

Korzystasz z

jeśli tak to zostaw.

Odinstaluj Combofixa

Start - Uruchom - wpisujesz

"c:\documents and settings\konop\Desktop\ComboFix.exe" /uninstall

Usuniemy pozostałości po Kasperskim - rozumie, że został odinstalowany - zresztą słusznie.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Uruchom ponownie OTL klikasz Sprzątanie

Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program


(Wildred84) #15

Korzystam z vshare.Wszystkie instrukcje wykonane.

OTL:

http://wklej.to/mGgZl

Security check:

http://wklej.to/Y6z59

Mozna pytanie na pw?Bo nie do konca dotyczy tego watku.


(Spandau) #16

OTL nie zdołał usunąć sterowników Proszę podać raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr ... 13208.html raport spakuj wrzuć na jakiś hosting a w poście podaj linka do pliku

Tak o ile nie jest to zbyt osobiste pytanie :smiley:


(Wildred84) #17

autoruns nie bardzo ze mna chce rozmawiac:

'autoruns cannot load registry hive software of the selected system root'


(Spandau) #18

Sprawdź czy inne aplikacje działają prawidłowo Ten błąd może oznaczać problemy z rejestrem

Do uaktualnienia obowiązkowo Do instalacji service packa wymagany jest chyba (nie pamiętam) klucz aktywacyjny windows

XP SP3 Internet Explorer 8 (XP)

Jak zainstalujesz SP3 oraz IE8 pobierasz z windows update wszystkie dostępne aktualizacje. Po każdej instalacji sprawdzasz ponownie windows update aż nie będzie tam żadnych nowych aktualizacji To wpłynie chociaż częściowo na bezpieczeństwo twojego komputera

Po tym zabiegu spróbuj ponownie uruchomić Autoruns Jak się uda pokaż raport na forum


(Wildred84) #19

Update zrobiony.

Autoruns:

http://www.fileserve.com/file/7Bgvvex/AutoRuns.arn

Rzucil mi sie w oczy ATIpta czym najlepiej go usunac?Wlacze na noc Malwarebytes i KVRT i zobczymy czy cos wykryje.Nadal jest ten sam problem ze sterownikami grafiki-po kliknieciu ppm naa pulpit:

http://tinypic.pl/xccl9yzae5yw

Kolejna rzecz-znalazlem od cholery pilkow svchost a powinien byc chyba tylko 1 C:\WINDOWS\system32\svchost.exe a w samym system 32 jest ich ilestam,poza tym w c:\windows\servicepackfiles\i386 , c:\i386 ,c:\windows\erdnt\cache

Dotarlem tez tutaj:

http://tinypic.pl/5l560boexznx

W tych katalogach sa kolejne svchost ,chcialem juz usuwac ale mialem nic sam juz nie robic :wink:

Malwarebytes:

http://wklej.to/iVBMP

KVRT znalazl :

virus HEUR:trojan.Win32.Genric

Nie moge dostac sie do katalogu D:\System Volume Information\


(Spandau) #20

Najpierw musi być czysto w systemie. Później przejdziemy do sprzątania

Proszę usunąć to co znalazł Malwarebytes bo wygląda na to że infekcja powraca Mam nadzieje że to tylko pozostałość bo KVRT rejestru nie sprawdza

Rozumie że ten plik znajduje się w tym folderze. To jest folder przywracania systemu Przywracanie systemu powinno zostać wyczyszczone przez odinstalowanie Combofixa ale widać nie zawsze wszystko się usuwa dlatego

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Bardzo dobry opis znajdziesz tutaj również dla XP http://www.fixitpc.pl/topic/5-dezynfekc ... ace-temat/

Wykonaj ponownie pełny skan KVRT usuwasz wszystko co znajdzie Skanujesz tyle razy, aż skaner nic nie znajdzie. Mam nadzieje, że skaner nic nie znajdzie przy pierwszym skanie :slight_smile:

Resztę podam po wykonaniu powyższych czynnności

PS nie jest wszystko zaktualizowane bo nadal masz IE6, ale to na koniec