Zablokowane strony antywirusów i microsoftu

krzysiek9375 · 12 Grudzień 2012 13:24

Witam. Do dzis myslalem, ze to dostawca internetu blokuje mi strony antywirusow, skanerow online, microsoftu itp. Okazalo sie, ze oni nie maja z tym nic wspolnego. Zrobilem skan OLT: http://wklej.org/id/895013/, http://wklej.org/id/895017/. Co jest nie tak?

Atis · 12 Grudzień 2012 13:33

Odinstaluj:

Spybot - Search & Destroy

Pazera Toolbar

Softonic toolbar on IE

Skaner on-line mks_vir

Akamai NetSession Interface Service

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (sdhab) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (nyjzzbxkv) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (mrvbdpsl) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (lefuw) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (krgmx) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (iqvnor) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva389.sys – (XDva389) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva380.sys – (XDva380) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva375.sys – (XDva375) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\06.tmp – (gkmpwkxam) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – E:\Programy\MediaCoder\SysInfo.sys – (CrystalSysInfo) O4 - HKLM…\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd File not found O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found O32 - AutoRun File - [2004-08-03 23:44:02 | 000,095,034 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2004-08-03 23:44:02 | 000,095,034 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2004-08-03 23:44:02 | 000,095,034 | RHS- | M] () - F:\autorun.inf – [NTFS] :Files RECYCLER /alldrives :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “5279:TCP”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

krzysiek9375 · 12 Grudzień 2012 15:04

Po uzyciu opcji “usun” w AdwCleanerze taki dokument sie wyswielil: http://wklej.org/id/895125/. Po skopiowaniu tego dlugiego skryptu do OLT takie cos: http://wklej.org/id/895128/. A ten log: http://wklej.org/id/895131/. Wlasnie zostalem zhackowany w pewnej grze MMO, wiec mam pewnosc, ze na kompie cos jest ;/

edit. ten ostatni log nie dalem skanuj tylko wykonaj skrypt. Tu jest po skanowaniu: http://wklej.org/id/895135/

Atis · 12 Grudzień 2012 15:08

Czytaj uważnie odpowiedzi.

Wklej do OTL i kliknij Skanuj :

Pokaż ten log.

krzysiek9375 · 12 Grudzień 2012 15:09

Tu jest po skanowaniu: http://wklej.org/id/895135/

Atis · 12 Grudzień 2012 15:21

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKU\S-1-5-21-796845957-1637723038-1801674531-1004…\SearchScopes{c591090f-599d-4169-a768-1ee6160e7dca}: “URL” = http://search.freecause.com/search?ourm … e=63263&p={searchTerms} FF - prefs.js…browser.search.defaultenginename: “v9” FF - prefs.js…browser.search.defaultthis.engineName: “Hotspot Shield Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chromesbox-en-us” FF - prefs.js…browser.search.order.1: “v9” FF - prefs.js…extensions.enabledAddons: ffxtlbra@softonic.com:1.6.0 FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.6.6.100006 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=SP_&q={searchTerms}&mntrId=e00a82f50000000000000013d48c891c&tlver=1.4.35.10&” FF - prefs.js…browser.startup.homepage: “http://www.v9.com/?utm_source=b&utm_medium=idg2&from=idg2&uid=ST3500418AS_9VM36CHT____9VM36CHT&ts=1353344952” [2010-11-30 20:19:29 | 000,000,000 | —D | M] (AOL Toolbar) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions{7affbfae-c4e2-4915-8c0f-00fa3ec610a1} [2010-11-30 20:19:29 | 000,000,000 | —D | M] (Hotspot Shield Toolbar) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions{c95a4e8e-816d-4655-8c79-d736da1adb6d} [2011-08-26 19:52:22 | 000,000,000 | —D | M] (DealPly) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2010-11-30 20:19:32 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions\DTToolbar@toolbarnet.com [2012-08-25 18:18:28 | 000,000,000 | —D | M] (softonic.com) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions\ffxtlbra@softonic.com [2011-08-19 11:13:08 | 000,000,000 | —D | M] (“Ask Toolbar”) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions\toolbar@ask.com [2010-06-21 16:00:07 | 000,002,285 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\aol-search.xml [2009-07-01 14:20:48 | 000,000,890 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\conduit.xml [2010-07-26 13:50:39 | 000,002,059 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\daemon-search.xml [2009-12-17 16:53:09 | 000,000,362 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\winamp-search.xml O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class) NetSvcs: iqvnor - File not found NetSvcs: nyjzzbxkv - File not found NetSvcs: mrvbdpsl - File not found NetSvcs: krgmx - File not found NetSvcs: lefuw - File not found NetSvcs: sdhab - File not found :Files rd /s /q C:\RECYCLER /c rd /s /q D:\RECYCLER /c rd /s /q E:\RECYCLER /c rd /s /q F:\RECYCLER /c C:\autorun.inf D:\autorun.inf F:\autorun.inf E:\krwyrv0d.exe F:\krwyrv0d.exe RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj :

Pokaż ten log.

krzysiek9375 · 12 Grudzień 2012 15:35

Po wykonaniu skryptu: http://wklej.org/id/895154/. Po skanowaniu: http://wklej.org/id/895158/.

Atis · 12 Grudzień 2012 15:53

Przeskanuj Dr.WEB CureIt i napisz czy coś wykrył.

krzysiek9375 · 12 Grudzień 2012 16:40

Przeskanowalem szybkim skanem i:

Przetestowane: 12426

Zainfekowane: 765

Wyleczone: 765

Przeniesione: 3

Reszta 0.

Atis · 12 Grudzień 2012 16:56

Jaka jest nazwa tego wirusa?

Wklej i kliknij Wykonaj skrypt:

Pokaż nowy log Skanuj:

krzysiek9375 · 12 Grudzień 2012 17:11

Byly w obiektach naprawde roznych, nawet w paincie bylo cos. Zdecydowana wiekszosc miala status Win32.Virut.31, ale byly chyba tam jakies inne. Po skrypcie: http://wklej.org/id/895253/. Po skanie: http://wklej.org/id/895268/.

Dodam, ze moge juz wchodzic na strony o ktorych wspominalem.

Atis · 12 Grudzień 2012 17:23

Virut infekuje pliki wykonywalne (exe, scr, dll) na wszystkich partycjach.

Podłączałeś zainfekowane urządzenia pod USB.

Zabezpiecz się przed infekcją i wybierz linki bezpośrednie: Panda USB Vaccine

Uruchom program i kliknij Vaccinate

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Dysk przeskanuj za pomocą VirutKiller

Wykonaj Pełne skanowanie za pomocą Dr.WEB CureIt:

http://wstaw.org/m/2012/12/03/cureit.png

Później utwórz nowy log z OTL.

krzysiek9375 · 12 Grudzień 2012 20:31

Wszystko bylo dobrze dopoki nie zaczalem skanowac pelnym skanem za pomoca dr. web. Po 1,5h skanowania wyskoczyl blad cos w stylu “wystapil blad z (chyba) aplikacja f7bf1_xp.exe i zostanie ona zamknieta”. Zanim wyskoczyl ten blad to znalazlo mi ok 300 nowych wirusow, a to bylo dopiero jakies 20%. Wsrod tych wirusow byly tak jak przedtem Win32.Virut.31 (wiekszosc) + Trojan.Click2.2009, Trojan.Siggen3.40028 i Win32.HLLW.Shadow.based. Skan OTL: http://wklej.org/id/895590/.

Atis · 12 Grudzień 2012 20:40

Musisz skanować do skutku lub formatować dysk.

Tego wirusa mogą usunąć tylko skanery.

Pamiętaj, że masz zainfekowane urządzenia podłączane pod USB - J

Kaspersky Virus Removal Tool 2011

W zakładce Scan scope zaznacz wszystkie dyski:

Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?

Najlepiej utwórz bootowany pendrive z skanerem.

Dr.Web LiveUSB:

http://www.freedrweb.com/liveusb/?lng=en

krzysiek9375 · 12 Grudzień 2012 20:48

Patrze na moj komputer i nie mam dysku J. C to systemowy, D, E, F to uzytkowe, a G, H, I to stacje dyskow. Nie ma J. Pod USB mam podpieta myszke i klawiature tylko. Sciagam tego Kaspersky Virus Removal Tool 2011.

Atis · 12 Grudzień 2012 20:50

Dysk J to prawdopodobnie był jakiś nośnik podłączony pod USB, pendrive, karta pamięci itp.

Obecnie ten nośnik nie jest podłączony do komputera.

krzysiek9375 · 12 Grudzień 2012 20:54

Podlaczalem pendrive swoj, ktos z rodziny napewno tez podlaczal. Oprocz tego telefon podpinalem. Zeby usunac z takiego nosnika to musze go podlaczyc i zeskanowac dr. web’em albo tym kasperkym Kaspersky Virus Removal Tool 2011?

Atis · 12 Grudzień 2012 21:08

Przede wszystkim musisz w Panda USB użyć opcji Vaccinate computer.

Gdy podłączysz to wklej do OTL i kliknij Wykonaj skrypt:

Oczywiście możesz dodatkowo przeskanować ten nośnik.

W przypadku takich wirusów najlepiej używać skanerów typu Dr.Web LiveUSB:

http://www.freedrweb.com/liveusb/?lng=en

Za pomocą bootowalnego pendrive można uruchomić komputer i przeskanować dysk.

Taki pendrive musisz przygotować na komputerze który nie jest zainfekowany.

krzysiek9375 · 12 Grudzień 2012 21:41

Dalem to vaccinate computer. Podlaczylem pendrive’a i wykonalem ten skrypt: http://wklej.org/id/895655/

Atis · 12 Grudzień 2012 21:50

Nie można usunąć folderów kosza Recycler, może dlatego, że wirus cały czas jest aktywny.

Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

Pokaż ten log.