MarioW87
(Weredzik)
11 Wrzesień 2013 20:28
#1
Cześć,
Aviara wykryła mi trojana w podejrzanym pliku cleanup.bat. Znajdował się on bezpośrednio na dysku C:, podobnie jak 2 pozostałe - cleanup.exe, zip.exe.
Próbowałem usunąć je programem Avenger, jednak niestety po ponownym uruchomieniu okazało się, że pliki ponownie się utworzyły. Podobnie było po zastosowaniu Combofix. Kolega mi doradził, abym więc wszedł w msconfig zakładka uruchamianie, odznaczył wszystko, zastosował zmiany, a później zaznaczył to co ma być uruchomione przy starcie. Po reboocie komputera wyżej wspomnaine pliki nie pokazały się. Nie do końca przekonany jestem czy wszystko jest ok. Prośba, czy moglibyście zobaczyć log z OTLa czy wszystko gra?
Extras: http://www.wklej.org/id/1127816/
OTL: http://www.wklej.org/id/1127819/
Dzięki wielkie z góry
Atis
(Atis)
11 Wrzesień 2013 21:37
#2
Odinstaluj uTorrentControl_v2 Toolbar.
Pobierz i uruchom AdwCleaner Kliknij Scan i później Clean.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - [2013-09-11 21:27:43 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\wglco.sys – (ozjcjh) DRV - [2013-09-11 20:53:45 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\lopsc.sys – (czpiyesj) DRV - [2013-09-11 20:01:12 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\xfinm.sys – (zufmtevg) DRV - [2013-09-11 19:22:39 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\agnte.sys – (bddfgqlp) DRV - [2013-09-11 19:07:10 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\hdbibpk.sys – (ddxbfa) DRV - [2013-09-11 18:27:10 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\ownny.sys – (cfomhr) DRV - [2013-09-11 17:25:30 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\voedrj.sys – (mipn) DRV - [2013-09-11 17:17:10 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\slrii.sys – (bwhqnvvs) DRV - [2013-09-11 17:09:38 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\fjlzq.sys – (kswxea) DRV - [2013-09-11 16:58:56 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] – C:\Windows\SysWOW64\drivers\plqlzk.sys – (fjfdeefu) [2013-08-13 21:38:23 | 000,000,004 | ---- | M] () – C:\Users\Mario\AppData\Roaming\cache.ini :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania
Wklej msconfig i kliknij Skanuj. Pokaż ten log.
MarioW87
(Weredzik)
12 Wrzesień 2013 04:50
#3
Dzięki.
Odinstalowałem uTorrentControl_v2 Toolbar.
Log ze skanowania ADWCleanerem:
http://www.wklej.org/id/1127925/
W OTL wkleiłem skrypt - log z usuwania:
http://www.wklej.org/id/1127926/
Log OTL po czynnościach:
http://www.wklej.org/id/1127927/
Nie do końca rozumiem -
. Jak mam to zrobić?
Atis
(Atis)
12 Wrzesień 2013 08:17
#4
Wklej do okna Własne opcje skanowania / skrypt msconfig i kliknij Skanuj.
Pobierz i uruchom Farbar Recovery Scan Tool 64-Bit Version
Kliknij Scan i pokaż raport FRST i Addition.
MarioW87
(Weredzik)
12 Wrzesień 2013 15:06
#5
Atis
(Atis)
12 Wrzesień 2013 15:26
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\Gizela…\Run: [Twwjzps] - rundll32 “C:\Users\Gizela\AppData\Roaming\olereso.dll”,Uihmi FF SearchPlugin: C:\Users\Mario\AppData\Roaming\Mozilla\Firefox\Profiles\zd1byfvq.default\searchplugins\utorrentcontrolv2-customized-web-search.xml S3 catchme; ??\C:\ComboFix\catchme.sys [x] S0 esjjzf; system32\drivers\hyvb.sys [x] U0 Partizan; system32\drivers\Partizan.sys [x] S3 pfc; system32\drivers\pfc.sys [x] C:\Windows\SysWOW64\Drivers\hyvb.sys C:\Users\Gizela\AppData\Roaming\olereso.dll C:\zip.exe C:\cleanup.exe C:\cleanup.bat
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
MarioW87
(Weredzik)
12 Wrzesień 2013 16:54
#7
Atis
(Atis)
12 Wrzesień 2013 17:21
#8
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
MarioW87
(Weredzik)
12 Wrzesień 2013 17:41
#9
Atis
(Atis)
12 Wrzesień 2013 18:30
#10
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Dr.Web CureIt
MarioW87
(Weredzik)
13 Wrzesień 2013 17:35
#11
Hey,
Przeskanowałem kompa Dr.Web CureIt, potem Avirą jeszcze raz i ani śladu trojana.
Dzięki wielkie za pomoc, jesteś Wielki