Logi OTL, TDSS proszę o przejrzenie

Post28 cze 2012, 13:57

Komp ostatnimi czasy bardzo mi muli. Gdybym mogła prosić o pomoc. Mam xp więc nie wiedziałam czy log z tdss czy gmera więc daję oba.

Dostępne tylko dla zarejestrowanych użytkowników gmer 1
Dostępne tylko dla zarejestrowanych użytkowników gmer2
Dostępne tylko dla zarejestrowanych użytkowników otl
Dostępne tylko dla zarejestrowanych użytkowników extras
Dostępne tylko dla zarejestrowanych użytkownikówtdss

Post28 cze 2012, 15:13

"V9Software" = Deinstalator Strony V9

To zbędne oprogramowanie. V9 to śmieć. Odinstaluj to oprogramowanie.

O4 - HKLM..\Run: [TNOD UP] C:\Program Files\TNod User & Password Finder\TNODUP.exe (Tukero[X]Team)
O4 - HKU\S-1-5-21-1844237615-746137067-1606980848-500..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()
O4 - HKU\S-1-5-21-1844237615-746137067-1606980848-500..\Run: [DAEMON Tools Pro Agent] C:\Program Files\DAEMON Tools Pro\DTAgent.exe (DT Soft Ltd)
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

To zbędne wpisy w autostarcie. Zajmę się nimi później.

"E:\mmqdk.pif" = E:\mmqdk.pif:*:Enabled:ipsec
O7 - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

Cóż mamy tu potężną infekcję plików wykonywalnych Sality. Jej usunięcie jest dość trudne, ale na podstawie dostarczonych danych nie powinno tu być problemów. Wykonuj moje polecenia punktowo.

1. Wyczyść punkty przywracania -> Dostępne tylko dla zarejestrowanych użytkowników.
2. Użyj szczepionki -> Dostępne tylko dla zarejestrowanych użytkowników kilkukrotnie, dopóki nic nie będzie znajdował.
3. Pobierz Dr.Web CureIt! -> ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe. Zapisz Go pod losową nazwą i rozszerzeniem (np. bcyw3.com). Wykonuj nim pełne skanowania (przy podłączonych pendrive`ach) dotąd, dopóki nic nie będzie znajdywał. Lecz, co się da resztę usuwaj.

O33 - MountPoints2\{70ce7252-6f7c-11e1-a0d3-eee73c269fa1}\Shell\AutopLAy\cOmManD - "" = E:\xvgop.exe
O33 - MountPoints2\{70ce7252-6f7c-11e1-a0d3-eee73c269fa1}\Shell\AutoRun\command - "" = E:\xvgop.exe
O33 - MountPoints2\{70ce7252-6f7c-11e1-a0d3-eee73c269fa1}\Shell\EXpLOre\cOmmand - "" = E:\xvgop.exe
O33 - MountPoints2\{70ce7252-6f7c-11e1-a0d3-eee73c269fa1}\Shell\opEN\commanD - "" = E:\xvgop.exe

To świadczy o infekcji z pendrive`a. Po wykonaniu powyższych czynności użyj USBFix -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm z opcji Deletion i zaprezentuj otrzymany log.

Logi.

Uruchom OTL w oknie Właśne opcje skanowanie/skrypt wklej:

:OTL

DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={D40BA932-70DE-11E1-A0D6-001372B59DA3}
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes,DefaultScope = {85B5FE04-2DD3-4075-B467-861AA13B73AF}
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes\{85B5FE04-2DD3-4075-B467-861AA13B73AF}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=B8DFDF&pc=B8DF&src=IE-SearchBox
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={D40BA932-70DE-11E1-A0D6-001372B59DA3}
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
O7 - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

:Files
C:\Program Files\Google\Update
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk
C:\Program Files\Temp
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TNOD UP"=-
[HKEY_LOCAL_MACHINE\S-1-5-21-1844237615-746137067-1606980848-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"DAEMON Tools Pro Agent"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj Skrypt. Dajesz log z usuwania + nowe logi z OTL.

Reasumacja.

W razie problemów z którymkolwiek krokiem nie przechodź do następnego. Zatrzymaj się i zadaj pytanie odnośnie Twojego problemu.

Post28 cze 2012, 20:14

usb fix research Dostępne tylko dla zarejestrowanych użytkowników
deletion Dostępne tylko dla zarejestrowanych użytkowników
otl po czyszczeniu Dostępne tylko dla zarejestrowanych użytkowników
nowy log otl Dostępne tylko dla zarejestrowanych użytkowników
extrasy po zrobieniu skana nie wyskakują nie wiem dlaczego. Instrukcje myślę że dobrze to zrobiłam, jak kazałeś.

Post28 cze 2012, 20:27

USBFix.

Odinstaluj.

extrasy po zrobieniu skana nie wyskakują nie wiem dlaczego.

W części -> Rejestr - Skan Dodatkowy nie wybrałaś -> Użyj Filtrowania.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} Dostępne tylko dla zarejestrowanych użytkowników (WUWebControl Class)

:Services
gupdate
gupdatem

:Files
C:\UsbFix
C:\Documents and Settings\Administrator\DoctorWeb
C:\UsbFix_Upload_Me_ZAQ-A452EA12EF9.zip
RECYCLER /alldrives
C:\TDSSKiller.2.7.22.0_28.06.2012_12.26.40_log.txt
C:\TDSSKiller.2.7.22.0_28.06.2012_12.28.37_log.txt
C:\TDSSKiller.2.7.22.0_28.06.2012_12.30.15_log.txt
C:\TDSSKiller.2.7.22.0_28.06.2012_13.55.01_log.txt
C:\UsbFix.txt
E:\Czytaj TO!.txt

:Reg
[HKEY_USERS\S-1-5-21-1844237615-746137067-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"DAEMON Tools Pro Agent"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post28 cze 2012, 21:21

Dostępne tylko dla zarejestrowanych użytkowników z usuwania
Dostępne tylko dla zarejestrowanych użytkowników otl
Dostępne tylko dla zarejestrowanych użytkowników extra

Post29 cze 2012, 13:37

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes,DefaultScope = ${searchCLSID}
IE - HKU\S-1-5-21-1844237615-746137067-1606980848-500\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
RECYCLER /alldrives
C:\WINDOWS\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.