LOGI OTL - WIELKI WIRUS BACKDOOR + TROJAN!

Post28 kwie 2013, 21:04

Właśnie ściągam Dr. Web'a, muszę go wypalić czy mogę wyemulować w Deamon Toolsie? Jak już mam wypalać, to mogę zrobić z niego Live USB? Bo CD niezbyt u mnie :/

Tak masz to wypalić. Może być na pendrive.

help3r pisze:Wtrące się , ale do wypalenia Dr.weba na pendriva możesz użyć Yumi , który sam wszystko za ciebie zrobi , potem włączasz ponownie komputer z pendrivem on bootuje i skanujesz kompa.

Może być.

Post29 kwie 2013, 19:37

Hmm, głowiłem się z tym Dr. Web'em i nie mogę go rozkminić... Gdy go bootuję, to klikam na english i po 15-20min nic się nie dzieje... Jest ten ekran "Preparing (coś tam coś tam) Press ALT+F1 for verboose mode" Czy coś takiego....

-- 29 kwi 2013, 13:25 --

@@@ TEMAT PROSZĘ O ZAMKNIĘCIE @@@ ZROBIŁEM FORMAT @@@

-- 29 kwi 2013, 14:31 --

@@@ PROBLEM POWRÓCIŁ! @@@ NIE WIEM Z CZEGO ON SIĘ BIERZE @@@ POMOCY, MOŻE ZESKANOWAĆ TE DANE CO ZGRAŁEM NA PENDRIVE? @@@

-- 29 kwi 2013, 19:37 --

@@@ Pozbyłem się wirusów! @@@

@@@ Teraz są tylko pozostałości po nim :evil:

@@@

Myślę, że da się to naprawić, bo ogarnąłem wirusa, tylko pozostałości po nim są spore

M.in. coś takiego gdy chcę wejść w opcje folderów: "operacja została anulowana ze względu na ograniczenia nałożone na ten komputer"

Post29 kwie 2013, 21:49

@@@ PROBLEM POWRÓCIŁ! @@@ NIE WIEM Z CZEGO ON SIĘ BIERZE @@@ POMOCY, MOŻE ZESKANOWAĆ TE DANE CO ZGRAŁEM NA PENDRIVE? @@@

To może być infekcja plików wykonywalnych.

Myślę, że da się to naprawić, bo ogarnąłem wirusa, tylko pozostałości po nim są spore

Podaj logi to na początek, ale przed nimi wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.

Post30 kwie 2013, 09:30

Nic nie znalazło, aktualnie AVG dobrze się sprawuje (wykrywa te syfy jak by jeszcze raz miały ochotę wejść). Problemów żadnych nie mam na razie, ale wrzucę te logi OTL na zapas.
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników

Post30 kwie 2013, 19:34

"AVG" = AVG 2013

Dostępne tylko dla zarejestrowanych użytkowników. To cienki antywirus.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - prefs.js..network.proxy.backup.ftp: ""
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.socks: "7"
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: "7"
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "7"
FF - prefs.js..network.proxy.ftp_port: 2
FF - prefs.js..network.proxy.http: "7"
FF - prefs.js..network.proxy.http_port: 2
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "7"
FF - prefs.js..network.proxy.socks_port: 2
FF - prefs.js..network.proxy.ssl: "7"
FF - prefs.js..network.proxy.ssl_port: 2
FF - prefs.js..network.proxy.type: 0
[2012-12-08 23:44:58 | 000,157,239 | ---- | M] () (No name found) -- D:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\qnzoiuar.default\extensions\jid0-irAmugmQgdURBSCIFZAcjR8ZQMg@jetpack.xpi
[2013-04-29 14:55:54 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Dane aplikacji\AVG2013
[2013-04-29 14:56:08 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Grzegorz\Dane aplikacji\AVG2013
[2013-04-29 14:55:02 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Grzegorz\Dane aplikacji\TuneUp Software

:Files
D:\WINDOWS\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post30 kwie 2013, 22:52

Dlaczego cienki? Odinstalowałem go, bo jesteś fachowcem, ale chciałbym jakiekolwiek uzasadnienie

Teraz logi normalnie wyskakują, wcześniej najwyraźniej te popaprane wirusy blokowały.

Log:
Dostępne tylko dla zarejestrowanych użytkowników

AutoRuns spakowane w .rar:

Kod: Zaznacz cały

http://speedy.sh/Pmkbv/AutoRuns.rar

Post01 maja 2013, 10:03

Dlaczego cienki? Odinstalowałem go, bo jesteś fachowcem, ale chciałbym jakiekolwiek uzasadnienie

Duże rozgałęzienie w systemie, serwer aktualizacji ma masakryczne bugi, no i dość mała baza sygnatur.

Autoruns.

W Autoruns odznacz, a następnie w trybie awaryjnym usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

0

HKLM\Software\Microsoft\Internet Explorer\Extensions

Windows Messenger

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

ACS

Następnie podajesz nowe logi z OTL.

Post01 maja 2013, 13:31

Jako iż nie miałem AV żadnego wgranego to wziąłem jakiegoś KingSoft AV - podobno na silnikuu Aviry, wgrałem go, a jak chciałem odpalić to była usługa raportowania błędów, a jaśniej, znane "Nie wysyłaj"... Usunąłem wszystko co było file not found, nawet te, które nie były w [b]HKLM\System\CurrentControlSet\Services[b], czy to źle? Bo patrzę, jest tam tego kilka, a ja akurat nie popatrzyłem, że to trzeba tylko w tym kluczu... Za chwilę wejdę w tryb awaryjny i to usunę.

Logi z OTL będą za max. 15min.

PS. Jaki antywirus darmowy polecasz?

Post01 maja 2013, 14:19

PS. Jaki antywirus darmowy polecasz?

Dostępne tylko dla zarejestrowanych użytkowników
Jest w wersji PL, łatwa obsługa, ochrona nie tylko na stronach internetowych ale również ochrona poczty
i komunikatorów.
Do tego zainstaluj Dostępne tylko dla zarejestrowanych użytkowników

Muchy nie powinny siadać na Twoim monitorze a tym bardziej żadne wirusy

Dobrze będzie jak po instalacji podasz nowe logi ponieważ mogło się zostać dużo śmieci po poprzednich programach...

Post01 maja 2013, 14:47

Dobrze będzie jak po instalacji podasz nowe logi ponieważ mogło się zostać dużo śmieci po poprzednich programach...

Zgadzam się. Zainstaluj sobie najpierw oprogramowanie zabezpieczające, a następnie podaj nowe logi z OTL (oba!).

Post01 maja 2013, 15:29

JesteZawirusowany pisze:Usunąłem wszystko co było file not found, nawet te, które nie były w [b]HKLM\System\CurrentControlSet\Services[b], czy to źle?

Spieprzyłem sobie tym system za przeproszeniem

Musiałem formata robić "D:"... Dobrze, że to co ważne miałem na "C:"

. Teraz od nowa ogarniam softy, jak wgram softy i sterowniki to wrzucę logi + nowy autoruns

PS. Właśnie ściągam antywirusa (Avasta)

Post01 maja 2013, 17:52

JesteZawirusowany pisze:
JesteZawirusowany pisze:Usunąłem wszystko co było file not found, nawet te, które nie były w [b]HKLM\System\CurrentControlSet\Services[b], czy to źle?

Spieprzyłem sobie tym system za przeproszeniem Musiałem formata robić "D:"... Dobrze, że to co ważne miałem na "C:" . Teraz od nowa ogarniam softy, jak wgram softy i sterowniki to wrzucę logi + nowy autoruns

PS. Właśnie ściągam antywirusa (Avasta)

No dobrze. No to czekamy nadal.

Post01 maja 2013, 17:59

OTL:

Kod: Zaznacz cały

http://www.wklej.eu/index.php?id=f2826e2fa2

Extras:

Kod: Zaznacz cały

http://wklej.eu/index.php?id=991a533991

AutoRuns:

Kod: Zaznacz cały

http://speedy.sh/eccua/AutoRuns.rar

PS. Możesz mi powiedzieć, jakie usługi wyłączyć dla najlepszej optymalizacji w Windowsie? Chciałbym tylko mieć internet, możliwość odczytywania danych z Pendrive'ów oraz Windows Audio mógłby zostać (bo łatwo mi się reguluje wtedy

)

Post02 maja 2013, 12:05

PS. Możesz mi powiedzieć, jakie usługi wyłączyć dla najlepszej optymalizacji w Windowsie? Chciałbym tylko mieć internet, możliwość odczytywania danych z Pendrive'ów oraz Windows Audio mógłby zostać (bo łatwo mi się reguluje wtedy )

Sugeruję użycie Dostępne tylko dla zarejestrowanych użytkowników, oraz zapoznanie się z Dostępne tylko dla zarejestrowanych użytkowników tematem.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2012-12-08 23:44:58 | 000,157,239 | ---- | M] () (No name found) -- D:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\78g86jar.default\extensions\jid0-irAmugmQgdURBSCIFZAcjR8ZQMg@jetpack.xpi
[2013-02-16 23:21:18 | 000,817,280 | ---- | M] () (No name found) -- D:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\78g86jar.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi

:Files
D:\WINDOWS\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post02 maja 2013, 13:56

Log z usuwania:

Kod: Zaznacz cały

http://www.wklej.eu/index.php?id=371dd470f0

Log z Autoruns:

Kod: Zaznacz cały

http://speedy.sh/kPht3/AutoRuns.rar

PS. Nie wiem czy zauważyłeś, ale w poprzednim moim poście dałem Ci log z AutoRuns (ten świeży :d).