LOGI OTL - WIELKI WIRUS BACKDOOR + TROJAN!

Post28 kwie 2013, 13:48

extras:
Dostępne tylko dla zarejestrowanych użytkowników
otl:
Dostępne tylko dla zarejestrowanych użytkowników

POMOCY!

Post28 kwie 2013, 14:33

Podawanie Logów.

Logi podawaj poprzez Dostępne tylko dla zarejestrowanych użytkowników.

Komentarz.

Mamy tu kilka infekcji. Między innymi taką, która trwa już od pół roku! Jednakże możesz być spokojny

. Poradzę sobie z tym dziadostwem całym

.

"{4FFBB818-B13C-11E0-931D-B2664824019B}_is1" = Complitly
"{7216871F-869E-437C-B9BF-2A13F2DCE63F}_is1" = Auslogics BoostSpeed
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{7E052F74-10A7-42E7-84EB-01C172F5AB5D}" = SlimDrivers
"UnityWebPlayer" = Unity Web Player
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ar5211.sys -- (AR5211)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.useDBForOrder: "false"
FF - prefs.js..network.proxy.backup.ftp: "7"
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.socks: "7"
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: "7"
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "7"
FF - prefs.js..network.proxy.ftp_port: 2
FF - prefs.js..network.proxy.http: "7"
FF - prefs.js..network.proxy.http_port: 2
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "7"
FF - prefs.js..network.proxy.socks_port: 2
FF - prefs.js..network.proxy.ssl: "7"
FF - prefs.js..network.proxy.ssl_port: 2
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
[2012-12-08 23:44:57 | 000,157,239 | ---- | M] () (No name found) -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\f5r6vs9d.default-1354060050203\extensions\jid0-irAmugmQgdURBSCIFZAcjR8ZQMg@jetpack.xpi
[2013-02-16 23:21:17 | 000,817,280 | ---- | M] () (No name found) -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\f5r6vs9d.default-1354060050203\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-12-12 14:57:43 | 000,016,192 | ---- | M] () (No name found) -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\f5r6vs9d.default-1354060050203\extensions\{dd3d7613-0246-469d-bc65-2a3cc1668adc}.xpi
[2013-03-18 00:47:00 | 000,003,391 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()
O4 - HKU\S-1-5-21-1715567821-1677128483-839522115-1003..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - Startup: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Autostart\Empty.pif ()
O7 - HKU\S-1-5-21-1715567821-1677128483-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra Button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9 - Extra Button: &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} Dostępne tylko dla zarejestrowanych użytkowników (WUWebControl Class)
[2013-04-27 10:24:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-27
[2013-04-26 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-26
[2013-04-25 00:00:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-25
[2013-04-24 13:08:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
[2013-04-24 13:07:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok
[2013-04-24 13:02:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-24
[2013-04-15 19:13:47 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2013-04-15 01:40:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2013-04-15 01:33:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Uniblue
[2013-04-15 01:11:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\SlimWare Utilities Inc
[2013-04-15 01:11:39 | 000,000,000 | ---D | C] -- C:\Program Files\SlimDrivers
[2013-04-15 00:45:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Moje dokumenty\My Drivers
[2013-03-30 01:13:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Auslogics
[2013-03-30 01:12:55 | 000,000,000 | ---D | C] -- C:\Program Files\Auslogics
[2013-04-27 10:54:21 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin
[2013-04-27 10:42:03 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2013-04-27 10:34:45 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Grzegorz\Pulpit\kdsyhf8734.scr
[2012-11-08 00:40:10 | 000,042,687 | -H-- | C] () -- C:\WINDOWS\eksplorasi.exe
[2012-11-08 00:40:10 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\winlogon.exe
[2012-11-08 00:40:10 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\smss.exe
[2012-11-08 00:40:10 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\services.exe
[2012-11-08 00:40:10 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\lsass.exe
[2012-11-08 00:40:10 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
[2012-11-08 00:40:10 | 000,042,687 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\csrss.exe
[2012-08-09 09:40:32 | 000,065,576 | ---- | C] () -- C:\WINDOWS\System32\bdmpegv.dll
[2012-08-09 09:40:28 | 000,022,560 | ---- | C] () -- C:\WINDOWS\System32\bdmjpeg.dll
[2012-11-17 17:42:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Pro
[2013-04-05 00:50:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP
[2013-02-13 13:03:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software
[2013-03-30 01:29:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Auslogics
[2012-11-20 16:26:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\AVG
[2012-12-05 01:10:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\AVG Secure Search
[2012-11-17 15:02:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\.mineshaftersquared
[2013-03-18 00:46:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Complitly
[2013-02-10 22:59:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\TuneUp Software
[2013-04-05 15:06:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzegorz\Dane aplikacji\Unity
[2013-02-13 13:03:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Test\Dane aplikacji\TuneUp Software
[2013-02-13 13:03:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\UpdatusUser\Dane aplikacji\TuneUp Software
[2012-11-18 12:56:15 | 000,081,938 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Dane aplikacji\.mineshaftersquaredminecraft.jar
[2012-11-18 12:56:15 | 000,076,964 | ---- | C] () -- C:\Documents and Settings\Grzegorz\Dane aplikacji\.mineshaftersquaredminecraft_modified.jar
@Alternate Data Stream - 819157 bytes -> C:\WINDOWS\Temp:temp
@Alternate Data Stream - 189 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:07BF512B
@Alternate Data Stream - 155 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0B4227B4

:Services
gupdate
gupdatem

:Files
C:\WINDOWS\tasks\*.*
C:\Program Files\Google\Update
C:\WINDOWS\System32\drivers\etc\hosts.ics
C:\*.reg
C:\Documents and Settings\Grzegorz\Dane aplikacji\update.jar
C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z Combofix + log z TDSSKiller + nowe logi z OTL.

Post28 kwie 2013, 15:52

Ok, ADW:
Dostępne tylko dla zarejestrowanych użytkowników
TDSS:
Dostępne tylko dla zarejestrowanych użytkowników

@ComboFix

Będzie za chwilkę (prawdopodobnie (bo były problemy ze ściągnięciem, komputer się restartował, miałem to samo z OTL'em, ale kolega z innego forum dał mi go z końcówką *.scr)).

@Edit

Nie dam rady wrzucić logów z ComboFix'a. Komputer się uruchamia ponownie podczas instalacji... Nie ma tego w wersji portable czy coś? :cry:

Post28 kwie 2013, 17:29

OTL.

A co ze skryptem? Nie widzę żebyś go wykonał... Trzymaj się kolejności jaką podałem.

ADWCleaner.

Odinstaluj.

Będzie za chwilkę (prawdopodobnie (bo były problemy ze ściągnięciem, komputer się restartował, miałem to samo z OTL'em, ale kolega z innego forum dał mi go z końcówką *.scr)).

Jeśli temat w jakikolwiek sposób kontynuowany jest gdzie indziej to proszę o informację.

Nie dam rady wrzucić logów z ComboFix'a. Komputer się uruchamia ponownie podczas instalacji... Nie ma tego w wersji portable czy coś?

Wrócimy do tego, jak wykonasz instrukcję od początku, tak jak podałem przedtem.

Post28 kwie 2013, 17:45

@Świeży OTL + Extras po skrypcie (właśnie go robiłem, miałem dać edit, a tu ciach i dałeś posta

):
OTL
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników

@Po wykonaniu skryptu też się restartuje.
@Dograłem sobie przed chwilą GameFirst Live! (do ściągnięcia APB) więc nie proś mnie o usunięcie go.

Czyli mam wszystko od nowa wykonać?

Post28 kwie 2013, 17:56

@Po wykonaniu skryptu też się restartuje.

No, bo po wykonaniu skryptu ma nastąpić restart, po którym pokazuje się log z usuwania, który dajesz na forum.

Podsumowanie.

Dopóki czegoś nie wykonasz, nie idź dalej. Innymi słowy teraz, wykonujesz skrypt, dajesz log z usuwania i przechodzisz do Combofix`a.

Post28 kwie 2013, 18:05

Zaraz, zaraz. Bo my się chyba nie rozumiemy, mam dać Ci log po restarcie, po wykonaniu skryptu z OTL? Bo żadnego nie dostałem :shock:

Po ADW, owszem, był po restarcie.

TDSS, dałem.

Świeże OTL również są.

Jak już pisałem, ten wirus blokuje mi odpalanie np. ComboFix.exe
Blokuje mi też wejście do regedit w "uruchom"...

Tutaj screen z autostartu, jak odznaczam to, to nadal się włącza (bo się samo zaznacza :woot:

)
Dostępne tylko dla zarejestrowanych użytkowników
Oczywiście ten wirus jest taki "pro", że jak włączam "Pokazuj ukryte foldery i pliki" to on przestawia sam na "Nie pokazuj ukrytych folderów i plików*"...

Post28 kwie 2013, 18:08

Zaraz, zaraz. Bo my się chyba nie rozumiemy, mam dać Ci log po restarcie, po wykonaniu skryptu z OTL? Bo żadnego nie dostałem

A powinieneś. Wykonaj skrypt ponownie. Zobaczymy co się tam zrobiło, a co nie.

Jak już pisałem, ten wirus blokuje mi odpalanie np. ComboFix.exe

Spróbuj uruchomić Go w trybie awaryjnym.

Post28 kwie 2013, 18:21

Nic z tego, żadnego logu nie dostaję po restarcie.

Może on się gdzieś indziej zapisuje niż na pulpicie? Bo ten OTL mam na pulpicie i OTL + Extras tam wyskoczyły.

@EDIT

Dodam, że na sekundkę przed restartem wyskoczył jakiś błąd, nie zdążyłem się mu przyjrzeć, zniknął zbyt szybko.

Post28 kwie 2013, 18:22

Nic z tego, żadnego logu nie dostaję po restarcie.

Nie. On się nie zapisuje. Być może się wykonał. Sprawdzimy potem. Sprawdź Combofix w trybie awaryjnym.

Post28 kwie 2013, 18:45

Nie daje rady

Ani to w awaryjnym, ani to w zwykłym

Już nie wiem co robić, formata szkoda mi robić, bo trochę ważnych danych dla mnie jest

Post28 kwie 2013, 19:02

JesteZawirusowany pisze:Nie daje rady

Ani to w awaryjnym, ani to w zwykłym

Już nie wiem co robić, formata szkoda mi robić, bo trochę ważnych danych dla mnie jest

Co dokładnie dzieje się podczas pracy z Combofix? Użyj Dostępne tylko dla zarejestrowanych użytkowników. Wykonaj pełne skanowanie. Lecz co się da, a resztą usuwaj. Następnie podaj nowe logi z OTL.

Post28 kwie 2013, 19:39

Raczej nie tyle co podczas pracy, co podczas instalacji. Odpalam ten plik co ściągnąłem, ładuje się coś koło połowy, jest backup rejestru i tam losowo się resetuje.

Właśnie ściągam Dr. Web'a, muszę go wypalić czy mogę wyemulować w Deamon Toolsie? Jak już mam wypalać, to mogę zrobić z niego Live USB? Bo CD niezbyt u mnie :/

Post28 kwie 2013, 19:49

Wtrące się , ale do wypalenia Dr.weba na pendriva możesz użyć Yumi , który sam wszystko za ciebie zrobi , potem włączasz ponownie komputer z pendrivem on bootuje i skanujesz kompa.

Post28 kwie 2013, 19:57

Dzięki wielkie. To już ściągam.