Problem z wirusami

Post20 lis 2011, 00:07

Złapałem jakiegoś wirusa który zablokował mi antyvira,muli neta i wyświetla jakieś fałszywe strony w przeglądarce.Przeskanowałem system skanerem online ESET i tu podaje raport.Czy ktoś może mi pomóc?

Dostępne tylko dla zarejestrowanych użytkowników

Post20 lis 2011, 01:06

Jakiś krótki ten raport i do tego wykazuje trojany

Masz ESET-a ?
Wrzuć logi zgodnie z tym regulaminem :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html

Post20 lis 2011, 03:13

Mam Avasta ale jest zablokowany.Skanowałem Eset skaner online bo to tylko taką stronę udało mi się otworzyć.

-- 20 lis 2011, 04:13 --

Jutro postaram się dać logi.

Post20 lis 2011, 10:51

Pamięć operacyjna probably a variant of Win32/Sirefef.CH trojan

Oprócz obowiązkowych logów daj też dodatkowo:
1) log z ComboFixa >http://www.hotfix.pl/articles.php?article_id=41 (jeśli masz sterownik "sptd.sys", to najpierw go unieczynnij, zgodnie z opisem ComboFixa, by nie przeszkadzał)
2) log z TDSSKiller >http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm
3) log z Dostępne tylko dla zarejestrowanych użytkowników - ale tylko jeśli masz System 32 bit!

F.

Post20 lis 2011, 22:24

Zeskanowałem już chyba wszystkim co mi daliście wklejam logi:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post20 lis 2011, 23:02

Daj jeszcze logi z OTL http://hotfix.pl/articles.php?article_id=143
Sam ZeroAcces usunięty, ale zostało jeszcze trochę do usunięcia z infekcji z Facebooka, i, być może, naprawa tego, co popsuł ZeroAcces (o ile ComboFix samoczynnie tego nie naprawił? )

\ConduitEngine

Niepotrzebny, więc użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean
Pokaż raport z niego.

F.

Post21 lis 2011, 00:16

Wysyłam Logi
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post21 lis 2011, 00:22

W Ad-Remover miałeś kliknąć na CLEAN (a nie na SCAN!)
powtórz to, a ja w międzyczasie przygotuję Script do OTL

nie dałeś drugiego logu OTL, czyli Extras.txt

Post21 lis 2011, 00:33

log z OTL mam tylko jeden

-- 21 lis 2011, 01:26 --

Juz uruchamiam AD-R...

-- 21 lis 2011, 01:33 --

Już jest
Dostępne tylko dla zarejestrowanych użytkowników

Post21 lis 2011, 00:39

1) >>START > w polu szukania cmd > z prawokliku "Uruchom jako Administrator" > wpisz netsh winsock reset
Naciśnij ENTER

2) Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_USERS\S-1-5-21-2295114998-983507397-3758517386-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

3) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2295114998-983507397-3758517386-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@DictionaryBoss.com/Plugin: C:\Program Files (x86)\DictionaryBoss\bar\1.bin\NPv4Stub.dll File not found
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found
[2011-11-12 17:42:09 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0-lnk
[2011-11-12 17:42:09 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-7-0
[2011-11-02 16:41:54 | 000,000,000 | ---D | C] -- C:\Windows\ufa
[2011-11-02 16:34:42 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0-lnk
[2011-11-02 16:34:42 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-15-0
[2011-11-06 19:49:07 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts
[2011-11-02 16:41:53 | 005,589,370 | ---- | C] () -- C:\Windows\phoenix.rar
[2011-11-02 16:41:53 | 001,075,284 | ---- | C] () -- C:\Windows\rpcminer.rar
[2011-11-02 16:41:53 | 000,182,617 | ---- | C] () -- C:\Windows\ufa.rar
[2011-11-02 16:31:40 | 004,636,907 | ---- | C] () -- C:\Windows\geoiplist
[2011-11-02 16:31:38 | 000,904,792 | ---- | C] () -- C:\Windows\geoiplist.rar
[2011-11-02 16:31:38 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-11-02 16:30:10 | 000,000,111 | ---- | C] () -- C:\Windows\info1
[2011-11-02 16:29:05 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok

:Files
netsh winsock reset /C
C:\Users\Dawid\AppData\Local\Temp*.html

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

4) Sprawdź, czy programy działają, zwłaszcza ochronne.

5) w logu widzę wpisy dwóch Antivirusów - który aktualny?

F.

Post21 lis 2011, 01:01

Z tymi antyvirusami to nie wiem bo to komputer kuzyna.Myślę ze je wywalę i zainstaluje ESET SMART SECURITY.
Zaraz dam ten log i raport.

Post21 lis 2011, 01:10

Avast Uninstall Utility - Dostępne tylko dla zarejestrowanych użytkowników

BitDefender Uninstall Tool - Dostępne tylko dla zarejestrowanych użytkowników

G Data AVCleaner 2010 - Dostępne tylko dla zarejestrowanych użytkowników
G Data AVCleaner int - Dostępne tylko dla zarejestrowanych użytkowników

To są narzędzia do usuwania tych, które widzę w logu.

Post21 lis 2011, 01:11

Po restarcie pojawił się tylko ten log:
Dostępne tylko dla zarejestrowanych użytkowników

Post21 lis 2011, 01:16

zrób nowy log z OTL

Jeśli Avast jest dalej zablokowany, to:
Uruchom Dostępne tylko dla zarejestrowanych użytkowników i w oknie wklej:

C:\Program Files\AVAST Software\Avast\AvastUI.exe

Zastosuj opcję Unlock.

Post21 lis 2011, 01:18

A powiedz mi jeszcze taką rzecz.Ten komp chory jest nie podłączony do netu,wszystkie pliki pobieram na mój komputer i przesyłam tam za pomocą USB.Za każdym razem skanuje pendrive eset smart s... Warto sprawdzić mój sprzęt?