wirus z facebook'a, pomocy!!!

[janet_92]

O to moje logi:

Otl- Dostępne tylko dla zarejestrowanych użytkowników

Extras- Dostępne tylko dla zarejestrowanych użytkowników
Proszę o szybką pomoc.

[filutka78]

Masz oczywiście infekcję z Facebooka, a masz też coś znacznie gorszego: Bootkit ZeroAcces!

1) Uruchom >>Dostępne tylko dla zarejestrowanych użytkowników. W oknie wklej:

C:\WINDOWS\1367951273

Klik w Create. Daj z tego log.

2) Zrestartuj komputer!

3) Daj log z Dostępne tylko dla zarejestrowanych użytkowników

4) Daj log z TDSSKiller >http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm

5) Daj log z ComboFix >http://www.hotfix.pl/articles.php?article_id=41, ale przed jego użyciem musisz unieczynnić sterownik "sptd.sys", postępując wg tej strony >Dostępne tylko dla zarejestrowanych użytkowników

6) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1367951273:1454929582.exe
[2011-10-26 19:38:47 | 000,232,960 | ---- | C] () -- C:\WINDOWS\l1rezerv.exe
[2011-10-26 19:10:49 | 000,380,416 | ---- | C] () -- C:\WINDOWS\systemup.exe
[2011-10-26 19:04:47 | 000,000,221 | ---- | C] () -- C:\WINDOWS\info1
[2011-10-26 19:04:20 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-10-26 19:04:18 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-10-26 19:04:18 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-10-26 18:53:40 | 000,258,048 | ---- | C] () -- C:\WINDOWS\sysdriver32_.exe
[2011-10-26 18:53:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
[2011-10-26 18:53:25 | 000,263,680 | ---- | C] () -- C:\WINDOWS\sysdriver32.exe
[2011-10-31 19:05:32 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-10-31 19:05:32 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-10-31 19:05:30 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-10-31 18:22:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\1367951273
[2011-10-26 18:35:46 | 001,198,080 | ---- | M] (Cronosoft) -- C:\WINDOWS\services32.exe
[2011-11-01 15:52:53 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-10-26 19:21:35 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-10-26 19:20:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-10-26 19:13:16 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.8.1
[2011-10-26 19:04:48 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-10-26 18:50:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-10-26 18:48:23 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-10-26 18:47:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0-lnk
[2011-10-26 18:47:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0
[2011-10-26 18:47:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-12-0-lnk
[2011-10-26 18:47:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-12-0
[2011-10-31 19:05:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-10-31 19:05:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-10-31 19:05:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
O33 - MountPoints2\{e58149d0-648f-11de-ae9e-00f1d000f1d0}\Shell\AutoRun\command - "" = gbm6n.exe
O33 - MountPoints2\{e58149d0-648f-11de-ae9e-00f1d000f1d0}\Shell\open\Command - "" = gbm6n.exe
O33 - MountPoints2\{8d274959-2305-11df-b035-00f1d000f1d0}\Shell\AutoRun\command - "" = F:\s1.exe
O33 - MountPoints2\{8d274959-2305-11df-b035-00f1d000f1d0}\Shell\open\Command - "" = F:\s1.exe
O33 - MountPoints2\{4e85c050-cb1e-11df-b189-00f1d000f1d0}\Shell\AutoRun\command - "" = F:\s1.exe
O33 - MountPoints2\{4e85c050-cb1e-11df-b189-00f1d000f1d0}\Shell\open\Command - "" = F:\s1.exe
O33 - MountPoints2\{4e85c051-cb1e-11df-b189-00f1d000f1d0}\Shell\AutoRun\command - "" = G:\s1.exe
O33 - MountPoints2\{4e85c051-cb1e-11df-b189-00f1d000f1d0}\Shell\open\Command - "" = G:\s1.exe
O31 - SafeBoot: AlternateShell - services32.exe
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-117609710-796845957-839522115-1004\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-117609710-796845957-839522115-1004\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O4 - HKLM..\Run: [1817434.exe] C:\Documents and Settings\nasz\Ustawienia lokalne\Temp\1817434.exe ()
O4 - HKLM..\Run: [2709585.exe] C:\WINDOWS\TEMP\2709585.exe ()
O4 - HKLM..\Run: [4159406.exe] C:\WINDOWS\TEMP\4159406.exe ()
O4 - HKLM..\Run: [8041482.exe] C:\WINDOWS\TEMP\8041482.exe ()
O4 - HKLM..\Run: [988859.exe] C:\Documents and Settings\nasz\Ustawienia lokalne\Temp\988859.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-12-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-9-0\svchost.exe (Cronosoft)
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe (Cronosoft)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
SRV - [2011-10-31 18:28:11 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-10-31 18:17:37 | 001,945,088 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-26 19:21:34 | 000,380,928 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-10-26 18:53:04 | 000,263,680 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-26 18:35:46 | 001,202,688 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
MOD - [2011-10-31 18:28:11 | 000,348,672 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe
MOD - [2011-10-31 18:17:37 | 001,945,088 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-10-26 19:38:42 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011-10-26 19:21:34 | 000,380,928 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
MOD - [2011-10-26 18:53:04 | 000,263,680 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-12-0\svchost.exe"=-
"C:\WINDOWS\update.tray-9-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

7) Użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean
Pokaż raport z niego.

8) Zrób nowe logi z OTL,

Trochę tego jest, na początek.
Ale potem zalecę jeszcze użycie:
1) USBFix >http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
2) MBAM >http://www.hotfix.pl/obsluga-programu-malwarebytes-anti-malware-a55.htm

F.

[janet_92]

1) log z DummyCreator

OTL Dostępne tylko dla zarejestrowanych użytkowników

Extras Dostępne tylko dla zarejestrowanych użytkowników


2) log z Webroot AntiZeroAccess

Dostępne tylko dla zarejestrowanych użytkowników

3) TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Najpierw usuń "sptd.sys" wg linku, który podałam w poprzednim poście.
Potem powtórz wszystkie punkty po kolei, zaczynając od punktu nr 3.

F.

[janet_92]

log z Webroot AntiZeroAccess > Dostępne tylko dla zarejestrowanych użytkowników

-- 05 lis 2011, 11:43 --

TDSSKiller > Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Dziwne, że AntiZeroAcces nic nie wykrył!.
Ale to pozostaje w mocy:

powtórz wszystkie punkty po kolei, zaczynając od punktu nr 3.

oczywiście punkt nr 3 jest już wykonany, teraz następne.
EDIT:
Punkt nr 4 - wykonany - TDSSKiiler też nic nie wykrył.


F.

[janet_92]

ComboFix >http://wklej.org/id/621829/

[filutka78]

ComboFix też nie wykrył Bootkita.
Co jest "grane"? Sam wyparował?

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: AVG Anti-Virus Free Edition 2011 *Enabled/Outdated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: McAfee VirusScan *Disabled/Outdated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

Domyślam się, że AVG oraz McAfee były nieudanie odinstalowywane (w logu widać ich działające w dalszym ciągu elementy).
Do usuwania AVG służy AVG Remover - Dostępne tylko dla zarejestrowanych użytkowników
Do usuwania McAfee służy McAfee Consumer Product Removal Tool - Dostępne tylko dla zarejestrowanych użytkowników

Teraz wykonaj punkt 6 i 7 z moich zaleceń.

F.

[janet_92]

no dobrze, a czy z avastem wystarczy tylko nie uruchamianie osłon czy tez go usunąć?

OTL >http://wklej.org/id/622012/

[filutka78]

no dobrze, a czy z avastem wystarczy tylko nie uruchamianie osłon czy tez go usunąć?

Nie rozumiem pytania.

Unable to delete ADS C:\WINDOWS\1367951273:1454929582.exe .

To się nie zgadza z tym, że ani AntiZeroAcces, ani TDSSKiller, ani ComboFix, tego nie wykryły.
Daj nowy log z OTL.

EDIT:
Jesli w nowym logu dalej będzie:
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1367951273:1454929582.exe

to usuniesz ten TDSSKiller, który masz, i ściągniesz nowszą wersję, ale stąd >Dostępne tylko dla zarejestrowanych użytkowników.
Chodzi o to, że na forum jest tylko link do starej wersji, z sierpnia.

F.

[janet_92]

OTL > Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS > Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Na szczęście nie masz już Bootkita ZeroAcces.

Przy okazji usuniemy niepotrzebnych "sponsorów":
Użyj >Dostępne tylko dla zarejestrowanych użytkowników i kliknij w nim Clean
Pokaż raport z niego.

Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files\McAfee\SiteAdvisor\npmcffplg32.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{1E73965B-8B48-48be-9C8D-68B920ABC1C4}: C:\Program Files\AVG\AVG10\Firefox4\
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files\McAfee\SiteAdvisor
[2011-09-24 17:55:29 | 000,002,034 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\McSiteAdvisor.xml
O4 - Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = File not found
[2011-02-06 21:15:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\nasz\Dane aplikacji\AVG10

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[janet_92]

Ad-Remover > Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Dlaczego wykonane tylko jedno zalecenie z mojego poprzedniego postu?

F.

[janet_92]

Po wykonaniu skryptu nie pokazuje się raport.
A to logi z OTL
OTL > Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS> Dostępne tylko dla zarejestrowanych użytkowników