Skocz do zawartości

Zarchiwizowany

Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.

DzikuXXX

Dziwny wirus?

Polecane posty

Log z Malwarebytes

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org

Wersja bazy: 5278

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 6.0.2900.5512

2010-12-09 13:33:16

mbam-log-2010-12-09 (13-33-16).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)

Przeskanowano obiektów: 252950

Upłynęło: 48 minut(y), 45 sekund(y)

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 5

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

Zainfekowanych plików:

c:\Recycled\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully.

c:\system volume information\_restore{347e6012-a91a-4421-b6ef-3ff231c23dfc}\RP199\A0224362.exe (Trojan.Bancos) -> Quarantined and deleted successfully.

d:\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully.

e:\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully.

f:\Recycled\ctfmon.exe (Trojan.VB) -> Quarantined and deleted successfully.

Link do komentarza
Udostępnij na innych stronach

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
RECYCLER /alldrives
autorun.inf /alldrives

:OTL
O33 - MountPoints2\{59c0e496-521b-11df-9bf1-00508db61a2b}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe
O33 - MountPoints2\J\Shell - "" = AutoRun
O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\Launcher.exe -- File not found

:Commands
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log, zapisz go.

2. W OTL pozaznaczaj opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników oraz we wszystkich sekcjach wybierz opcję Użyj filtrowania i kliknij skanuj.

3. Ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

Logi z kroków 1, 2 (obydwa) oraz 4 wrzuć na forum.

Link do komentarza
Udostępnij na innych stronach

Defogger wyłącza sptd, więc to nie tu jest problem. GMER tak czasem ma, spróbuj odpalić go w trybie awaryjnym. Jeśli nie pójdzie, to użyj RootRepeal:

1. Ściągnij program RootRepeal.

2. Uruchom go. Przejdź do karty Report i kliknij opcję Scan.

3. W oknie, które się pojawi zaznacz wszystkie opcje.

4. W następnym oknie zaznacz tylko dysk systemowy.

5. Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie.

6. Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log.

Link do komentarza
Udostępnij na innych stronach

W awaryjnym poszlo, nie zmienialem ustawien : skanowal tylko C:

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2010-12-09 20:40:07

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-f ST3160815AS rev.3.AAD

Running: o4nvkj0j.exe; Driver: C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pxtdapoc.sys

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x00 0x3D 0xA9 0x3D ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x00 0x3D 0xA9 0x3D ...

---- EOF - GMER 1.0.15 ----

Link do komentarza
Udostępnij na innych stronach

No tak, użyłeś fixa w starej wersji OTL, a więc niewiele zrobił. Ściągnij najnowszą wersję OTL i ją uruchom. W sekcji Własne opcje skanowania / skrypt wklej:

:Files
RECYCLER /alldrives
autorun.inf /alldrives

:OTL
@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D74B6CF5

:Commands
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum.

Poza tym wrzuć na forum nowe logi z OTL wygenerowane w taki sam sposób, jak poprzednim razem.

Link do komentarza
Udostępnij na innych stronach

Dziwna sprawa... po wykonaniu tego, restarcie, OTL zniknal... Sciagnalem i pojawilo sie tylko to

All processes killed

========== FILES ==========

C:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully.

C:\RECYCLER folder moved successfully.

D:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully.

D:\RECYCLER folder moved successfully.

E:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully.

E:\RECYCLER folder moved successfully.

F:\RECYCLER\S-1-5-21-1606980848-1085031214-839522115-500 folder moved successfully.

F:\RECYCLER folder moved successfully.

RECYCLER not found in H:\

autorun.inf not found in C:\

Folder move failed. D:\autorun.inf scheduled to be moved on reboot.

Folder move failed. E:\autorun.inf scheduled to be moved on reboot.

Folder move failed. F:\autorun.inf scheduled to be moved on reboot.

File move failed. H:\autorun.inf scheduled to be moved on reboot.

========== OTL ==========

Unable to delete ADS C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D74B6CF5 .

========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

->Flash cache emptied: 456 bytes

User: All Users

User: Default User

User: LocalService

User: Miszczu

->Flash cache emptied: 0 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: Administrator

->Temp folder emptied: 587324 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 4181023 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: Miszczu

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 5,00 mb

OTL by OldTimer - Version 3.2.17.3 log created on 12092010_213625

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

OTL.Txt

Extras.Txt

Link do komentarza
Udostępnij na innych stronach

Rzeczywiście dziwne. Spróbuj tak. Wyłącz antywirusa, następnie w sekcji Własne opcje skanowania / skrypt wklej:

:Files
RECYCLER /alldrives
autorun.inf /alldrives

i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum.

Poza tym wrzuć na forum nowe logi z OTL wygenerowane w taki sam sposób, jak poprzednim razem.

Jeśli znowu OTL zniknie, to będzie trzeba inaczej to naprawić.

Link do komentarza
Udostępnij na innych stronach

No dobra, to pozostała jedna rzecz.

Wyłącz antywirusa, następnie w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\WINDOWS\tasks\Norton Security Scan for Administrator.job

i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum.

Poza tym wrzuć na forum nowe logi z OTL wygenerowane w taki sam sposób, jak poprzednim razem i napisz, czy problem ustąpił (z tego co widzę w necie to nie jest wirus, tylko dziwne praktyki Symanteca).

Link do komentarza
Udostępnij na innych stronach

Tak z tego co widzę, to gdzieś jednak zainstalowałeś jakieś oprogramowanie od Symanteca (być może przez przypadek, bo ponoć działa jak trojan). Poza tym było widać jakieś śmieci, które też zostały usunięte (nic groźnego nie było). Uruchom OTL i kliknij opcję sprzątanie. To pousuwa śmieci.

Poza tym zaktualizuj co się da. IE6 jest bardzo dużą dziurą w Twoim systemie, nawet jeśli nie używasz tej przeglądarki. Java również jest nieaktualna.

Ponownie włącz emulację napędów programem Defogger. Po tych zabiegach napisz, czy wszystko jest w porządku.

Link do komentarza
Udostępnij na innych stronach



  • Kto przegląda   0 użytkowników

    • Brak zalogowanych użytkowników przeglądających tę stronę.
×
×
  • Utwórz nowe...