Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

przez **monq** » 16 Cze 2010, 21:42

Witam,
złapałem jakis czas temu coś najprawdopodobniej przez pendrive'a. Mam AviraAntivir, uzywam opcji 'delete' przy wykryciu, ale wszystko wraca za każdym razem.
Virus or unwanted program 'TR/Crypt.XPACK.Gen2 [trojan]'
detected in file 'C:\System Volume Information\_restore{ED86D662-064A-4000-93B8-6EA5339AF2EB}\RP338\A0084437.exe.
Virus or unwanted program 'WORM/Palevo.ahry [worm]'
detected in file 'C:\Documents and Settings\Maciej\Local Settings\Temp\277.exe

to przykładowe alerty ale wirus pojawia się w różnych lokalizacjach i pod różnymi nazwami

logi:
OTL.txt:
http://www.wklej.eu/index.php?id=85956c6558
Extras.txt:
http://www.wklej.eu/index.php?id=44d07bae1e
GMER:
http://www.wklej.eu/index.php?id=10a694b3ec

proszę o pomoc, dzięki

przez **mateo8898** » 16 Cze 2010, 22:34

Odinstaluj Ask Toolbar oraz DAEMON Tools Toolbar

Uruchom OTL

w oknie Custom Scans/Fixes wklej:

:OTL
SRV - [2010/05/11 23:31:16 | 002,478,640 | ---- | M] () [Auto | Running] -- c:\Program Files\Common Files\Akamai\rswin_3697.dll -- (Akamai)
IE - HKU\S-1-5-21-823518204-515967899-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15183&l=dis
FF - prefs.js..browser.startup.homepage: "http://www.ask.com?o=15183&l=dis"
[2010/01/16 18:34:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maciej\Application Data\Mozilla\Firefox\Profiles\oln4uhhb.default\extensions\[email protected]
[2010/03/31 23:14:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maciej\Application Data\Mozilla\Firefox\Profiles\oln4uhhb.default\extensions\[email protected]
[2009/07/10 17:26:08 | 000,002,257 | ---- | M] () -- C:\Documents and Settings\Maciej\Application Data\Mozilla\Firefox\Profiles\oln4uhhb.default\searchplugins\askcom.xml
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-9591373620-0237939322-801104184-4057\nissan.exe) - C:\RECYCLER\S-1-5-21-9591373620-0237939322-801104184-4057\nissan.exe ()
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-9591373620-0237939322-801104184-4057\nissan.exe) - C:\RECYCLER\S-1-5-21-9591373620-0237939322-801104184-4057\nissan.exe ()
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Maciej\ctfmon.exe) - C:\Documents and Settings\Maciej\ctfmon.exe File not found
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Maciej\Application Data\tnzbrg.exe) - C:\Documents and Settings\Maciej\Application Data\tnzbrg.exe File not found

:Files
C:\RECYCLER
C:\Documents and Settings\Maciej\Application Data\.#
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

przez **monq** » 16 Cze 2010, 22:57

zrobione jak kazałeś.

log z usuwania:
http://www.wklej.eu/index.php?id=8a01e43a10

otl.txt:
http://www.wklej.eu/index.php?id=73c5214c93

extras.txt:
http://www.wklej.eu/index.php?id=1f4e315bd0

przez **mateo8898** » 17 Cze 2010, 15:51

Uruchom OTL

w oknie Custom Scans/Fixes wklej:

:Processes
killallprocesses

:OTL
O3 - HKU\S-1-5-21-823518204-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-823518204-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-9591373620-0237939322-801104184-4057\nissan.exe) - C:\RECYCLER\S-1-5-21-9591373620-0237939322-801104184-4057\nissan.exe File not found
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Maciej\ctfmon.exe) - C:\Documents and Settings\Maciej\ctfmon.exe File not found
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-823518204-515967899-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Maciej\Application Data\tnzbrg.exe) - C:\Documents and Settings\Maciej\Application Data\tnzbrg.exe File not found

:Commands
[reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL

przez **monq** » 17 Cze 2010, 16:02

log z usuwania:
http://www.wklej.eu/index.php?id=98d8851d32

otl.txt:
http://www.wklej.eu/index.php?id=a5cbf14020

extras.txt:
http://www.wklej.eu/index.php?id=af4c130d38

przez **mateo8898** » 17 Cze 2010, 16:08

Coś te wpisy nie chcą zejść, więc zrobimy inaczej.

Wklej do notatnika:

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-823518204-515967899-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_USERS\S-1-5-21-823518204-515967899-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_USERS\S-1-5-21-823518204-515967899-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_USERS\S-1-5-21-823518204-515967899-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=-

Plik

Zapisz jako

Ustaw rozszerzenie z TXT na Wszystkie pliki

zapisz pod nazwą FIX.REG

uruchom utworzony plik i potwierdź

restart kompa

Po wykonaniu podaj nowe logi z OTL

przez **monq** » 17 Cze 2010, 16:42

http://www.wklej.eu/index.php?id=36189b88f0

http://www.wklej.eu/index.php?id=133eaedffa

przez **mateo8898** » 17 Cze 2010, 19:48

Ok, usunięte.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj SP3

http://www.instalki.pl/programy/downloa ... ack_3.html

Zainstaluj tą poprawkę

http://download.microsoft.com/download/ ... 86-ENU.exe

przez **monq** » 17 Cze 2010, 21:28

raport z malwarebytes:
http://www.wklej.eu/index.php?id=6dc613ab6b

przez **mateo8898** » 17 Cze 2010, 21:37

Ok, możesz opróżnić kwarantannę Malwarebytes.

I jeszcze o jednej rzeczy zapomniałem napisać, wywal tego Firefoxa, bo to stare próchno:

Mozilla Firefox (1.5.0.12)

i zainstaluj najnowszą wersję

https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/

przez **monq** » 18 Cze 2010, 19:10

jest ok. dzieki za pomoc!

Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Re: Infekcja TR/Crypt.XPACK.Gen2 i Palevo Worm, logi

Kto jest na forum