Avira W32/Patched.UB trojan!

przez **MathieuDaVii** » 14 Lip 2012, 23:36

Witam. Borykam sie z problemem od dluzszego czasu. Na notebooku z win 7 zlapalem trojana W32/Patched.UB.
Co chwile wyskakuje mi okienko o infromacji... chcialbym sie tego jak najszybciej pozbyc... pomoze ktos???? z gory dzieki!!!!! vczekam na odpowiedzi

przez **mateo8898** » 14 Lip 2012, 23:58

Podaj logi z:
OTL

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754
Gmer

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Podaj także dokładną lokalizację wykrywanego pliku.

przez **MathieuDaVii** » 15 Lip 2012, 00:11

http://wklejto.pl/128971 toooo jest log z OTL

http://wklejto.pl/128972 to jest logg z OTL'2 EXTRAS

z GMER zaraz zrobie bo nie wytrzymam z tym trojanem pomoz prosze

przez **mateo8898** » 15 Lip 2012, 00:23

Nie podałeś lokalizacji wykrywanego pliku.

przez **MathieuDaVii** » 15 Lip 2012, 00:30

C:\Windows\System32\services.exe

//Posty połączone

nie moge zrobic skanu gmer bo komputer sie zawiesza

przez **mateo8898** » 15 Lip 2012, 09:04

W takim razie użyj ComboFix

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i daj log z niego.

przez **MathieuDaVii** » 15 Lip 2012, 10:34

http://wklejto.pl/128980 logg z Combofix

przez **kominekl** » 15 Lip 2012, 11:17

"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"WinLiveSuite" = Windows Live Essentials

Odinstaluj to oprogramowanie, jeśli Go nie używasz, oraz resztki po Norton

http://www.symantec.com/norton/support/ ... 10004050EN.

Logi.

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :OTL DRV - File not found [File_System | Disabled | Running] -- system32\drivers\NIS\1207020.003\SYMEFA.SYS -- (SymEFA) DRV - File not found [Kernel | Disabled | Running] -- system32\drivers\NIS\1207020.003\SYMDS.SYS -- (SymDS) DRV - File not found [Kernel | Disabled | Running] -- C:\Windows\system32\drivers\NIS\1207020.003\SRTSPX.SYS -- (SRTSPX) Symantec Real Time Storage Protection (PEL) DRV - File not found [Kernel | Disabled | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100706.002\IDSVix86.sys -- (IDSVix86) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/4 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4 IE - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF IE - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} IE - HKLM\..\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-0/4?satitle={searchTerms}&mfe=Notebooks IE - HKLM\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPMTDF&pc=HPMTDF&src=IE-SearchBox IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/4 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4 IE - HKCU\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKCU\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF IE - HKCU\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} IE - HKCU\..\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-0/4?satitle={searchTerms}&mfe=Notebooks IE - HKCU\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=HPMTDF&pc=HPMTDF&src=IE-SearchBox FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\Firefox [2011.02.13 00:11:25 | 000,000,000 | ---D | M] [2011.03.03 20:06:04 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.03.03 20:06:04 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2011.03.03 20:06:04 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2011.03.03 20:06:04 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2011.03.03 20:06:04 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 10.5.1) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 10.5.1) :Files C:\Programme\MSN Toolbar C:\Windows\system32\drivers\NIS C:\ProgramData\Norton c:\users\Marta-Zoe\AppData\Local\temp c:\users\Default\AppData\Local\temp C:\aujasnkj.sys c:\windows\system32\sho6B91.tmp c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Media Suite.lnk c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Snapfish PictureMover.lnk :Commands [emptyflash] [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz log z TDSSKiller

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 + log z ADWCleaner (z opcji Delete)

http://www.instalki.pl/programy/downloa ... eaner.html + nowe logi z OTL

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754.

Optymalizacja.

Jeśli jej pragniesz to podaj log z Autoruns

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

przez **MathieuDaVii** » 15 Lip 2012, 11:47

http://wklejto.pl/128987 log OTL z usuwania

http://wklejto.pl/128985 log z TDSS KIller

http://wklejto.pl/128989 log z ADWCleaner z Opcji Delate

iii ponowne Logi z OTL zaraz zapodam

//Posty połączone

http://www38.zippyshare.com/v/29346701/file.html log z autoruns (autoruns.arn)

//Posty połączone

ponowny log z OTL, norton zaraz zsotanie usuniety do końca

//Posty połączone

http://wklejto.pl/128990 ponowny log z OTL

przez **kominekl** » 15 Lip 2012, 13:20

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
Adobe Reader Speed Launcher
AmIcoSinglun
HP Quick Launch
IAStorIcon
IgfxTray
Microsoft Default Manager
Persistence
SunJavaUpdateSched
SysTrayApp

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows
n/a (pierwszy)

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ZumoDrive

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Adobe PDF Link Helper
Bing Bar BHO
Java(tm) Plug-In 2 SSV Helper
Java(tm) Plug-In SSV Helper
Search Helper
Windows Live ID Sign-in Helper

HKLM\Software\Microsoft\Internet Explorer\Toolbar

@C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

GameConsoleService
HP Health Check Service
HPClientSvc
HPDrvMntSvc.exe
hpqwmiex
HPWMISVC
IAStorDataMgrSvc
osppsvc
SeaPort
sftvsa
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

catchme

Combofix.

Pobierz Combofix na pulpit (nie uruchamiaj Go)

http://www.instalki.pl/programy/downloa ... boFix.html. Następnie wejdź w START

URUCHOM

i wklej tam

"C:\Users\Marta-Zoe\Desktop\Combofix.exe" /uninstall .

ADWCleaner.

W ADWCleaner

Uninstall.

Logi.

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MARTA-~1\AppData\Local\Temp\catchme.sys -- (catchme)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\Firefox [2011.02.13 00:11:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{27182e60-b5f3-411c-b545-b44205977502}: C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension\ [2011.02.13 00:11:28 | 000,000,000 | ---D | M]
O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (@C:\Program Files\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Programme\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll (Microsoft Corporation)

:Files
C:\Program Files\MSN Toolbar
C:\Programme\MSN Toolbar
C:\Users\Marta-Zoe\AppData\Local\Temp
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\ComboFix
C:\Qoobox
C:\Windows\erdnt
C:\Users\Marta-Zoe\Desktop\AutoRuns.arn
C:\Users\Marta-Zoe\AppData\Local\{cd7ce801-4df8-931a-0514-61b6fa683753}\@

:Reg
[-HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]]
[-HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{27182e60-b5f3-411c-b545-b44205977502}]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

przez **MathieuDaVii** » 15 Lip 2012, 14:37

http://wklejto.pl/128992 log z usuwania. nie moge usunac combofix.
zaraz podam logi z OTL

//Posty połączone

wyskoczylo raz powiadomienie o tym trojanie ale nic wiecej teraz nie ma... chyba poradzilismy sobie. za pare gdz wroce to podam logi z OTL

przez **kominekl** » 15 Lip 2012, 14:52

ie moge usunac combofix.

Szczegóły? Mam nadzieję, że nie wkleiłaś kropki na końcu.

chyba poradzilismy sobie. za pare gdz wroce to podam logi z OTL

Wstrzymaj się dopóki nie usuniemy Combofix`a.

przez **MathieuDaVii** » 15 Lip 2012, 17:18

dobra Combofix usuniety... robie LOGI z OTL

//Posty połączone

http://wklejto.pl/129001 LOG w OTL

nadal wyswietla sie informacja o trojanie

przez **kominekl** » 15 Lip 2012, 19:08

Reasumacja.

Nie wykonałeś wszystkiego w Autoruns. Popraw to, a następnie podaj nowe logi z OTL (oba). Ponadto ten alarm antywirusa jest fałszywy, ponieważ to wersja Starter, czyli modyfikowana.

przez **MathieuDaVii** » 15 Lip 2012, 19:13

gdy wlaczam autoruns caly czas jest to wszystko nic nie jest usuniete ale opcja delate jest nieczynna jak to zrobic ? jestem zielony pomoz

Avira W32/Patched.UB trojan!

Avira W32/Patched.UB trojan!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!!!

Re: Avira W32/Patched.UB trojan!

Re: Avira W32/Patched.UB trojan!

Re: Avira W32/Patched.UB trojan!

Kto jest na forum