Jak usunać crrss.exe i naprawić winlogon.exe?

przez **tomus821** » 22 Lut 2012, 12:29

Witam,

Posiadam komputer firmowy z Avira Antivir Personal używany tylko w biurze
Avira ostatnio wykryła jakiegoś trojana ale po zastosowaniu opcji Delete problem zniknął na parę dni.
Ostatnio jednak już przy uruchomieniu systemu Avira pokazuje że mam plik crrss.exe a trojan to TR/Opachki.28672
Dodatkowo ten sam trojan zaraził też winlogon.exe
Porszę o pomoc w naprawie.

Logi z OTL:
OTL
http://www.wklej.eu/index.php?id=4bfceb2632

Extras
http://www.wklej.eu/index.php?id=e5a5c00ca5

Pozdrawiam.

przez **mateo8898** » 22 Lut 2012, 17:23

Odinstaluj Akamai NetSession Interface. Następnie:

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :OTL MOD - [2009-03-21 15:21:24 | 000,028,160 | ---- | M] () -- C:\Documents and Settings\Tomasz\winlogon.exe IE - HKU\S-1-5-21-343818398-2025429265-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://vshare.toolbarhome.com/?hp=df IE - HKU\S-1-5-21-343818398-2025429265-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421 FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: [email protected]:4.1.3 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" FF - prefs.js..network.proxy.type: 4 [2011-04-16 15:58:04 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Tomasz\Dane aplikacji\Mozilla\Firefox\Profiles\1do6jpo0.default\searchplugins\web-search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Tomasz\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe () O4 - HKLM..\Run: [services] C:\WINDOWS\system\services.exe File not found O4 - HKU\S-1-5-21-343818398-2025429265-839522115-1004..\Run: [Badoo Desktop] C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe File not found O4 - HKU\S-1-5-21-343818398-2025429265-839522115-1004..\Run: [winlogon] C:\Documents and Settings\Tomasz\winlogon.exe () O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) [2012-02-22 10:54:47 | 000,000,983 | ---- | C] () -- C:\Documents and Settings\Tomasz\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk :Reg [HKEY_USERS\S-1-5-21-343818398-2025429265-839522115-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"=- "nwiz"=- "SoundMAXPnP"=- :Commands [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + brakujący log z Gmer

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

przez **tomus821** » 23 Lut 2012, 13:49

Witam,

Akamai usunięte
Skrypt wykonany - dwa razy bo nie zapisałem loga, poniżej log po drugim razie

OTL log z czyszczenia
http://www.wklej.eu/index.php?id=0a631c13d3

W czasie wykonywania skryptu Avira zgłaszała crrss.exe i winlogon.exe więc pewnie nie udało się ich usunąć

OTL logi po czyszczeniu:
Extras
http://www.wklej.eu/index.php?id=0a47688477
OTL
http://www.wklej.eu/index.php?id=98638ca735

GMER
http://www.wklej.eu/index.php?id=67fc36f545

przez **mateo8898** » 23 Lut 2012, 14:15

Tym razem usuwanie wykonaj w trybie awaryjnym.
W OTL wklej:

:OTL
MOD - [2012-02-23 12:39:42 | 000,167,936 | ---- | M] () -- C:\Documents and Settings\Tomasz\Dane aplikacji\4C30B\C21A4.exe
MOD - [2012-02-22 15:55:05 | 000,283,136 | ---- | M] () -- C:\Program Files\LP\A424\12F.exe
MOD - [2012-02-22 15:54:24 | 000,184,320 | ---- | M] () -- C:\Program Files\0B089\lvvm.exe
IE - HKU\S-1-5-21-343818398-2025429265-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:61980
O4 - HKLM..\Run: [12F.exe] C:\Program Files\LP\A424\12F.exe ()
O4 - HKU\S-1-5-21-343818398-2025429265-839522115-1004..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Tomasz\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found
[2012-02-22 15:00:04 | 000,000,000 | ---D | C] -- C:\Program Files\0B089
[2012-02-22 14:59:30 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2012-02-22 14:59:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Tomasz\Dane aplikacji\4C30B

:Reg
[HKEY_USERS\S-1-5-21-343818398-2025429265-839522115-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system\services.exe"=-
"C:\Documents and Settings\Tomasz\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe"=-

:Commands
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL

przez **tomus821** » 23 Lut 2012, 19:33

Zrobione. Ale znowu przy skanowaniu OTL Avira znalazła te same robaki.
Po czyszczeniu:
http://wklej.eu/index.php?id=0f2bc82cf5

OTL:
http://wklej.eu/index.php?id=5c8914a543

Extras:
http://wklej.eu/index.php?id=4c5cb45d8f

Loga z GMER narazie nie robiłem bo ze względu na biblioteki elementów skan z GMER-a zajmuje pół dnia, ale jeśli będzie niezbędny to się zrobi.

przez **mateo8898** » 23 Lut 2012, 21:16

Gmer`a już wcześniej podałeś i nie musisz tego robić drugi raz.

Coś OTL nie daje rady, zastosuj ComboFix

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i podaj log z niego.

przez **tomus821** » 24 Lut 2012, 19:07

Zrobiłem skan ComboFix w trybie awaryjnym. Log z ComboFix:
http://wklej.eu/index.php?id=4a17899b26

I jeszcze z OTL
http://wklej.eu/index.php?id=3df1ad217c
http://wklej.eu/index.php?id=b4401ffff7

przez **mateo8898** » 24 Lut 2012, 19:12

Wklej do notatnika:

Folder::
c:\program files\0B089

File::
c:\windows\Tasks\AppleSoftwareUpdate.job

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"HP Software Update"=-
"GrooveMonitor"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-

Plik

zapisz jako

CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

Następnie podaj także nowe logi z OTL.

przez **tomus821** » 25 Lut 2012, 13:24

Log z Combo Fix
http://wklej.eu/index.php?id=967983d035

Logi z OTL
http://wklej.eu/index.php?id=50c3a7af57
http://wklej.eu/index.php?id=75b43f05ee

przez **mateo8898** » 25 Lut 2012, 17:26

W OTL wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1330101696_732556
IE - HKU\S-1-5-21-343818398-2025429265-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:61980
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 61980
[2012-02-24 17:41:36 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml

:Commands
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **tomus821** » 28 Lut 2012, 13:12

Po usuwaniu:
http://wklej.eu/index.php?id=28193e24aa

Logi OTL:
http://wklej.eu/index.php?id=c06c200140
http://wklej.eu/index.php?id=284882a77d

przez **mateo8898** » 28 Lut 2012, 15:36

OK, to tyle.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj SP3

http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)

http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 26

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.5.0 - Polish

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... eader.html

przez **tomus821** » 03 Mar 2012, 12:12

Bardzo dziękuje za pomoc.
Log z Malwarebytes' Anti-Malware
http://wklej.eu/index.php?id=31f4ec756b

przez **mateo8898** » 03 Mar 2012, 19:49

Chyba nie kliknąłeś w OTL Sprzątanie, bo część wykrytych obiektów znajduje się w jego kwarantannie. Możesz jeszcze opróżnić kwarantannę Malwarebytes.

Jak usunać crrss.exe i naprawić winlogon.exe?

Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Re: Jak usunać crrss.exe i naprawić winlogon.exe?

Kto jest na forum