Kolejny problem z Policją: wirus

przez **mizer82** » 01 Lip 2012, 22:37

Witam.
Jak w temacie komp zablokowany przez wirusa.
Logi z OTL:

http://wklej.eu/index.php?id=75b7acac3c
http://wklej.eu/index.php?id=ecc4eb5f0d
Proszę o pomoc.

przez **mateo8898** » 01 Lip 2012, 23:09

Uruchom OTL

w oknie Custom Scans/Fixes wklej:

:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [c4dU5nsvHkbsaiW] C:\Documents and Settings\rgolebiowski\Dane aplikacji\43euyh45wsuw.exe ()
O4 - HKLM..\Run: [eAgent PrintMonitor] File not found
O4 - HKU\administrator.RMIZOMAR_ON_C..\Run: [] File not found
O4 - HKU\Administrator_ON_C..\Run: [] File not found
O4 - HKU\rgolebiowski_ON_C..\Run: [] File not found
O4 - HKU\rgolebiowski_ON_C..\Run: [c4dU5nsvHkbsaiW] C:\Documents and Settings\rgolebiowski\Dane aplikacji\43euyh45wsuw.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\hpzrcv01.LNK = File not found
O7 - HKU\rgolebiowski_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\rgolebiowski_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O32 - AutoRun File - [2004/04/30 11:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]
[2012/07/01 13:24:42 | 000,114,688 | ---- | C] (SoftThinks) -- C:\WINDOWS\System32\chg.exe
[2012/07/01 13:24:57 | 000,034,576 | ---- | M] () -- C:\WINDOWS\System32\drivers\WPRO_41_1879.sys
[2012/06/29 05:46:03 | 000,208,384 | ---- | M] () -- C:\Documents and Settings\rgolebiowski\Dane aplikacji\43euyh45wsuw.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=-
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\administrator.RMIZOMAR_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
"Shell"=-
[HKEY_USERS\rgolebiowski_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\rgolebiowski_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL.

przez **mizer82** » 03 Lip 2012, 17:48

Witam ponownie.
Dobrze że skończyły się problemy z forum. Niestety z moim kompem nie.
Zrobiłem tak jak radził mati.
Oto logi:
z usuwania:
http://www.wklej.eu/index.php?id=752940f1a3
po usunięciu z OTL:
http://wklej.eu/index.php?id=2d1b449983
http://www.wklej.eu/index.php?id=a13b7ccadf

Po wszystkim komp się uruchomił prawie normalnie. Uruchomiłem malwarebytes oto log:
http://www.wklej.eu/index.php?id=46acf9b0b9
i logi po wszystkim z OTL:
http://www.wklej.eu/index.php?id=e03cf66f18
http://www.wklej.eu/index.php?id=2974e7bfa0

Niestety komp się włącza ale nie mam żadnych ikon na pulpicie- pasek zadań i menu start działają ok. W folderze pulpitu są wszystkie pliki które były ale nie wyświetla ich.

przez **kominekl** » 03 Lip 2012, 19:43

Odinstaluj

LiveUpdate, Malwarebytes Anti-Malware (zła forma instalacji) i Vividas Player Plugin (wtyczka ala vShare).

Następnie uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :OTL SRV - File not found [Auto | Running] -- C:\Program Files\Btc\eAudytor\eAgent\Bin\eAgentInternal.exe )##'Az'@F2.0sM# -- (agent2) DRV - File not found [Kernel | Disabled | Stopped] -- a -- (vsdatant) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\TEMP\cpuz132\cpuz132_x32.sys -- (cpuz132) IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> FF - HKLM\Software\MozillaPlugins\@vividas.com/npVividasPlayer: C:\Program Files\Vividas\Player\npVividasPlayer.dll ( ) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\rgolebiowski\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\rgolebiowski\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) O4 - HKLM..\Run: [eAgent PrintMonitor] "C:\Program Files\Btc\eAudytor\eAgent\Bin\eAgentPm.exe" 0.05 "C:\Program Files\Btc\eAudytor\eAgent\Bin\params.ini" File not found O15 - HKCU\..Trusted Domains: epm ([]http in Trusted sites) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199378103843 (MUWebControl Class) O16 - DPF: {E3089160-E8AD-4C5B-B47C-ADDF3DF660DD} http://epm/PWA/_layouts/pwa/objects/pjclient.cab (PjAdoInfo4 Class) O16 - DPF: {EBC0768D-D8D6-40F4-A100-C28D36FB00A5} http://epm/PWA/_layouts/pwa/objects/1045/pjcintl.cab (PJ12plkC Class) :Files C:\Program Files\Vividas C:\Documents and Settings\rgolebiowski\Ustawienia lokalne\Dane aplikacji\Google\Update C:\Documents and Settings\rgolebiowski\Dane aplikacji\Malwarebytes C:\WINDOWS\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\WINDOWS\System32\drivers\mbam.sys C:\Program Files\Malwarebytes' Anti-Malware C:\WINDOWS\tasks\*.* :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications\List] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\FileAndPrint] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\FileAndPrint] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\RemoteDesktop] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\RemoteDesktop] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{69333A04-5134-40A5-A055-9166A7AA1EC8}] :Commands [emptyflash] [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

przez **mateo8898** » 03 Lip 2012, 21:38

W powyższym skrypcie są błędy.

W OTL wklej:

:OTL
SRV - File not found [Auto | Running] -- C:\Program Files\Btc\eAudytor\eAgent\Bin\eAgentInternal.exe )##'Az'@F2.0sM# -- (agent2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\TEMP\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | Disabled | Stopped] -- a -- (vsdatant)
O4 - HKLM..\Run: [eAgent PrintMonitor] "C:\Program Files\Btc\eAudytor\eAgent\Bin\eAgentPm.exe" 0.05 "C:\Program Files\Btc\eAudytor\eAgent\Bin\params.ini" File not found
[2012-07-02 22:12:35 | 000,034,576 | ---- | M] () -- C:\WINDOWS\System32\drivers\WPRO_41_1879.sys
[2012-07-02 22:12:21 | 000,114,688 | ---- | M] (SoftThinks) -- C:\WINDOWS\System32\chg.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

:Commands
[emptytemp]
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **kominekl** » 03 Lip 2012, 21:53

W powyższym skrypcie są błędy.

Szczegóły? Klucze rejestru? Są dziwne więc je resetuje. Gwarantuję, że nic nie zostanie uszkodzone. Dlatego proszę o szczegóły na PW, aby nie zaśmiecać tematu.

przez **mizer82** » 03 Lip 2012, 22:07

Na razie nie wykonywałem Waszych skryptów.
Pomogła opcja "Pokaż ikony pulpitu"- czasem oczywiste rozwiązanie nie przychodzi od razu do głowy.
Wszystko jest ok. Czy wykonywać jeszcze skrypty które podaliście?

przez **kominekl** » 03 Lip 2012, 22:10

Na razie działaj na skryptach tego, który rozpoczął temat, gdyż być może ma jakiś plan długofalowy.

przez **mizer82** » 03 Lip 2012, 23:08

Ok.
Skrypt zrobiony oto logi:
http://wklej.eu/index.php?id=b17442a52a

http://www.wklej.eu/index.php?id=7187e5bf3e
http://www.wklej.eu/index.php?id=653b2e2e9c

przez **mateo8898** » 03 Lip 2012, 23:15

Przeskanuj plik: C:\WINDOWS\System32\chg.exe na virustotal.com i podaj wyniki.

przez **mizer82** » 03 Lip 2012, 23:24

wynik:
https://www.virustotal.com/file/6e2f48f ... 341350513/

przez **mateo8898** » 04 Lip 2012, 17:29

Wklej w OTL:

:OTL

:Services
WPRO_41_1879

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Odinstaluj starą wersję Javy:

Java(TM) SE Runtime Environment 6

i zainstaluj najnowszą

Javę

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 6.0.2 CE

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... eader.html

przez **mizer82** » 09 Lip 2012, 10:00

Hej.
Dzięki za rady. Pomogły.
Komp ożył (zobaczymy czy problem nie powróci).
Jeszcze raz wielkie dzięki.
Pozdrawiam.

Kolejny problem z Policją: wirus

Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Re: Kolejny problem z Policją: wirus

Kto jest na forum