Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Objawy zainfekowania:
Komputer zawieszał się na ułamek sekundy. Zwieszał się też dźwięk. Działo się to pod dużym obciążeniem więc nie było bardzo uciążliwe w normalnej pracy. Dla pewności puściłem antywirusy.
Wykonywane działania:
Postanowiłem przeskanować komputer Avastem, Malwarebytes Anti-Malware i AdwCleanerem. Avast nic nie znalazł, Malwarebytes i AdwCleaner tak. Usunąłem to co było zaznaczone w obu programach.
Logi jakie dostałem:
Malwarebytes
[Aby zobaczyć linki, zarejestruj się tutaj]
AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
Po ponownym uruchomieniu zaczęło się pojawiać takie okienko:
[Aby zobaczyć linki, zarejestruj się tutaj]
Znalazłem w Google taki oto poradnik:
[Aby zobaczyć linki, zarejestruj się tutaj]
Postępowałem zgodnie z instrukcjami jednak nie udało mi się usunąć kluczy:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\random
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\random
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\random
Usunąłem tylko:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Ale dostałem wiadomość, że czegoś nie udało się usunąć. Komputer nadal uruchamia się normalnie. Trochę dłużej zajmuje mu załadowanie pulpitu. Przeskanowałem jeszcze raz Malwarebytes i dostałem taki log:
[Aby zobaczyć linki, zarejestruj się tutaj]
Po restarcie okienko RunDLL nadal się pojawia. Dlatego proszę o pomoc w usunięciu problemu.
Logi:
OTL.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
SokPomaranczowy napisał(a):Usunąłem tylko:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
tzn.co całą zawartość ?
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Tak. Dostałem komunikat, że jakiejś części nie udało się usunąć.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
OMG przecież ta zawartość jest prawidłowa.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i w oknie wklej:
Kod: :reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /s
kliknij looki pokaż raport.
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Raport z SystemLookx64:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wygląda na ok
Do notatnika wklej i zapisz jako fixlist.txt
Kod: C:\Users\Dżon\AppData\Local\Temp\AutoRun.exe
C:\Users\Dżon\AppData\Local\Temp\AutoRunGUI.dll
C:\Users\Dżon\AppData\Local\Temp\EAInstall.dll
C:\Users\Dżon\AppData\Local\Temp\eauninstall.exe
C:\Users\Dżon\AppData\Local\Temp\gmvg2m0r.dll
C:\Users\Dżon\AppData\Local\Temp\Gw2.exe
C:\Users\Dżon\AppData\Local\Temp\i4jdel0.exe
C:\Users\Dżon\AppData\Local\Temp\MouseKeyboardCenterx64_1033.exe
C:\Users\Dżon\AppData\Local\Temp\npp.6.4.5.Installer.exe
C:\Users\Dżon\AppData\Local\Temp\npp.6.5.Installer.exe
C:\Users\Dżon\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Dżon\AppData\Local\Temp\nvSCPAPI64.dll
C:\Users\Dżon\AppData\Local\Temp\nvStereoApiI.dll
C:\Users\Dżon\AppData\Local\Temp\nvStInst.exe
C:\Users\Dżon\AppData\Local\Temp\ose00000.exe
C:\Users\Dżon\AppData\Local\Temp\ose00001.exe
C:\Users\Dżon\AppData\Local\Temp\pyl8834.tmp.exe
C:\Users\Dżon\AppData\Local\Temp\Quarantine.exe
C:\Users\Dżon\AppData\Local\Temp\Shockwave_Installer_FF.exe
C:\Users\Dżon\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Dżon\AppData\Local\Temp\swt-win32-3349.dll
C:\Users\Dżon\AppData\Local\Temp\The Lord of the Rings, The Rise of the Witch-king_uninst.exe
C:\Users\Dżon\AppData\Local\Temp\xmlUpdater.exe
C:\Users\Dżon\AppData\Local\Temp\xuninst.exe
C:\Users\Dżon\AppData\Local\Temp\_is699F.exe
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]
Task: {62FB5153-4912-4851-9DAF-02142FB99B17} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File
Task: {66E23E38-9761-4FFB-AD27-7D3CF4FC00DD} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File
Task: {EB8DFB3E-03FB-433D-A131-623A813F6BB9} - System32\Tasks\BackgroundContainer Startup Task => Rundll32.exe "C:\Users\Dżon\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun <==== ATTENTION
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION!
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Odinstaluj:
uTorrentControl_v6 Toolbar for IE
Napisz jakie są reakcje systemu.
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Log z FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Odinstalowałem uTorrentControl_v6 Toolbar for IE i zresetowałem Firefoxa.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Czy po uruchomieniu komputera ponowie dalej występują jakieś problemy ?
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Nie. Wielkie dzięki za ekspresową pomoc
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ale nie zaszkodzi dodatkowy skan.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,jeśli coś wykryje nie podejmuj żadnej akcji.
Ściągnij Malwarebytes Anti-Rootkit [Aby zobaczyć linki, zarejestruj się tutaj]
kliknij next > update > next i scan
Napisz jakie są efekty
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Raport z Security Check.
[Aby zobaczyć linki, zarejestruj się tutaj]
Z Malwarebytes Anti-Rootkit dostałem coś takiego. Usuwać?
[Aby zobaczyć linki, zarejestruj się tutaj]
TDSSKillera jeszcze nie puściłem bo chce zrobić reboota.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ciekawe i nie wiem co o tym myśleć czekam na pozostały raport z TDSS,zrób dodatkowy raport w GMER [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Z TDSSKillera otrzymałem taki raport:
[Aby zobaczyć linki, zarejestruj się tutaj]
plus printscreen okienka:
[Aby zobaczyć linki, zarejestruj się tutaj]
Raport z GMER troche mi zajmie, w każdym tutorialu znajduje się kolejny tutorial a w nim następny
EDIT:
Gubię się gdy przychodzi do usunięcia klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd
w tym tutorialu:
[Aby zobaczyć linki, zarejestruj się tutaj] żne-oprogramowanie-emulujące-napędy/
Odinstalowałem Daemon Tools Lite, uruchomiłem SPTDinst-x64.exe ale nie wiem jak usunąć ten klucz. Tak normalnie z regedit?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Pliki wykryte przez tdss to nic takiego są po prostu nie podpisane cyfrowo
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 01 lut 2014, 17:11
tak a nie idzie dalej z rejestru tego wywalić ?
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Po tym jak miałem problemy z Winlogon nie próbowałem, w tym tutorialu skierowali mnie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Ale z tego już niewiele zrozumiałem a trochę się boję na tym rejestrze operować
Regedit zwrócił błąd przy usuwaniu klucza. Został cały folder Cfg.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg
EDIT:
Spróbowałem usunąć resztę tego klucza za pomocą RegASSASSINa ale zwrócił komunikat, że mu się nie udało. Nie wiem co dalej z tym zrobić? Zostawić tak jak jest?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Staraj się strony dawać w spoiler
Dodano: 01 lut 2014, 18:18
Musisz to zrobić tak jak tam jest podane czyli zmiana uprawnień,program w tym wypadku RegASSASSIN się nie nada dopóki te uprawniania nie będą zmienione.
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj]
w kroku:
4. Przechodzimy do zakładki Owner / Właściciel, zaznaczamy nasze konto, na dole ptaszkujemy opcję Zamień właściciela dla podkontenerów i obiektów i zatwierdzamy wszystko:
Dostaję komunikat, że edytor rejestru nie może ustawić właściciela dla wybranego klucza lub niektórych jego podkluczy.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
w menu start uruchom > regedit > uruchom jako administrator następnie jak już przejdziesz do tego sptd klik prawym > uprawnienia i na dole zaznacz > zastąp wszystkie uprawnienia obiektów itd. klik zastosuj i tak.
Zaznacz obiekt sptd prawym klawiszem myszy i usuń,zamknij rejestr i restart.
Liczba postów: 12
Liczba wątków: 1
Dołączył: 01.02.2014
Reputacja:
0
Dodaje dwa logi bo pierwszy wykonałem ale zapomniałem wyłączyć przeglądarkę. Na drugim powinno być mniej programów też.
[Aby zobaczyć linki, zarejestruj się tutaj] - z włączoną Operą
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Szczerze nic tu nie widzę specjalnego,jutro zajmiemy się resztą.
Dodano: 02 lut 2014, 14:58
Czy w GMER zastałeś jakieś komunikaty oznaczone na czerwono ?
|