Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

malware na laptopie - kilka usterek?

wesolo 01 Cze 2012 16:45 1243 8
  • #1 01 Cze 2012 16:45
    wesolo
    Poziom 7  

    hej. jestem osobą, która w pierwszej kolejności próbuje wygooglowac rozwiązania komputerowych problemów, ale muszę przyznac, że teraz jestem nieco bezradna.

    otóż nasz "rodzinny" laptop został troche zapuszczony i zawiruszony, walczę z nim od rana i nie moge sobie poradzic.

    system - windows xp

    po pierwsze po włączeniu systemu ukazuje sie komunikat o 16-bitowym msdos (na dole link do screena)

    po drugie kolejny dziwny komunikat, również screen

    trzecia sprawa, najbardziej uciążliwa - po podłączeniu pendrive'a wszystkie foldery zmieniają się w skróty.

    a, i nie dziala wklepywanie c z kreską, wszystkie inne polskie działają jak trzeba.

    pierwsze, co zrobiłam (nie wiem na ile jest to przestarzała metoda), zrobiłam skana hijackthis i poradził mi wywalenie calego pliku hosts z systemu, czy jakoś tak. jak cos probowalam fixnac, w sumie nic sie nie zmienialo.

    skan avirą - w sumie nic nie wykazała.

    potem sciagnelam malwarebytes antimalware, zrobilam skan, znalazl paredziesiat syfów i niby wszystko wywalil, restart, a tu bez zmian. drugi raz przeskanowalam, znalazl to samo, niby naprawil, znowu bez zmian po resecie.

    pena probowalam naprawic usbfixem, ale zacial sie na 14% (wczesniej tak robilam z innym zainfekowanym penem na innym komputerze i doszedl do siebie)

    malware na laptopie - kilka usterek?

    malware na laptopie - kilka usterek?

    załączam log z otl

    http://wklej.eu/index.php?id=2632328265

    http://wklej.eu/index.php?id=460a3ef964

    0 8
  • #2 01 Cze 2012 17:09
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Google Toolbar for Internet Explorer
    Adobe Reader 7.0.8, zmien na Foxit: ninite.com/foxit/

    Do aktualizacji:
    Java(TM) 6 Update 11 -> www.java.com
    Mozilla Firefox (2.0.0.20) -> www.mozilla.org/pl/firefox/
    Mozilla Thunderbird (8.0) -> www.mozilla.org/pl/thunderbird/



    Podlacz zainfekowane pendrive'y i uzyj USBFix, opcja Vaccinate.

    Wykonaj skrypt w OTL:

    :OTL
    PRC - [2012-06-01 16:16:50 | 000,113,792 | ---- | M] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2F0.exe
    PRC - [2012-06-01 15:20:45 | 000,051,200 | RHS- | M] () -- C:\WINDOWS\csdrive32.exe
    IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1bddd18e-114e-11e1-8f01-0019d22a569c&q={searchTerms}
    IE - HKU\S-1-5-21-2451457104-2606248916-1942386370-1005\..\SearchScopes\{51F8E2DE-43D2-4AC2-9941-003AF74FD1DD}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
    IE - HKU\S-1-5-21-2451457104-2606248916-1942386370-1005\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1bddd18e-114e-11e1-8f01-0019d22a569c&q={searchTerms}
    FF - prefs.js..browser.search.defaultengine: "Web Search"
    FF - prefs.js..browser.search.defaultenginename: "Web Search"
    FF - prefs.js..browser.search.order.1: "Web Search"
    FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=1bddd18e-114e-11e1-8f01-0019d22a569c&q="
    [2011-11-17 20:58:42 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Zbigniew\Dane aplikacji\Mozilla\Firefox\Profiles\jsorj1kw.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403}
    [2010-08-18 20:31:22 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\Mozilla\Firefox\Profiles\jsorj1kw.default\searchplugins\daemon-search.xml
    [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\Mozilla\Firefox\Profiles\jsorj1kw.default\searchplugins\startsear.xml
    O4 - HKLM..\Run: [c2ovi] C:\WINDOWS\system32\scvdll.exe ()
    O4 - HKLM..\Run: [Microsoft Driver Setup] C:\WINDOWS\csdrive32.exe ()
    O4 - HKLM..\Run: [scvdll] C:\WINDOWS\system32\scvdll.exe ()




    O4 - HKU\S-1-5-21-2451457104-2606248916-1942386370-1005..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
    O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
    O20 - HKU\S-1-5-21-2451457104-2606248916-1942386370-1005 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
    O33 - MountPoints2\{698776ad-fc08-11dd-8dff-0019d22a569c}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{698776ad-fc08-11dd-8dff-0019d22a569c}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{8a2d436d-d4f9-11dd-8dec-001d7e108c68}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{8a2d436d-d4f9-11dd-8dec-001d7e108c68}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{9e3d47ec-f150-11de-8e30-0019d22a569c}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{9e3d47ec-f150-11de-8e30-0019d22a569c}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{9e3d47ed-f150-11de-8e30-0019d22a569c}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{9e3d47ed-f150-11de-8e30-0019d22a569c}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{c20c8a40-64ee-11df-8e53-0019d22a569c}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{c20c8a40-64ee-11df-8e53-0019d22a569c}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{c728ea26-d321-11e0-8ee8-001641e37a7b}\Shell - "" = AutoRun
    O33 - MountPoints2\{c728ea26-d321-11e0-8ee8-001641e37a7b}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{c7fbd048-e5b5-11e0-8eef-001641e37a7b}\Shell\AutoRun\command - "" = F:\scvdll.exe
    O33 - MountPoints2\{c7fbd048-e5b5-11e0-8eef-001641e37a7b}\Shell\open\command - "" = F:\scvdll.exe
    O33 - MountPoints2\{e4c6f88a-aea1-11de-8e2b-0019d22a569c}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{e4c6f88a-aea1-11de-8e2b-0019d22a569c}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{f540d29e-738b-11df-8e5a-0019d22a569c}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    O33 - MountPoints2\{f540d29e-738b-11df-8e5a-0019d22a569c}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
    [2012-06-01 16:17:01 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2F4.exe
    [2012-06-01 16:16:57 | 000,051,200 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2F3.exe
    [2012-06-01 16:16:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2F2.exe
    [2012-06-01 16:16:53 | 000,040,960 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2F1.exe
    [2012-06-01 16:16:50 | 000,113,792 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2F0.exe
    [2012-06-01 15:20:57 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E9.exe
    [2012-06-01 15:20:55 | 000,040,960 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E8.exe
    [2012-06-01 15:20:52 | 000,113,792 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E7.exe
    [2012-06-01 15:20:49 | 000,051,200 | RHS- | C] () -- C:\WINDOWS\csdrive32.exe
    [2012-06-01 15:20:49 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E6.exe
    [2012-06-01 15:20:45 | 000,051,200 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E2.exe
    [2012-06-01 15:20:30 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E1.exe
    [2012-06-01 15:20:26 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E0.exe
    [2012-06-01 15:18:55 | 000,000,193 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\11.exe
    [2012-06-01 13:48:12 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E5.exe
    [2012-06-01 13:48:10 | 000,040,960 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E4.exe
    [2012-06-01 13:48:08 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2E3.exe
    [2012-05-26 17:09:13 | 000,051,200 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2DF.exe
    [2012-05-26 17:09:04 | 000,113,792 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2DD.exe
    [2012-05-26 17:08:57 | 000,000,193 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2DB.exe
    [2012-05-23 22:05:56 | 000,046,592 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2D8.exe
    [2012-05-23 22:05:52 | 000,051,200 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2D7.exe
    [2012-05-23 21:51:29 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2D6.exe
    [2012-05-23 21:51:26 | 000,113,792 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2D5.exe
    [2012-05-23 21:51:22 | 000,051,200 | ---- | C] () -- C:\Documents and Settings\Zbigniew\Dane aplikacji\2D4.exe
    [2010-08-16 20:50:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\e4183eb
    [2011-11-17 20:58:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Zbigniew\Dane aplikacji\VshareComplete

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\DOCUME~1\Zbigniew\USTAWI~1\Temp\0445898.exe" =-
    "C:\DOCUME~1\Zbigniew\USTAWI~1\Temp\49717.exe" =-
    "C:\Documents and Settings\Zbigniew\Dane aplikacji\2D4.exe" =-
    "C:\Documents and Settings\Zbigniew\Dane aplikacji\2DF.exe" =-
    "C:\Documents and Settings\Zbigniew\Dane aplikacji\2E2.exe" =-

    :Commands
    [resethosts]
    [emptytemp]


    Po wykonaniu daj nowy log ze skanowania.

    0
  • #3 01 Cze 2012 21:45
    wesolo
    Poziom 7  

    po wklejeniu skryptu i rozpoczęciu wykonywania pokazał się komunikat "killing processes. DO NOT INTERRUPT", zostawiłam laptopa na godzinę a gdy wróciłam nadal to samo + brak odpowiedzi. ile powinno trwać wykonywanie skryptu? zrobiłam reset, próbować jeszcze raz z tym samym skryptem?

    0
  • #4 01 Cze 2012 22:19
    Kolobos
    Spec od komputerów

    Tak, jezeli znowu sie zawiesi to uruchom system w trybie awaryjnym i tam wykonaj skrypt.

    0
  • #5 01 Cze 2012 23:26
    wesolo
    Poziom 7  

    ok, w trybie awaryjnym ładnie poszło, po uruchomieniu pojawił się taki plik: http://wklej.eu/index.php?id=346594de69

    a tu log z przeskanowania: http://wklej.eu/index.php?id=194ea69301

    po tym uruchomieniu nie pojawił się już błąd związany z 16bitowym msdosem. komunikat "client security solution" nadal występuje, i po uruchomieniu samoczynnie włącza się folder "moje dokumenty" (wcześniej myślałam, że przypadkowo kliknęłam na ikonę, teraz widzę że to nie przypadek)

    pena fixnęłam, niby ok ale znowu po kolejnym podłączeniu pojawił się skrót do folderu RECYCLER, on ma tam być?

    0
  • #6 01 Cze 2012 23:40
    Kolobos
    Spec od komputerów

    Daj log z combofix oraz nowy log z OTL.

    0
  • Pomocny post
    #8 02 Cze 2012 11:10
    Kolobos
    Spec od komputerów

    Pamietaj o aktualizacji javy -> www.java.com

    Nowy skrypt dla OTL:

    :OTL
    O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

    Reszta wyglada ok. Wybierz Sprzatanie w OTL.


    Co do komunikatu to wejdz do biosu przy starcie komputera pod F1
    Przejdz do Security -> Security Chip i zmien status na Inactive. Na koniec F10.

    0
  • #9 02 Cze 2012 11:47
    wesolo
    Poziom 7  

    posprzątane. jave zaktualizowałam już wcześniej, ale zrobiłam to teraz jeszcze raz.

    dziękuję!

    0
  Szukaj w 5mln produktów