SafeGroup

Proszę o pomoc...
08-08 po wejściu na stronę www uruchomiły się jakieś skrypty i komputer zaczął wariować - poznikały mi ikony, pasek windows i musiałem zrestartować go. Po uruchomieniu zaczął mi się włączać sam IE i pokazywać dziwne reklamy.
Po uruchomieniu skanera Norton znalazł Trojan.Gen.2 i wpakował go do kwarantanny. Znalazł również "Tracing Cookis" - i one pojawiają się bez przerwy (co skanowanie) nie potrafię ich usunąć.

Okno z reklamami wciąż wyskakuje, w systemie są uruchomione dziwne procesy i na jednym z nich wywala czasem błąd "8Q5hTg5d.exe (użytkownik - system) Jak zamknę te procesy ręcznie to za pięć minut już są z powrotem - zwykle 3 te same. W sieci brak info o tym procesie. Proszę o pomoc - w załączniku wynik z OTLa.

Dodano: 13 sie 2012, 0:11

Nie wiem czy jest załącznik więc raporty są pod linkami:

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

Te cookis to śledzące ciasteczka. Je można sobie darować Wink

Kod:
:Processes

Killallprocesses

:OTL

O33 - MountPoints2\{5bd41d27-9430-11e1-9423-0021cc71883a}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5bd41d27-9430-11e1-9423-0021cc71883a}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{5bd41d28-9430-11e1-9423-0021cc71883a}\Shell - "" = AutoRun

O33 - MountPoints2\{5bd41d28-9430-11e1-9423-0021cc71883a}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5bd41d28-9430-11e1-9423-0021cc71883a}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{5bd41d2b-9430-11e1-9423-0021cc71883a}\Shell - "" = AutoRun

O33 - MountPoints2\{5bd41d2b-9430-11e1-9423-0021cc71883a}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5bd41d2b-9430-11e1-9423-0021cc71883a}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{5bd41d35-9430-11e1-9423-081196c839b8}\Shell - "" = AutoRun

O33 - MountPoints2\{5bd41d35-9430-11e1-9423-081196c839b8}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5bd41d35-9430-11e1-9423-081196c839b8}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{5bd41d36-9430-11e1-9423-081196c839b8}\Shell - "" = AutoRun

O33 - MountPoints2\{5bd41d36-9430-11e1-9423-081196c839b8}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5bd41d36-9430-11e1-9423-081196c839b8}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{94affb38-dc91-11e1-9451-081196c839b8}\Shell - "" = AutoRun

O33 - MountPoints2\{94affb38-dc91-11e1-9451-081196c839b8}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{94affb38-dc91-11e1-9451-081196c839b8}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{94affb3b-dc91-11e1-9451-081196c839b8}\Shell - "" = AutoRun

O33 - MountPoints2\{94affb3b-dc91-11e1-9451-081196c839b8}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{94affb3b-dc91-11e1-9451-081196c839b8}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{94affb42-dc91-11e1-9451-081196c839b8}\Shell - "" = AutoRun

O33 - MountPoints2\{94affb42-dc91-11e1-9451-081196c839b8}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{94affb42-dc91-11e1-9451-081196c839b8}\Shell\AutoRun\command - "" = F:\AutoRun.exe

[2012-08-10 15:20:04 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At16.job

[2012-08-10 15:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At40.job

[2012-08-10 14:17:09 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At15.job

[2012-08-10 14:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At39.job

[2012-08-10 12:00:06 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At13.job

[2012-08-10 12:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At37.job

[2012-08-10 11:32:46 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At12.job

[2012-08-10 11:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At36.job

[2012-08-10 10:00:06 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At11.job

[2012-08-10 10:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At35.job

[2012-08-10 09:29:41 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At10.job

[2012-08-10 09:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\tasks\At34.job

[2012-08-09 22:57:51 | 000,130,048 | ---- | M] () -- C:\Documents and Settings\zayparusar\Application Data\nd.bin

[2012-08-09 22:57:46 | 000,080,896 | ---- | M] () -- C:\Documents and Settings\zayparusar\Application Data\1533.exe.gonewiththewings

[2012-08-09 18:15:29 | 000,080,896 | ---- | M] () -- C:\Documents and Settings\zayparusar\Application Data\14ED.exe.gonewiththewings

[2012-08-09 08:15:14 | 000,041,472 | ---- | M] () -- C:\Documents and Settings\zayparusar\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2012-08-08 22:53:29 | 000,080,896 | ---- | M] () -- C:\Documents and Settings\zayparusar\Application Data\3.exe.gonewiththewings

[2012-08-08 22:46:23 | 000,080,896 | ---- | M] () -- C:\Documents and Settings\zayparusar\Application Data\158.exe.gonewiththewings

[2012-08-08 22:46:21 | 000,103,424 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\8Q5hTg5d.exe

[2012-08-06 13:18:43 | 000,863,823 | ---- | M] () -- C:\Documents and Settings\zayparusar\Desktop\3433664022828.gif

[2012-08-06 09:15:14 | 001,293,316 | ---- | M] () -- C:\Documents and Settings\zayparusar\Desktop\2012_nemo3.pdf

[2012-08-12 12:30:58 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job

[2012-08-10 09:29:41 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At10.job

[2012-08-10 10:00:06 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At11.job

[2012-08-10 11:32:46 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At12.job

[2012-08-10 12:00:06 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At13.job

[2012-08-12 13:16:43 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At14.job

[2012-08-10 14:17:09 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At15.job

[2012-08-10 15:20:04 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At16.job

[2012-08-09 18:14:00 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At17.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At18.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At19.job

[2012-08-12 01:00:06 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At20.job

[2012-08-11 21:20:42 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At21.job

[2012-08-12 21:00:06 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At22.job

[2012-08-12 22:00:00 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At23.job

[2012-08-10 23:52:03 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At24.job

[2012-08-11 00:19:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At25.job

[2012-08-12 01:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At26.job

[2012-08-12 02:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At27.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At28.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At29.job

[2012-08-12 02:00:07 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At30.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At31.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At32.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At33.job

[2012-08-10 09:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At34.job

[2012-08-10 10:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At35.job

[2012-08-10 11:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At36.job

[2012-08-10 12:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At37.job

[2012-08-12 13:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At38.job

[2012-08-10 14:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At39.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job

[2012-08-10 15:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At40.job

[2012-08-09 16:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At41.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At42.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At43.job

[2012-08-08 22:46:26 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At44.job

[2012-08-11 20:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At45.job

[2012-08-12 21:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At46.job

[2012-08-12 22:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At47.job

[2012-08-10 23:00:00 | 000,000,418 | ---- | M] () -- C:\WINDOWS\Tasks\At48.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At5.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At6.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At7.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At8.job

[2012-08-08 22:46:25 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\At9.job

[2012-08-11 20:25:00 | 000,000,996 | ---- | M] () -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2958512448-4096777476-1221314625-104738Core.job

[2012-08-12 02:25:01 | 000,001,018 | ---- | M] () -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2958512448-4096777476-1221314625-104738UA.job

[2012-08-11 19:49:17 | 000,000,312 | ---- | M] () -- C:\WINDOWS\Tasks\PMTask.job

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM..\Run: []File not found

:Files

C:\Documents and Settings\zayparusar\Application Data\282.exe

C:\Documents and Settings\zayparusar\Application Data\272.exe

C:\Documents and Settings\zayparusar\Application Data\249.exe

C:\Documents and Settings\zayparusar\Application Data\1C3.exe

C:\Documents and Settings\zayparusar\Application Data\11A.exe

C:\Documents and Settings\zayparusar\Application Data\AF.exe

C:\Documents and Settings\zayparusar\Application Data\73.exe

C:\Documents and Settings\zayparusar\Application Data\62.exe

C:\Documents and Settings\zayparusar\Application Data\53.exe

C:\Documents and Settings\zayparusar\Application Data\23.exe

C:\WINDOWS\tasks\At25.job

C:\Documents and Settings\zayparusar\Application Data\3.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Online plug-in.lnk

C:\Documents and Settings\zayparusar\Application Data\2AE2.exe

C:\Documents and Settings\zayparusar\Application Data\2AD9.exe

C:\Documents and Settings\zayparusar\Application Data\2930.exe

:Commands

[EMPTYFLASH]

[EMPTYTEMP]

Naciśnij Wykonaj skrypt.

Postaraj się pobrać MBAM (

[Aby zobaczyć linki, zarejestruj się tutaj]

) . Wykonaj aktualizację oraz pełny skan. Pokaż raport z skanowania i usuwania Smile

Witam,

Raport po wykonaniu skryptu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport po skanie MBAM (jestem w szoku co tam było i norton tego nie wykrywał choć podejrzewałem te pliki i specjalnie je przeskanowałem!):

[Aby zobaczyć linki, zarejestruj się tutaj]

I jeszcze raz zrobiłem skan OTLem - raport poniżej:

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Wielkie dzięki za zainteresowanie się tym tematem,
Jak to teraz wygląda?

Do OTL jeszcze to:

Kod:
:Files

C:\Documents and Settings\zayparusar\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe

C:\WINDOWS\MusiccityDownload.exe

:OTL

O4 - HKU\S-1-5-21-2958512448-4096777476-1221314625-104738..\Run: [Facebook Update] C:\Documents and Settings\zayparusar\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)

O4 - HKU\S-1-5-21-2958512448-4096777476-1221314625-104738..\Run: [Vzlelz] C:\Documents and Settings\zayparusar\Application Data\Vzlelz.scr File not found

Rozumiem że te nazwy:

Kod:
admbarasma

admcwirkto

admkiedrpi

zaymichama

są Twoje?

W OTL po tym wszystkim naciśnij sprzątanie. To usunie go razem z kwaranntaną. Pobierz Hitman Pro - program skanuje szybko . Przeskanuj i usuń znalezione .
To wszystko. Miłego dnia Smile

Witam ponownie,

Skany zrobię po pracy po południu i dam znać.

Miałbym jeszcze jedno pytanie czy dobrze myślę - skąd była infekcja?

Z logów MBAM wyczytałem wkradł się trojan.downloader zprogramem Allplayer:

Wykrytych plików: 9
C:\Program Files\ALLPlayer\Plugins\Scripter''s Spectrum.svp (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

A to było aż w grudniu 2011 roku (data modyfikacji pliku).

Pozostali użytkownicy to nie ja, kompa dostałem w spadku w firmie. Admin by mnie zabił jakby widział co tu siedziało a w najlepszym wypadku zabrał by kompa - choć nie jestem pewny czy by znalazł coś... Smile

WIELKIE dzięki...

Skąd wzięła się infekcja to nie mam pojęcia Wink

Witam,

OTL - skrypt wykonany bez problemu.
przeskanowane - Hitmanem - wyskoczyły same ciasteczka. Muszę go kupić albo znajdę jakieś alternatywne oprogramowanie.

Przeskanowałem jeszcze raz MBAM i pojawia się wpis z rejestru:

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0)

ciekawe o tyle że w raporcie z poprzedniego skanowania był naprawiony niby:

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Dodanie do kwarantanny i naprawa pliku zakończyły się powodzeniem.

Czy to coś oznacza?

noo i reklamy się nie pojawiają - Smile

Wielkie Dzięki... Jeszcze raz Wink

Nie ma się co tym przejmować widocznie był antywirus wyłączony i został włączony.
Co do tej infekcji Spectrum.svp (Trojan.Downloader)jest to mylne stwierdzenie MBAM widocznie stara wersja allplayera była i tak ten skrypt czy tam plugin zinterpretował.
Można też wykonać w razie w skanowanie systemu z włożoną płytą z systemem w celu integralności plików w uruchom wpisz cmd i uruchom jako administrator w konsoli wpisz sfc /scannow i zatwierdź.

Oki dzięki wieczorkiem po pracy się pobawię...

kera.p

Waves

kera.p

Waves

kera.p

Waves

kera.p

tachion

kera.p