Tr dropper.gen - spor internet

[sleepyhollow]

Bok,

Brat mi je ''skinuo'' ovaj virus s neta, naravno ne zna kako, kad i što je pri tom skidao. Kad god sam upalila komp avira je javljala probleme, uglavnom stvarale su se po dvije datoteke u lokalnom C disku/Local settings tipa - temp.216, temp.217 itd., kod mene i kod brata na računu i onda još nađe ovog trojanca. Znam da već imaju teme o ovom virusu ali meni ni jedno rješenje nije pomoglo. Imam Aviru, Malwarebytes Anti-Malware, SUPERAntispyware CCLeaner, i AdvancedSystemCare. Skenirala sam sa superantispyware i obrisala sam tr/dropper.gen i ostala *ranja. Poslije sa avirom i mbam i naravno trojanca više nije bilo a ni onih datoteka u local settings mapi. Proguglala sam taj tr/dropper.gen i našla masu rješenja. ofc ni jedno nije pomoglo. Svako malo skeniram komp s avirom i ona ne pronalazi nikakve probleme a meni je net još uvijek spor. Nekih 20 min mogu surfati normalno a onda jedva otvara stranice i veza je jako spora. I da u taskbar manager-u imam nekih 7 svchost.exe procesa, mislim da ih prije nije bilo tako puno pa nezz da li i to ima veze s ovim? Ne znam što dalje. Please help

[dobrota]

uradi ovako
http://www.forum.hr/showthread.php?t=509701

[sleepyhollow]

Jedva..... ali evo

OTL

EXTRAS

[dobrota]

Quote:

sleepyhollow kaže:

Jedva..... ali evo

OTL

EXTRAS

tko ti je ovo pokušao čistiti računalo ?.....dds.scr i combofix ?

otvori OTL i ovo kopiraj u prazno polje

Kod:

:services

:OTL
PRC - [2012.05.20 06:24:50 | 000,255,488 | -HS- | M] () -- C:\WINDOWS\system32\wmpdf86.exe
MOD - [2012.05.20 06:24:50 | 000,255,488 | -HS- | M] () -- C:\WINDOWS\system32\wmpdf86.exe
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Samira\LOCALS~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 40 35 45 1D B3 E2 CC 01  [binary data]
IE - HKCU\..\SearchScopes\{080FBDF6-B230-4e4d-A4E7-7C7A56D7BABC}: "URL" = http://searchservice.myspace.com/index.cfm?fuseaction=sitesearch.results&qry={searchTerms}&type=Web&orig=IMC-IE
IE - HKCU\..\SearchScopes\{5F4764C9-A953-44D8-BA81-4C334ADB8090}: "URL" = http://rover.ebay.com/rover/1/711-53200-19255-0/1?satitle={searchTerms}&ext={searchTerms}&customid=&toolid=10001&campid=5336017972&type=3
IE - HKCU\..\SearchScopes\{6CD9BBE3-DD01-49C6-BE7D-9AC27CA79035}: "URL" = http://www.amazon.com/gp/search?keywords={searchTerms}&index=blended&tag=dffx-20&camp=1789&creative=9325&linkCode=ur2&ie=UTF-8
IE - HKCU\..\SearchScopes\{9B6103C1-F818-48a8-9683-314055BE6075}: "URL" = http://mystart.hiyo.com/?search={searchTerms}&loc=ie_search
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKCU\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://search.avg.com/route/?d=4cce9d15&v=6.10.6.4&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=DVS
IE - HKCU\..\SearchScopes\{D9B515A6-8EFD-4f11-B19E-168305969F1C}: "URL" = http://www.ask.com/web?&o=13795&l=dis&q={searchTerms}
FF - prefs.js..browser.search.selectedEngine: "My Web Search"
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (WitBHO Class) - {75ED56AF-4DC9-4243-A30C-4EF4DD0CA28F} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [Windows Media Services] C:\WINDOWS\system32\wmpdf86.exe ()
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
[3 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[3 C:\Documents and Settings\Samira\Desktop\*.tmp files -> C:\Documents and Settings\Samira\Desktop\*.tmp -> ]
[1 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
[1 C:\Documents and Settings\Samira\My Documents\*.tmp files -> C:\Documents and Settings\Samira\My Documents\*.tmp -> ]
[2012.05.21 11:09:13 | 000,000,752 | ---- | M] () -- C:\windows\System32\drivers\kgpcpy.cfg
[2012.05.21 11:02:18 | 000,000,752 | ---- | C] () -- C:\windows\System32\drivers\kgpcpy.cfg
[2012.05.20 21:03:00 | 000,255,488 | -HS- | C] () -- C:\windows\System32\wmpdf86.exe
[2011.03.29 21:08:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\31128
[2009.08.25 00:48:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\A3D8
[2009.04.16 00:19:13 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\e97c780


:files
C:\windows\System32\wmpdf86.exe
type "C:\ComboFix.txt" /c

:Commands
[emptytemp]
[EMPTYFLASH]
[emptyjava]
[Reboot]

klik na RUN FIX

log koji doiješ kopiraj


2.izbriši tu kopiju comofix, skini novi i spremi na desktop
isključi antivirus
pokreni combofix i na sve što traži odgovori potvrdno
log kopiraj

[sleepyhollow]

Ma da, nema što nisam probala......Hvala puno evo napokon net radi kako treba a i komp je čist ....Još jednom hvala

[dobrota]

Quote:

sleepyhollow kaže:

Ma da, nema što nisam probala......Hvala puno evo napokon net radi kako treba a i komp je čist ....Još jednom hvala

a logovi?

bilo bi možda bolje da ja pregledam logove i donesem zaključak...no, kako želiš

izbriši otl i combofix

otvori OTL i klik na clean up

[sleepyhollow]

Skeniram s avirom sad, a combofix sam obrisala vec ako opet ne bude u redu javim se

[lamy987]

Kao što rekoh i meni je potrebna ista vrsta pomoći kao i ovoj djevojci, jer su mi i net i račinar u posljednje vrijeme užasno spori... Moji linkovi Nakon skeniranja OTL su:

http://speedy.sh/FB5AX/OTL.Txt

http://speedy.sh/TF2hS/Extras.Txt

[dobrota]

Quote:

lamy987 kaže:

Kao što rekoh i meni je potrebna ista vrsta pomoći kao i ovoj djevojci, jer su mi i net i račinar u posljednje vrijeme užasno spori... Moji linkovi Nakon skeniranja OTL su:

http://speedy.sh/FB5AX/OTL.Txt

http://speedy.sh/TF2hS/Extras.Txt

stranjkinjo imaš virus i gomilu toolbara, prvo ćemo uklonit virus pa nakon toga toolbare

1. odi u add/remove i izbriši sljedeće programe

Kod:

Ask Toolbar
avast! Free Antivirus
iLivid
"MyWebSearch bar Uninstall" = My Web Search (Smiley Central)
"Searchqu Toolbar" = Searchqu Toolbar
"Wyeke" = Wyeke 1.0 build 153

avast brišeš zato jer imaš verziju 5, a izašla je verzija 7 ( to ćemo nakon combofixa)

2.skini tdsskiller i spremi na desktop
-pokrei program klikom na start scan
-ako program zatraži restart >dozvoli
-log se obično nalazi u c: i izgleda otp. ovako
C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

3.skini combofix i spremi na desktop
-pokreni program i na sve što traži odgovori potvrdno
-log koji dobiješ nakon restarta kopiraj

samo polako, i ako se dogodi da se neki od programa nemognu pokrenut, nemoj se previše truditi, samo mi javi da znam

[lamy987]

Ne znam zašto ali računar mi ne dozvoljava da izbrišem:
ASK Toolbar i My Web Search (Smiley Central).
Svo vrijeme pokušavam ali ne ide?

[dobrota]

Quote:

lamy987 kaže:

Ne znam zašto ali računar mi ne dozvoljava da izbrišem:
ASK Toolbar i My Web Search (Smiley Central).
Svo vrijeme pokušavam ali ne ide?

nastavi dalje, ja ću ih izbrisati...

[lamy987]

Ovo je lin za log koji sam dobila nakon restarta:

http://speedy.sh/DfkMy/log.txt

[dobrota]

Quote:

lamy987 kaže:

Ovo je lin za log koji sam dobila nakon restarta:

http://speedy.sh/DfkMy/log.txt

tdsskiler log ?

jesi i pokrenia tdsskiller?

uradi ovako

1.otvori notepad
start/run/ u run polje kopiraj notepad i potvrdi s enter

kad se otvori notepad ovo kopiraj u notepad

Kod:

KillAll::

Driver::
ciriuxh
ASKService
ASKUpgrade

NetSvc::
ciriuxh

File::
C:\windows\system32\cpnqk.dll
c:\program files\AskBarDis\bar\bin\AskService.exe
c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe

Rootkit::
C:\windows\system32\cpnqk.dll

Folder::
c:\program files\AskBarDis

zatvori notepad i spremi kao CFScript na desktop

-skriptu s mišem uvuci u combofix.exe
-comofix će se opet pokrenuti, sačekaj dok ne završi i log opet kopiraj



2.skini OTLfix i spremi na desktop
-otvori OTL i OTLfix uvuci s mišem u OTL prazno polje
-ili otvori OTLfix , kopiraj sadržaj i zaljepi u OTL prazno polje
-klik na RUN FIX
-log kopiraj

3.skini aswMBR i sppremi na desktop
-pokreni program klikom na scan
-kad završi scan klik na save log
-log kopiraj

[lamy987]

Quote:

dobrota kaže:

tdsskiler log ?

jesi i pokrenia tdsskiller?

uradi ovako

1.otvori notepad
start/run/ u run polje kopiraj notepad i potvrdi s enter

kad se otvori notepad ovo kopiraj u notepad

Kod:

KillAll::

Driver::
ciriuxh
ASKService
ASKUpgrade

NetSvc::
ciriuxh

File::
C:\windows\system32\cpnqk.dll
c:\program files\AskBarDis\bar\bin\AskService.exe
c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe

Rootkit::
C:\windows\system32\cpnqk.dll

Folder::
c:\program files\AskBarDis

zatvori notepad i spremi kao CFScript na desktop

-skriptu s mišem uvuci u combofix.exe
-comofix će se opet pokrenuti, sačekaj dok ne završi i log opet kopiraj



2.skini OTLfix i spremi na desktop
-otvori OTL i OTLfix uvuci s mišem u OTL prazno polje
-ili otvori OTLfix , kopiraj sadržaj i zaljepi u OTL prazno polje
-klik na RUN FIX
-log kopiraj

3.skini aswMBR i sppremi na desktop
-pokreni program klikom na scan
-kad završi scan klik na save log
-log kopiraj

Oprosti što ovako dugo traje ali računar mi radi kao puž, pa dok odradi nešto, uključujuči i ovo što si mi rekao prava avntura.
1) Log za tdsskiler:
http://speedy.sh/UaRcd/TDSSKiller.2.....50.46-log.txt

2) Log za comofixs:
http://speedy.sh/7d9GP/log2.txt

3) Log za aswMBR:
http://speedy.sh/gTSFE/aswMBR.txt

[dobrota]

jesi li pokrenila OTL FIX ?

[lamy987]

Quote:

dobrota kaže:

jesi li pokrenila OTL FIX ?

Da samo sekund molim te, da vidim gdje sam spasila.

[lamy987]

Quote:

lamy987 kaže:

Da samo sekund molim te, da vidim gdje sam spasila.

Mislim da je to to, jer je ovo jedini log koji imam spašen da deskopu a nisam ti proslijedila. Ako ne bude odradit će opet samo OTL FIX... Hvala ti na stpljenju...

http://speedy.sh/dRgz9/06102012-155954.log

[dobrota]

Quote:

lamy987 kaže:

Mislim da je to to, jer je ovo jedini log koji imam spašen da deskopu a nisam ti proslijedila. Ako ne bude odradit će opet samo OTL FIX... Hvala ti na stpljenju...

http://speedy.sh/dRgz9/06102012-155954.log

je to je to

sad ćeš odradit scan s malwarebytesom

1.skini malwarebytes
-instaliraj program>pokreni update/nadogradnja i odaberi full scan/kompletna provjera
-log koji dobije kopiraj

2.ponovo pokreni OTL quick scan (ne trebaš dodatno ništa kopirati)
-još trebamo pobrisati zaostatke ako ih bude bilo i onda će biti sve ok

[lamy987]

Quote:

dobrota kaže:

je to je to

sad ćeš odradit scan s malwarebytesom

1.skini malwarebytes
-instaliraj program>pokreni update/nadogradnja i odaberi full scan/kompletna provjera
-log koji dobije kopiraj

2.ponovo pokreni OTL quick scan (ne trebaš dodatno ništa kopirati)
-još trebamo pobrisati zaostatke ako ih bude bilo i onda će biti sve ok

Log za OTL quick scan:
http://speedy.sh/QkVQ5/OTL.Txt

Log za rezultate s scan malwarebytesom:
http://speedy.sh/znAyp/mbam-log-2012-06-10-19-45-14.txt

[dobrota]

Quote:

lamy987 kaže:

Log za OTL quick scan:
http://speedy.sh/QkVQ5/OTL.Txt

Log za rezultate s scan malwarebytesom:
http://speedy.sh/znAyp/mbam-log-2012-06-10-19-45-14.txt

malwarevytes nije pronašao ništa posebno...jesi li uklonila odabrano ?

otvori OTL i ovo kopiraj u prazno polje

Kod:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
IE - HKCU\..\SearchScopes,DefaultScope = search13
IE - HKCU\..\SearchScopes\search13: "URL" = http://search13.net/search.php?q={searchTerms}
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.defaultthis.engineName: 
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://startsear.ch/?q="
FF - prefs.js..browser.search.selectedEngine: "Web Search...
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\6.bin
[2012.05.16 23:50:14 | 000,164,858 | ---- | M] () (No name found) -- C:\DOCUMENTS AND SETTINGS\MS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\ISPQRYJG.DEFAULT\EXTENSIONS\{37E4D8EA-8BDA-4831-8EA1-89053939A250}.XPI
[2011.09.11 15:42:07 | 000,089,388 | ---- | M] () (No name found) -- C:\DOCUMENTS AND SETTINGS\MS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\ISPQRYJG.DEFAULT\EXTENSIONS\{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI
[2012.06.10 16:01:42 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\MS\Application Data\Mozilla\Firefox\Profiles\ispqryjg.default\searchplugins\web-search.xml
[2012.02.27 18:14:39 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012.04.05 23:24:45 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
[2012.06.10 13:53:38 | 000,518,144 | ---- | C] (SteelWerX) -- C:\windows\SWREG.exe
[2012.06.10 13:53:38 | 000,406,528 | ---- | C] (SteelWerX) -- C:\windows\SWSC.exe
[2012.06.10 13:53:38 | 000,212,480 | ---- | C] (SteelWerX) -- C:\windows\SWXCACLS.exe
[2012.06.10 13:53:38 | 000,060,416 | ---- | C] (NirSoft) -- C:\windows\NIRCMD.exe
[2012.06.10 13:53:20 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.06.10 13:43:12 | 004,539,885 | R--- | C] (Swearware) -- C:\Documents and Settings\MS\Desktop\ComboFix.exe
[2012.06.10 13:42:14 | 002,127,960 | ---- | C] (Kaspersky Lab ZAO) -- C:\Documents and Settings\MS\Desktop\tdsskiller.exe
[2012.06.12 17:33:19 | 000,000,441 | ---- | M] () -- C:\windows\System32\drivers\etc\hosts.ics
[2012.06.10 13:53:38 | 000,256,000 | ---- | C] () -- C:\windows\PEV.exe
[2012.06.10 13:53:38 | 000,208,896 | ---- | C] () -- C:\windows\MBR.exe
[2012.06.10 13:53:38 | 000,098,816 | ---- | C] () -- C:\windows\sed.exe
[2012.06.10 13:53:38 | 000,080,412 | ---- | C] () -- C:\windows\grep.exe
[2012.06.10 13:53:38 | 000,068,096 | ---- | C] () -- C:\windows\zip.exe
[2010.08.11 22:03:16 | 000,000,065 | ---- | C] () -- C:\windows\popcinfo.dat

:Commands
[purity]
[emptytemp]
[resethosts]
[EMPTYFLASH]
[clearallrestorepoints]
[Reboot]

klik na RUN FIX
-log koji dobiješ kopiraj

nakon toga možeš izbrisati OTL

otvori OTL i klik na clean up

sad možeš instalirati avast 7

kad instaliraš avast, odradi i scan s njim i ako nešto pronađe kopiraj mi

i za kraj, javi kako sad radi računalo?