Skocz do zawartości

Naprawa SFCfix-em przy możliwym zawirusowaniu


Rekomendowane odpowiedzi

Dzień dobry.

 

W skrócie opis tematu.
4 dni temu usunąłem z laptopa przy pomocy Spyhunter 4 pewnego wirusa (nazwa niezapisana niestety, a support nie przechowuje historii nazw usuniętych w bazie), zapamiętałem tylko że na skali 5stopniowej miał stopień ryzyka 4, a działanie to przechwytywanie przeglądarki, uzyskanie kontroli nad komputerem, dostęp do zasobów.
Wirus wykryty w trybie awaryjnym i usunięty, choć w normalnym był niezauważalnym dla skanera spyhunter.
System miał już być ponoć czysty (logi sprawdzone przez support), pozostało "tylko" przywrócenie pozostałości po nim i przywrócenie prawidłowo działających sterowników.
Po nieudanych próbach zorientowałem się że i dostęp do konta jako admin zablokowany.
Kolejnym pomysłem było przywrócenie wersji cofnięcie aktualizacji systemu do stanu sprzed pojawienia się wirusa. Efektem nowe problemy np z zainstalowaniem antywirusa (próba avg i kapersky, w końcu Kaspersky udało się).
Tymczasem dostęp do funkcji administrator udało się odzyskać, jednak problem z systemem się pogłębiał.
Skanowanie przy pomocy Kaspersky oraz Eset online scanner - najpierw znalazły pliki adwarowe, potem czysto.
W końcu próba naprawy systemu przy pomocy funkcji sfc scanner (jako administrator) wykazała że część naprawiona, ale pozostają też nienaprawialne, więc spróbowałem programu SFCfix. Kilkukrotnie uruchomiony, wcześniej notował ze część nienaprawiona, przy kolejnej wszystko uzdrowione.
Skanery pokazywały że jest czysto, jednak problemy pozostały plus nowe - np komunikat ze strony Kasperskiego że była próba podmiany wyszukiwarki.
Jak doczytałem później na tutejszym forum nie można używać SFCfix przy zawirusowaniu.

 

Dalej uruchomiłem Gmer-a.
Wyrzucił listę podejrzanych plików i masę kilkuset procesów rootkit behaviour, ale nic konkretnie nie zidentyfikował.
Potem Frst-em.
Efekt po tych zabiegach jest że sterowniki nadal szwankują (zauważalne - USB), po którymś skanie Gmerem - bluescreen, przy ekranie logowanie się na konto użytkownika pojawiło się okno wyszukiwarką i wpisanym adresem web.
Zawieszenia, restarty i błędy systemu choć niby wszystko prawidłowo.
Proszę o poradę.
ps. Załączam skany Gmerem I Firstem.

 

EDIT: Ok, uzupełniam, odznaczyłem ptaszka w ustawieniach, przeskanowałem ponownie i jest brakujący shortcut.txt (z pozostałymi dwoma plikami z jednego skanu).
Jednak w międzyczasie miałem kolejną awarię sytemu i restart, czy zatem gmerem też skanować ponownie?

Gmer 17.01.txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane przez Rucek
Łączę.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

4 dni temu usunąłem z laptopa przy pomocy Spyhunter 4 pewnego wirusa (nazwa niezapisana niestety, a support nie przechowuje historii nazw usuniętych w bazie), zapamiętałem tylko że na skali 5stopniowej miał stopień ryzyka 4, a działanie to przechwytywanie przeglądarki, uzyskanie kontroli nad komputerem, dostęp do zasobów.

Wirus wykryty w trybie awaryjnym i usunięty, choć w normalnym był niezauważalnym dla skanera spyhunter.

System miał już być ponoć czysty (logi sprawdzone przez support), pozostało "tylko" przywrócenie pozostałości po nim i przywrócenie prawidłowo działających sterowników.

 

Cytuję z tematu picasso:

 

SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.

 

Jeśli Ty zechcesz odinstalować oprogramowanie SpyHunter to najpierw odinstaluj go z poziomu panelu sterowania, a następnie użyj SpyHunterCleaner. Żeby było jasne: to Twoja decyzja, niczego nie sugeruję, tylko informuję o licznych kontrowersjach jakie niesie ze sobą ten program.

 

P.S: Program Spybot - Search & Destroy jest już przestrzały i nie ochroni Cię przed zagrożeniami z dzisiejszej doby internetu. Zalecam deinstalacje.  

 


 

Ograniczamy się właściwie tylko do sprzątania po adware / PUP (więc pewnie dotychczasowe alerty Kasperskiego powinny zniknąć).

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BootExecute: 
GroupPolicy: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
S1 AVGIDSDriver; system32\DRIVERS\avgidsdrivera.sys [X]
S0 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X]
S1 Avgldx64; system32\DRIVERS\avgldx64.sys [X]
S0 Avgmfx64; system32\DRIVERS\avgmfx64.sys [X]
S0 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Ciekawe rzeczy. Dzięki, korzystam z porady zatem i Spyhunter wreszcie odinstalowany. Co prawda SpyhunterCleaner był wykrywany na początku jako wirus przez Kasperskyego ale po wyłączeniu ochrony w końcu ruszył.

Zaraz po usunięciu Spyhuntera, Kaspersky zakomunikował następnego wirusa - usunięty.

 

 

Shortcut.txt

Addition.txt

FRST.txt

Fixlog.txt

AdwCleanerS14.txt

Odnośnik do komentarza
Kaspersky zakomunikował następnego wirusa - usunięty.
 
Daj z tego raport. 
 

 
 
Nie wszystko pomyślnie wykonane, jedziemy dalej:
 
1. Przywróć domyślny Hosts - KLIK.

 

2. AdwCleaner nic nie wykrył, za to ja chcę abyś i tak przeprowadził dezynfekcję z opcji Oczyść, ale uprzednio rozwiń pasek Opcje i zaznacz opcję Resetuj zasady IE.

 

3. Przeprowadź całościowe skanowanie systemu za pomocą programu Malwarebytes AntiMalware (masz na dysku). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut

Odnośnik do komentarza

1. zamieniłem nazwę pliku "hosts.20160217-092543.backup" na "hosts.old" i nie wiem czy prawidłowo gdyż w instrukcji jest
"Wybierz plik Hosts i zmień jego nazwę na "Hosts.old".", a takiego o tej nazwie w katalogu nie było.
2. zresetowałem w Adwcleanerze poprzez opcję IE policies , mam nadzieje że o to chodziło.
3. Pokazuje że wszystko czysto więc nie wklejam raportu.
4. ok.

 

EDIT:
Dodatkowo wspomnę o niektórych symptomach wskazujących na możliwość obecności niezłego syfu:
- zdarzające się kilkunastominutowe obciążenie procesora i zwolnienie pracy, bardzo wolne pojawianie się liter w edytorze,
- awaria routera, interwencja ekipy dostawcy przywróciła szybko, oficjalne wytłumaczenie to stare, cienkie i wyeksploatowane okablowanie i że trzeba je wymienić, ale ja zastanawiam się czy sama infekcja nie była przyczyną,
- uruchomienie panelu cmd z poziomu administratora po to aby puścić sfc /scannow, przy niektórych skanach wyświetlało zamiast wyjściowego c:\windows\system32> to coś zbliżonego do c:\windows\system32\...\kerish_doctor>
(robione kilka dni temu, teraz już startuje normalnie)
- próba przesłania poprzez usb plików ze smartfona na laptopa. Otóż po podłączeniu telefonu po nastu sekundach pojawiał się komunikat że nie może zainstalować sterownika urządzenia usb (lub że urządzenie nie zostało rozpoznane). Później zauważyłem lekko niepokojące symptomy smartfona - zacinanie się, problemy z rozmowami oraz na pewno nie instalowaną przeze mnie aplikację "peel remote control" na androida (próba usunięcia przez zwykła funkcję usuń, ale nie dowierzam skuteczności). Podejrzenia mam że atak na telefon może być skorelowany z atakiem na laptopa, że może być jakiś pakiet wrednych wirusów na różne urządzenia.
- plus wspomniane wcześniej problemy ze sterownikami, wyskakującymi oknami przegladarki na panelu logowanie do konta użytkownika, bluescreeny, restarty - choć obecnie te symptomy jakby wyraźnie zelżały.

Kas raport.txt

Addition.txt

FRST.txt

Shortcut.txt

Edytowane przez Rucek
Łączę.
Odnośnik do komentarza

Wszystko pomyślnie wykonane (Hosts równiez pomyślnie przywrócony). Od strony infekcji wygląda to już OK, oprócz feralnej mapy domen w przeglądarce IE.

 

IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\007guard.com -> install.007guard.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\008k.com -> www.008k.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\00hq.com -> www.00hq.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\010402.com -> 010402.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\032439.com -> 80gw6ry3i3x3qbrkwhxhw.032439.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\0scan.com -> www.0scan.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1-2005-search.com -> www.1-2005-search.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1-domains-registrations.com -> www.1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1000gratisproben.com -> www.1000gratisproben.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\1001namen.com -> www.1001namen.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\100888290cs.com -> mir.100888290cs.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\100sexlinks.com -> www.100sexlinks.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\10sek.com -> www.10sek.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\12-26.net -> user1.12-26.net
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\12-27.net -> user1.12-27.net
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123fporn.info -> www.123fporn.info
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123haustiereundmehr.com -> www.123haustiereundmehr.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123moviedownload.com -> www.123moviedownload.com
IE restricted site: HKU\S-1-5-21-852325117-2263741781-2189377267-500\...\123simsen.com -> www.123simsen.com
 
Wykryto więcej niż wyliczono: 7868 witryn.

 

Stawiam na to, że jest to martwe (działania podjęte przeze mnie powinny to usunąć), więc zostawiam.

 

- próba przesłania poprzez usb plików ze smartfona na laptopa. Otóż po podłączeniu telefonu po nastu sekundach pojawiał się komunikat że nie może zainstalować sterownika urządzenia usb (lub że urządzenie nie zostało rozpoznane). Później zauważyłem lekko niepokojące symptomy smartfona - zacinanie się, problemy z rozmowami oraz na pewno nie instalowaną przeze mnie aplikację  "peel remote control" na androida (próba usunięcia przez zwykła funkcję usuń, ale nie dowierzam skuteczności). Podejrzenia mam że atak na telefon może być skorelowany z atakiem na laptopa, że może być jakiś pakiet wrednych wirusów na różne urządzenia.

 

Telefon przeskanuj za pomocą Malwarebytes Anti-Malware For Android. Jeśli coś wykryje to niczego nie usuwaj, a poinformuj mnie o wynikach. 

 


 

Reszta problemów wymienionych przez Ciebie raczej nie ma podłoża infekcyjnego, więc po sprawdzeniu telefonu temat leci do działu Windows 7.

Odnośnik do komentarza

1. Czy kod ten mam jakoś użyć czy zachować? Bo nic mi jego zawartość nie mówi.

 

2. "Od strony infekcji wygląda to już OK, oprócz feralnej mapy domen w przeglądarce IE."
Nie rozumiem terminu "feralna mapa domen", czy może stanowić ta feralna mapa jeszcze jakieś potencjalne źrodło zagrożenia?

 

3. Dziwne - ale dopiero co wyskoczył mi komunikat w stylu "eksplorator windows przestał działać" - a dziwne, ponieważ otwieram go bez problemu. Drugi komunikat (nigdy dotychczas się nie pojawiał) o wykupie licencji na głos Ivona Reader Jacek, mimo że sprawdzam i uruchamiam program Ivona z tym głosem normalnie.

 

4. " Stawiam na to, że jest to martwe (działania podjęte przeze mnie powinny to usunąć), więc zostawiam."
Aha, ale czy możemy to jeszcze zweryfikować i uzyskać pewność?

 

5. Przeskanowałem smartfona Malwarebytem na androida i wykazuje czysto, przeskanowałem go zaś USBfix-em to wykazał 1 infekcję.

 

6. Kolejny problem - to nie można uruchomić Adobe Flash Player na Chromie, mimo że komunikuje że jest on włączony, to nie działa.

 

Raport z infekcji - USBfix

UsbFix_Report.txt

Edytowane przez Rucek
Łączę.
Odnośnik do komentarza

Detekcja UsbFix do usunięcia. 

 

1. Czy kod ten mam jakoś użyć czy zachować? Bo nic mi jego zawartość nie mówi.

 

Nie, podałem go tylko w celu informacyjnym, nie tylko dla Ciebie, lecz również dla osób, które być może analizują moje tematy ucząc się przy tym. 

 

2. "Od strony infekcji wygląda to już OK, oprócz feralnej mapy domen w przeglądarce IE."

Nie rozumiem terminu "feralna mapa domen", czy może stanowić ta feralna mapa jeszcze jakieś potencjalne źrodło zagrożenia?

 

Raczej nie, to są bardzo, bardzo stare modyfikacje adware. Stawiam, że wszystkie te hosty są i tak już od dawna nieaktywne, a sama mapa jest martwa.

 

3. Dziwne - ale dopiero co wyskoczył mi komunikat w stylu "eksplorator windows przestał działać" - a dziwne, ponieważ otwieram go bez problemu. Drugi komunikat (nigdy dotychczas się nie pojawiał) o wykupie licencji na głos Ivona Reader Jacek, mimo że sprawdzam i uruchamiam program Ivona z tym głosem normalnie.

 

Ad. 1 Czasem się zdarza, gdy jakiś program się np. wyspie. Nawet ja mam to czasem u siebie w systemie.

Ad. 2 Nic dziwnego, to na pewno nie oznaka infekcji.

 

4. " Stawiam na to, że jest to martwe (działania podjęte przeze mnie powinny to usunąć), więc zostawiam."

Aha, ale czy możemy to jeszcze zweryfikować i uzyskać pewność?

 

Patrz wyżej. 

 

5. Przeskanowałem smartfona Malwarebytem na androida i wykazuje czysto, przeskanowałem go zaś USBfix-em to wykazał 1 infekcję.

 

OK, detekcja z UsbFix do kasacji.

 

6. Kolejny problem - to nie można uruchomić Adobe Flash Player na Chromie, mimo że komunikuje że jest on włączony, to nie działa.

 

Zauważyłem, że to się zdarza coraz częściej tu na forum. Spróbuj zostawać się do tej instrukcji: KLIK.

Odnośnik do komentarza

1. Problem z Chromem rozwiązałem już reinstalując go na nowo.
2. nie do końca przyznam uspokajają mnie zapewnienia że jest już czystko od trojanów, przeskanowałem dopiero co
przy pomocy Eset online scanner i wykrył coś takiego "appinit_dlls" który miał mieć cechy rootkit behaviour (usunąłem to).

 

EDIT 1: wreszcie i skan AswMBR-em wykazuje jakąś podejrzaną obecność, jednak tutaj na fix się niezdecydowałem gdyż komunikat ostrzegł przed poważnym ryzykiem rozłożenia systemu, więc wklejam loga tutaj.

 

EDIT 2:
3. "drobiazg" o którym zapomniałem - zdarzyła sie ostatnio poważna awaria systemu po nieautoryzowanej przeze mnie aktualizacji win7. Otóż - najpierw sam się zaktualizował, bez mojej wiedzy, dopiero gdy zrestartowałem system to to się ukazało, by niby osiągnąwszy 100% zawiesić się na kilka minut, by po twardym restarcie, anulować tę aktualizację. Ot tak "normalne" zachowuje się ten mój "czysty system".
ps. ustawione jest na aktualizacje za zgodą.

 

EDIT 3: 4. tymczasem nowe problemy - dzisiajszy skan Gmer-em, efekt to zawieszenie systemu i restart. Następny skan już bezawaryjny.

 

5. "Wyłączone warstwy ochrony w czasie rzeczywistym" - MBAM ujawnia, na "włącz" MBAM nie reaguje.

aswMBR.txt

Odnośnik do komentarza
  • 2 tygodnie później...

1. Problem z Chromem rozwiązałem już reinstalując go na nowo.

 

OK.

 

2. nie do końca przyznam uspokajają mnie zapewnienia że jest już czystko od trojanów, przeskanowałem dopiero co przy pomocy Eset online scanner i wykrył coś takiego "appinit_dlls" który miał mieć cechy rootkit behaviour (usunąłem to).

Z fusów nie wróże, - dostarcz raport z tego wykrycia. 

 

3. "drobiazg" o którym zapomniałem - zdarzyła sie ostatnio poważna awaria systemu po nieautoryzowanej przeze mnie aktualizacji win7. Otóż - najpierw sam się zaktualizował, bez mojej wiedzy, dopiero gdy zrestartowałem system to to się ukazało, by niby osiągnąwszy 100% zawiesić się na kilka minut, by po twardym restarcie, anulować tę aktualizację. Ot tak "normalne" zachowuje się ten mój "czysty system".

ps. ustawione jest na aktualizacje za zgodą.

Pokaż jak wygląda historia aktualizacji w Windows Update. 

 

4. tymczasem nowe problemy - dzisiajszy skan Gmer-em, efekt to zawieszenie systemu i restart. Następny skan już bezawaryjny.

 

To było raczej jednorazowe zdarzenie.  

 

5. "Wyłączone warstwy ochrony w czasie rzeczywistym" - MBAM ujawnia, na "włącz" MBAM nie reaguje.

 

Nie upłyną przypadkiem okres próbny? Jeśli nie to przeinstaluj MBAM i zobacz jakie efekty.

 

EDIT 1: wreszcie i skan AswMBR-em wykazuje jakąś podejrzaną obecność, jednak tutaj na fix się niezdecydowałem gdyż komunikat ostrzegł przed poważnym ryzykiem rozłożenia systemu, więc wklejam loga tutaj.

 

Na analizę tego raportu musisz dać mi więcej czasu, odpowiem jako nowy post, byś zauważył odpowiedź.

 

Zrób również log z narzędzia Kaspersky TDSSKiller. Jeśli coś wykryje to niczego nie usuwaj, chcę tylko raport.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...