dandanio Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Jak widzę nie tylko ja wpadłem w ręce tego wirusa. Proszę o pomoc. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
dandanio Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Problem rozwiązany, użyłem "Malwarebytes Anti-Malware" Temat do zamknięcia. Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Nic z tego, i to nie jest kompletna procedura zamykająca czyszczenie. Proszę pokazać: raport z Malwarebytes + nowe logi z OTL (tym razem kompletne = brakuje pliku Extras = opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Odnośnik do komentarza
dandanio Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Rozumiem, na pewno wiecie więcej niż ja, dziękuje. Poniżej raporty z OTL, i dwa z Malwarebytes dzisiejszy i sobotni ( wtedy skasował Trojan'y ). Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... mbam-log-2012-07-14 (23-09-13).txtPobieranie informacji ... mbam-log-2012-07-16 (11-59-32).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 MBAM kasował owszem wpis tej infekcji, ale jeszcze trzeba wyrzucić foldery nadrzędne, a poza tym widać stare niedoczyszczone dobrze ślady rootkita ZeroAccess i adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180 C:\Users\Iwona\AppData\Roaming\hellomoto C:\Users\Iwona\AppData\Local\20c430ed C:\ProgramData\036DFF8E004F1256C3BAA5FAC2E33E28 C:\Users\Iwona\AppData\Roaming\Mozilla\Firefox\Profiles\j6a67a1j.default\searchplugins\daemon-search.xml C:\Windows\is-43IUL.exe :OTL FF - prefs.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q=" FF - prefs.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q=" FF - user.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q=" FF - user.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q=" IE - HKU\S-1-5-21-2349202881-3571706006-1256221723-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.gigabase.ru/search?q={searchTerms}&clid=1" IE - HKU\S-1-5-21-2349202881-3571706006-1256221723-1006\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-2349202881-3571706006-1256221723-1006\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searcchTerms}&clid=1" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6E476704-6F33-4703-9430-B0B4AACB668E}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Przeprowadź deinstalacje adware i zbędników: - Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar. Przy okazji odinstaluj archaiczny program Spybot Search & Destroy. - W Firefox w Dodatkach odmontuj DAEMON Tools Toolbar. W Google Chrome w Rozszerzeniach odmontuj vShare (nośnik adware). 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
dandanio Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Zrobiłem to co zostało mi napisane. SpyBot nie, można jaśniej ? Nie wiem dlaczego ale nie mogę tego wrzucić jako plik. All processes killed ========== FILES ========== C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180 folder moved successfully. C:\Users\Iwona\AppData\Roaming\hellomoto folder moved successfully. C:\Users\Iwona\AppData\Local\20c430ed\U folder moved successfully. C:\Users\Iwona\AppData\Local\20c430ed folder moved successfully. C:\ProgramData\036DFF8E004F1256C3BAA5FAC2E33E28 folder moved successfully. C:\Users\Iwona\AppData\Roaming\Mozilla\Firefox\Profiles\j6a67a1j.default\searchplugins\daemon-search.xml moved successfully. C:\Windows\is-43IUL.exe moved successfully. ========== OTL ========== Prefs.js: "http://www.gigabase.ru/search?clid=1&q=" removed from browser.search.defaulturl Prefs.js: "http://www.gigabase.ru/search?clid=1&q=" removed from keyword.URL C:\Users\Iwona\AppData\Roaming\Mozilla\FireFox\Profiles\j6a67a1j.default\user.js moved successfully. Registry key HKEY_USERS\S-1-5-21-2349202881-3571706006-1256221723-1006\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_USERS\S-1-5-21-2349202881-3571706006-1256221723-1006\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ not found. Registry key HKEY_USERS\S-1-5-21-2349202881-3571706006-1256221723-1006\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{6E476704-6F33-4703-9430-B0B4AACB668E}" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Iwona ->Temp folder emptied: 19939467 bytes ->Temporary Internet Files folder emptied: 5467508 bytes ->Java cache emptied: 26053424 bytes ->FireFox cache emptied: 49640386 bytes ->Google Chrome cache emptied: 121929337 bytes ->Flash cache emptied: 19888 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 332654 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 8489273 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 221,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07162012_142839 Files\Folders moved on Reboot... File move failed. C:\Windows\temp\hlktmp scheduled to be moved on reboot. PendingFileRenameOperations files... [2012-07-16 14:30:51 | 008,405,015 | ---- | M] () C:\Windows\temp\hlktmp : Unable to obtain MD5 Registry entries deleted on Reboot... AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Tylko log z usuwania AdwCleaner ważny, odcinam ten z wyszukiwania, dane są powielone. Cytat Nie wiem dlaczego ale nie mogę tego wrzucić jako plik. Zasady działu + Pomoc forum wyjaniają, że załączniki akceptują tylko rozszerzenie *.TXT. Tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Cytat SpyBot nie, można jaśniej ? Wydawało mi się, że użycie słowa "archaiczny" wyjaśnia wszystko. Spybot to przestarzały program, którego skuteczność i self-defence w dniu dzisiejszym są słabe. Program nie jest zdolny dedykować nowoczesnych zagrożeń, nie ma mechanizmów ochronnych, pracuje na poziomie user mode (nie ma sterownika) i nie widzi zagrożeń wyższego poziomu. Zaś jego osłona przeglądarek jest redukowana tylko do Internet Explorer. Jego trzymanie na dysku to ułuda. Zadania pomyślnie wykonane. Przejdź do tej porcji zadań: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w posiadanym Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
dandanio Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Witam Zrobiłem tak jak było to opisane, malwarebyte anti malware nic nowego na laptopie nie wykrył, więc czysto. Dziękuje. Teraz coś stacjonarny złapał, Przeskanowanie ESET za dużo nie zmieniło, wyrzucił jeden, ale ten dalej siedzi. || Win64/Patched.A.Gen koń trojański || Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Laptop Pełne zamknięcie sprawy nastąpi dopiero po wykonaniu obowiązkowych aktualizacji: KLIK. Raport wykazuje krytyczny poziom aktualizacji (brak SP1+SP2 i łat następujących po nich) i kolekcję staroci (to m.in. przedatowana Java umożliwia infekcję UKASH): Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18904) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java 7 Update 2"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF)"FileZilla Client" = FileZilla Client 3.5.1"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> brak pakietu SP3"Microsoft SQL Server 2005" = Microsoft SQL Server 2005"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"ShockwaveFlash" = Adobe Flash Player 9 ActiveX + Service Pack dla Microsoft SQL Server 2005: KB913089 Stacjonarny Jest tu trojan ZeroAccess, którego aktywność m.in. objawiona modułami przekierowań Winsock (i masowym "not found" w Winsock). Trojan ten niszczy w rejestrze cały układ wewnętrznych zabezpieczeń, zostaje skasowana Zapora, Centrum zabezpieczeń i Windows Defender. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system dla zawierdzenia akcji. 2. Reset Winsock: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zresetuj system. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. . Odnośnik do komentarza
dandanio Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Laptop już się aktualizuje. Stacjonarny: Nowy komunikat wyskoczył Win32/Sirefef.EZ koń trojański. FSS.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Narzędzie SFC pomyślnie przywróciło prawidłową postać pliku services.exe, plik wyleczony. Winsock również zresetowany. To co wykrył ESET to już poboczny plik infekcji i całkowicie do usunięcia. Farbar Service Scanner nie wykazuje tu naruszeń usług, ale to pewnie dlatego, że uruchamiałeś ComboFix wcześniej, a on m.in. rekonstruuje te usługi. Z tego wszystkiego wynika, że możemy już przejść niejako do zakończeń: 1. W Dzienniku zdarzeń błąd WMI numer 10. Napraw narzędziem z KB2545227. 2. Przeprowadź deinstalacje w Panelu sterowania: Spybot - Search & Destroy (przestarzały program, przy ESET Smart Security zbędny) + Akamai NetSession Interface (zbędny). 3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\ComboFix.exe /uninstall Przez SHIFT+DEL skasuj foldery C:\_OTL (uruchamiałeś jakiś skrypt do OTL...) + C:\Windows\erdnt. 4. Aktualizacje do wykonania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416029FF}" = Java 6 Update 29 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wersja dla 64-bitowego IE) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla 32-bitowego IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox)"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) (zauważ, że Java 32-bit z linii 6 jest najnowsza, ale nie punktowana tu Java 64-bit) 5. Prewencyjnie zmień hasła logowania w serwisach. PS. Uwaga poboczna. Na obu kompach jest Gadu-Gadu 10. Program dręczy zasoby i dręczy reklamami. Sugeruję alternatywny program z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory. . Odnośnik do komentarza
dandanio Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Wciąż mi wyskakuje komunikat z desktop.ini Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 To skasuj inną metodą, skoro ESET nie potrafi. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\assembly\GAC_32\desktop.ini C:\Windows\assembly\GAC_64\desktop.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Przedstaw log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
dandanio Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Dziwne, ale nie usunął go. Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Miałeś podać log z wynikami usuwania OTL a nie nowy log z opcji Skanuj. Usuwam go, bo jest zbędny. To co się dzieje nie ma oznak w skanie. Cytat Dziwne, ale nie usunął go. 1. Wyłącz osłony ESET. 2. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\assembly\GAC_32\desktop.ini C:\Windows\assembly\GAC_64\desktop.ini Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\Windows\assembly\GAC_32\desktop.ini C:\Windows\assembly\GAC_64\desktop.ini Klik w Wykonaj skrypt. System będzie restartował. Po tym w OTL uruchom Sprzątanie. 4. Włącz osłony ESET. . Odnośnik do komentarza
dandanio Opublikowano 15 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2012 Nie miałem czasu odpisać, ale już po kłopocie dzięki Tobie. Odnośnik do komentarza
Rekomendowane odpowiedzi