dezoo Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Witam Mam problem z Live Security Platinium. Czytałem już sporo o tym, ale nie ogarniam tych wszystkich OTL i EXTRAS, Także proszę o pomoc, a te całe logi wklejam tutaj: OTL: http://wklej.org/id/796301/ EXTRAS: http://wklej.org/id/796300/ Jeszcze raz, błagam o pomoc, z góry bardzo dziękuję. Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Sprawa jest tu o wiele bardziej skomplikowana. W systemie nie tylko Live Security Platinum, ale także mocniejszy trojan ZeroAccess plus w tle uruchomione podejrzane moduły z Temp. Wymagany dodatkowy skan na punkty ładowania ZeroAccess. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw skan wynikowy. . Odnośnik do komentarza
dezoo Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Skan z System Look. http://wklej.org/id/796727/ Nie wiem czy to nie będzie oszukany skan bo ten cały ZeroAcces jak sama nazwa mówi nie pozwala mi odpalić żadnego programu, więc na początku uruchomienia windowsa powyłączałem wszystkie obce i nieznajome mi procesy i odpaliłem system look. Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 7531CC920064715100086D7A4F147CE7 /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D4027C7F-154A-4066-A1AD-4243D8127440} /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}" /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\{8dcb7100-df86-4384-8842-8fa844297b3f}" /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\ProgramData\7531CC920064715100086D7A4F147CE7 C:\ProgramData\B7E858860001B291000069C6A60145BE C:\Windows\Installer\{806c1e19-c58c-a423-9fea-9f6040b843b3} C:\Users\avans\AppData\Local\{806c1e19-c58c-a423-9fea-9f6040b843b3} C:\Users\avans\AppData\Local\Temp C:\Users\avans\AppData\Roaming\Xymuen C:\Users\avans\AppData\Roaming\Samy C:\Users\avans\AppData\Roaming\Beni DeleteFile: C:\ProgramData\qjaxlkio.dss "C:\Users\avans\AppData\Roaming\Mozilla\Firefox\Profiles\p3isvdex.default\searchplugins\askcom.xml" "C:\Users\avans\AppData\Roaming\Mozilla\Firefox\Profiles\p3isvdex.default\searchplugins\conduit.xml" "C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Przeprowadź deinstalacje adware: - Przez Panel sterowania odinstaluj: Complitly, free-downloads.net Toolbar. - Otwórz Google chrome, wejdź do Opcji i w Rozszerzeniach odmontuj: Complitly, DealPly. Również przekonfiguruj stronę startową z Babylon na coś innego. - Otwórz Firefox i w Dodatkach odinstaluj: free-downloads.net Community Toolbar. 4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 5. Wygeneruj nowy log OTL z opcji Skanuj (tym razem proszę dołącz cały extras, poprzedni jest urwany), Farbar Service Scanner (wszystkie opcje zaznaczone) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Dołącz log z usuwania BlitzBlank z punktu 3 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
dezoo Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 AdwCleaner: http://wklej.org/id/796807/ BlitzBlank: http://wklej.org/id/796808/ OTL: http://wklej.org/id/796820/ Extras: http://wklej.org/id/796831/ Farbar Service Scanner: http://wklej.org/id/796834/ SystemLook: http://wklej.org/id/796835/ Bardzo dziękuję Ci za pomoc dotychczasową Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Zadania pomyślnie wykonane, z jednym wyjątkiem = FIX.BAT nie został wykonany (na końcu był jakiś błąd BlitzBlank), klucz ZeroAccess w rejestrze przetrwał procedurę. 1. Start > w polu szukania wpisz regedit > skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpWinExt,version=5.0: C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions] "msntoolbar@msn.com"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Odbuduj skasowane usługi (omiń sfc /scannow w tych instrukcjach): Rekonstrukcja usług Zapory systemu Windows: KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 2. . Odnośnik do komentarza
dezoo Opublikowano 25 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2012 OTL: http://wklej.org/id/797563/ FSS: http://wklej.org/id/797613/ Dziękuję Ci bardzo za pomoc, postaram przekazać jakąś dotację Mam jeszcze jedno pytanie, czy te pliki z końcówkami .reg i .bat można usunąć? Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Wszystko odbudowane. Kończymy partię czyszczącą: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, a resztę (czyli też i jednorazowe fiksy BAT/REG) to już ręcznie skasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Dziękuję Ci bardzo za pomoc, postaram przekazać jakąś dotację Dziękuję. . Odnośnik do komentarza
dezoo Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Malware: http://wklej.org/id/798265/ Kurcze mam jeszcze problem: avast wykrywa mi wirusa 8000000.@ Mogłabyś mi polecić jakiś antywirus oprócz avast, chyba, że ten jest najlepszy, bo na pewnej zaufanej stronie wykrywa mi wirusa (tak na prawdę na tej stronie nie ma wirusa), a jak wyłączam avasta to nagle włącza się java i prosi o pozwolenie administratorskie na Adobe flash player, raz to zaakceptowałem i tak mi się zrobiło to live security platinium. @edit Aha no i na początku pyta się o zezwolenie na dostęp explorer.exe i takie coś się odpala Smart_restarter niewidoczny przez około 15 sek i się wyłącza. @edit2 I jeszcze co chwila takie coś: Szczegóły infekcj URL: http://cwbvvntd.cn/3441038135?w Proces:C:\Windows\System32\svchost.exe Infekcja:URL:Mal Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Mogłabyś mi polecić jakiś antywirus oprócz avast, chyba, że ten jest najlepszy, bo na pewnej zaufanej stronie wykrywa mi wirusa (tak na prawdę na tej stronie nie ma wirusa), a jak wyłączam avasta to nagle włącza się java i prosi o pozwolenie administratorskie na Adobe flash player, raz to zaakceptowałem i tak mi się zrobiło to live security platinium. Przecież opis jawnie sugeruje, że ta strona jest zainfekowana. Zaufana może być tylko w Twojej opinii, to nie wyklucza, że jest nośnikiem infekcji. Z tego co mówisz wynika, że ignorujesz co mówi antywirus, przepuszczasz stronę (bo ślepo jej ufasz) i sam prowadzisz do infekcji. I niestety wygląda na to, że znów została załadowana: Kurcze mam jeszcze problem: avast wykrywa mi wirusa 8000000.@ Robota od początku. To jest ZeroAccess, dopiero co tu wyczyszczony ... Proszę o nowy log OTL z opcji Skanuj + skan z SystemLook na podane wcześniej warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe . Odnośnik do komentarza
dezoo Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 SystemLook: http://wklej.org/id/798889/ OTL: http://wklej.org/id/798899/ Extras: http://wklej.org/id/798901/ Przecież opis jawnie sugeruje, że ta strona jest zainfekowana. Zaufana może być tylko w Twojej opinii, to nie wyklucza, że jest nośnikiem infekcji. Z tego co mówisz wynika, że ignorujesz co mówi antywirus, przepuszczasz stronę (bo ślepo jej ufasz) i sam prowadzisz do infekcji. I niestety wygląda na to, że znów została załadowana: Właśnie chodzi o to, że ta strona jest dość ważną stroną, bo to jest baza danych zbanowanych w Counter Strike, przez cały czas wchodziłem na nią i wyłączałem antywirusa jakieś pół roku, a dopiero teraz weszła ta infekcja, więc jest niemożliwe, żeby była na prawdę jakoś zainfekowana. Sprawdzałem - nie wchodząc na tą stronę też wyświetla mi się ten wirus, a ludziom z forum, którzy mają innego antywirusa nie wykrywa. No ale jeśli mus to mus, nie będę wyłączał avasta. Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Sprawdzałem - nie wchodząc na tą stronę też wyświetla mi się ten wirus, a ludziom z forum, którzy mają innego antywirusa nie wykrywa.No ale jeśli mus to mus, nie będę wyłączał avasta. Nie wiem czy my się tu dobrze rozumiemy. Aktualnie Avast notuje infekcje, ponieważ Ty jesteś nosicielem, to Twój system nadaje, to w Twoim Windows działa trojan i próbuje się komunikować z zewnętrznymi URL. Jak mówiłam powyżej, trojan ZeroAccess powrócił i wszystko musimy od początku robić: 1. Zrób nowy plik FIX.BAT o zawartości: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Users\avans\AppData\Local\{806c1e19-c58c-a423-9fea-9f6040b843b3} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. 3. Po restarcie natychmiast kliknij prawym na FIX.BAT i wybierz opcję "Uruchom jako Administrator". Zresetuj ręcznie system. 4. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\%LOCALAPPDATA% Klik w Unlock. Po tym przez SHIFT+DEL skasuj ten folder z dysku. 5. Wklej też wprost do posta zawartość raportu BlitzBlank. Zrób nowy log z SystemLook na te warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :folderfind {806c1e19-c58c-a423-9fea-9f6040b843b3} %LOCALAPPDATA% . Odnośnik do komentarza
dezoo Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 BlitzBlank: http://wklej.org/id/799018/ SystemLook: http://wklej.org/id/799023/ Dobra to powiem od początku: Jest strona, która według administracji tej strony jest zaufana i użytkownicy forum też tak twierdzą, lecz avast, jako jedyny antywirus wykrywa na niej wirusa, a więc blokuje do niej dostęp, co utrudnia mi pracę na tej stronie, więc wyłączam avasta, podejrzewam, że ZeroAcces i Live Security Platinium wkradły mi się, gdy był wyłączony avast, a wcześniej były uśpione czy coś takiego. No cóż, ale jak mam się tak bawić z tym syfem to jakoś poradzę sobie z włączonym ;/ Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Zadanie wykonane niepełnie. Czy na pewno uruchomiłeś plik BAT? Ta część się nie wykonała. 1. Powtórz: dwuklik na plik FIX.BAT niech się wykona. Zresetuj system. 2. Powtórz szukanie w SystemLook na te same warunki co poprzednio. Plus dodaj nowy log z Farbar Service Scanner, dla dowodu czy przypadkiem szkody nie zostały zrobione na nowo (trojan miał czas) ... . Odnośnik do komentarza
dezoo Opublikowano 29 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Witam, wszystko fajnie usunąłem to całe zeroacces i live security platinium, ale niestety nie mogę Ci dać logów ani nic, bo wyskoczyło nowe cholerstwo - "Ukash", nic z tym nie mogę zrobić, piszę tę wiadomość z innego komputera. Powiedz mi chociaż co zrobić, żeby to zniknęło to zgram wszystkie potrzebne rzeczy sobie i zrobie format komputera. Odnośnik do komentarza
picasso Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 (edytowane) dezoo, skoro znów masz infekcję = znów ją złapałeś, odwiedziłeś jakiś link, który załadował ją. niestety nie mogę Ci dać logów ani nic, bo wyskoczyło nowe cholerstwo - "Ukash", nic z tym nie mogę zrobić, piszę tę wiadomość z innego komputera Startujesz do Trybu awaryjnego i robisz nowe logi... . Edytowane 16 Września 2012 przez picasso 16.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi