georges Opublikowano 28 Grudnia 2012 Zgłoś Udostępnij Opublikowano 28 Grudnia 2012 Avast wykrył na komputerze wujka sirefef w WINDOWS/System32/services.exe Próbowaliśmy użyć narzędzi do usuwania tego trojana ze strony esseta, ale nie pomogły. Załączamy logi I czekamy z nadzieją na pomoc. M & G Extras.Txt OTL.Txt Odnośnik do komentarza
georges Opublikowano 29 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2012 Wygląda na to, że udało nam się w międzyczasie zaradzić. Doczytaliśmy na forum, że combofix podmienia plik services.exe na prawidłowy, więc go zastosowaliśmy. Avast już nic nie wykrywa. pozdrawiamy, M & G Odnośnik do komentarza
Conor29134 Opublikowano 29 Grudnia 2012 Zgłoś Udostępnij Opublikowano 29 Grudnia 2012 Proponuje podać log z Combofixa(który wcześniej utworzył C:\combofix.txt) do tego nowy log z OTL Sirefef niszczy także usługi sytemowe więc i trzeba je naprawić: Użyjcie tego narzędzia: ServicesRepair I pozostaje czekać jak to mowią Odnośnik do komentarza
georges Opublikowano 29 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2012 Zastosowaliśmy ServiceRepair i załączamy logi: z combofixa i aktualny z otl. Pozrawiamy M & G ComboFix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2013 Zgłoś Udostępnij Opublikowano 5 Stycznia 2013 (edytowane) Na przyszość na temat stosowania ComboFix: KLIK. I tu jeszcze nie koniec działań, nadal w logu obiekty infekcji ZeroAccess, nie wszystkie szkody naprawione, adware oraz szczątki skanerów do usunięcia. 1. Napraw uszkodzoną przez trojana ikonę Centrum akcji. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\Installer\{b4b72bb3-4995-578a-0932-d3483ee3d184} C:\windows\assembly\GAC_32\Desktop.ini C:\windows\assembly\GAC_64\Desktop.ini C:\windows\SysWow64\%APPDATA% C:\Users\user\AppData\Local\speeddial.crx C:\Users\user\AppData\Roaming\ExpressDownloader C:\Users\user\AppData\Roaming\LavasoftStatistics C:\Users\user\AppData\Roaming\Ad-Aware Antivirus C:\ProgramData\Ad-Aware Antivirus C:\ProgramData\Lavasoft C:\ProgramData\Search Protection C:\Program Files (x86)\Ad-Aware Antivirus C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml C:\scu.dat :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuzyyEtAzy0EyD0DyCtB0Bzy0CzyyCyE0DtN0D0Tzu0CtBtAtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1374281765" IE:64bit: - HKLM\..\SearchScopes\{2F1E335A-858A-4BE9-8F6B-D0AF1D018B53}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox" IE:64bit: - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuzyyEtAzy0EyD0DyCtB0Bzy0CzyyCyE0DtN0D0Tzu0CtBtAtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1374281765" IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://www.bing.com/search?q={searchTerms}" IE - HKLM\..\SearchScopes\{2F1E335A-858A-4BE9-8F6B-D0AF1D018B53}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox" IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuzyyEtAzy0EyD0DyCtB0Bzy0CzyyCyE0DtN0D0Tzu0CtBtAtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1374281765 IE - HKLM\..\SearchScopes\㕻㐷㈳うⴴ㡄䅆㐭〱ⵃ䈸㤰䔭㕃䔶㕄䕃ㄷ紱: "URL" = http://search.toggle.com/?lang=pl&q={searchTerms} IE - HKCU\..\SearchScopes\???????????????????: "URL" = "http://search.toggle.com/?lang=pl&q={searchTerms}" IE - HKCU\..\SearchScopes\{0A523519-482D-421B-9B37-77E1BE082C42}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=66147B18-AA2C-4AA0-8E05-DB2181D8D8F8&apn_sauid=3F947177-573F-44A6-9F84-2EB8CF9E44AA" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKCU\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzuzyyEtAzy0EyD0DyCtB0Bzy0CzyyCyE0DtN0D0Tzu0CtBtAtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1374281765" IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=FE3FDE70D718FC6E063F6050C313904C&q={searchTerms}" IE - HKCU\..\SearchScopes\㕻㐷㈳うⴴ㡄䅆㐭〱ⵃ䈸㤰䔭㕃䔶㕄䕃ㄷ紱: "URL" = http://search.toggle.com/?lang=pl&q={searchTerms} FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Ex\\UnicodeExtensionMap: 0000000E59425AD6A422704BE653BB98EF27B699 O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 DRV:64bit: - (gfibto) -- C:\WINDOWS\SysNative\drivers\gfibto.sys (GFI Software) DRV:64bit: - (esgiguard) -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "bProtectorDefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" usuń z listy stron startowych safesearchr.lavasoft.com. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń Search Results z listy. W Rozszerzeniach odinstaluj AVG Secure Search, Browser Companion Helper, SweetIM for Facebook, SpeedDial. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (zaznaczona opcja Maksimum informacji) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Edytowane 27 Października 2013 przez Luuk 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi