rajmund Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Witam, od ostatniego czyszczenia systemu starałem unikać się trzymania z dala od niezaufanych stron i ogolnie dbac o system. Musiałem wyjechac na pewien czas, a komputer zostawiłem młodszemu bratu. Po powrocie komputer o wiele wolniej chodził. po włączeniu opery włącza sie strona Portal QVO6, z chorągiewki obok kalendarza (prawy dolny róg) wyskakuje komunikat o wykryciu szkodliwego oprogramowania jednak za kazdym razem po akcji usun błąd powracał. Nazwa pliku to Trojan:Win32/Sirefef.AN. Dodatkowo jak w temacie, explorer wyłącza się samemu co jakiś czas. Skany OTL, Plik exstras nie był zrobiony. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Brak pliku Extras: opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania". I proszę o dodatkowe dane: - Logi z FRST (ma powstać plik Addition) i Farbar Service Scanner. - Dokładną informację w jakiej ścieżce jest wykrywany Trojan:Win32/Sirefef.AN. . Odnośnik do komentarza
rajmund Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Lokalizacja file:C:\$Recycle.Bin\S-1-5-21-1751451117-4207112011-2180288902-1003\$efcb0b5f72f3c652314cc0e694d184fc\U\80000032.@Skany FSS.txt Extras.Txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 W systemie działa rootkit ZeroAccess uruchamiany z Kosza oraz kupa adware. Przeprowadź następujące działania: 1. Na początek poprawne deinstalacje adware: - Przez Panel sterowania odinstaluj: BrowserDefender, Bundled software uninstaller, Delta Chrome Toolbar, Delta toolbar, NCDownloader, SaveShare 1.74, Search Assistant WebSearch 1.74, SearchNewTab, Web-Cake 3.00, WinZipper. - Otwórz Google Chrome i w Rozszerzeniach odinstaluj wszystko co się powtarza z w/w listy. 2. Otwórz Notatnik i wklej w nim: HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1751451117-4207112011-2180288902-1003\$efcb0b5f72f3c652314cc0e694d184fc\n. ATTENTION! ====> ZeroAccess? HKCU\...\Run: [NTRedirect] - C:\Users\Michał 2\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=44BC000074040A00&affID=124001&tsp=4977 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 URLSearchHook: (No Name) - {539F76FD-084E-4858-86D5-62F02F54AE86} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.simplesearches.info/?l=1&q={searchTerms}&pid=512&r=2013/08/21&hid=1590935762&lg=EN&cc=PL&unqvl=31 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=44BC000074040A00&affID=124001&tsp=4977 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.simplesearches.info/?l=1&q={searchTerms}&pid=512&r=2013/08/21&hid=1590935762&lg=EN&cc=PL&unqvl=31 BHO-x32: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files (x86)\Tepfel\WebCakeIEClient.dll No File BHO-x32: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions) FF Plugin-x32: @Google.com/GoogleEarthPlugin - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\MICHA~1\AppData\Local\Temp\crx3AD.tmp CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Michał 2\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM-x32\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files (x86)\Tepfel\WebCakeLayers.crx CHR HKLM-x32\...\Chrome\Extension: [pkipkeaammekcalmjnnmanhagiokmoof] - C:\ProgramData\Download and Sa\pkipkeaammekcalmjnnmanhagiokmoof.crx Task: {21BA73D9-A76A-47FF-AA40-706D264EDF2C} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe No File Task: {388A977C-EF59-40F9-8C7A-D1DE87CEC82B} - System32\Tasks\EPUpdater => C:\Users\Michał 2\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {4B49D348-20AB-447A-8BE0-97D2164E1279} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe No File R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [x] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [x] S4 HiPatchService; F:\Program Files\Hi-Rez Studios\HiPatchService.exe [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 libusb0; system32\drivers\libusb0.sys [x] S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [x] S0 prohlp02; System32\drivers\prohlp02.sys [x] S0 prosync1; System32\drivers\prosync1.sys [x] U2 SBKUPNT; S0 sfhlp01; System32\drivers\sfhlp01.sys [x] C:\ProgramData\eSafe C:\Windows\SysWOW64\Extensions C:\Windows\SysWOW64\searchplugins C:\Program Files (x86)\Optimizer Pro C:\Users\Michał 2\AppData\Roaming\Babylon C:\Users\Michał 2\AppData\Roaming\BabSolution C:\Users\Michał 2\AppData\Local\Minibar C:\Users\Michał 2\AppData\Local\avgchrome C:\ProgramData\Babylon C:\Program Files (x86)\Minibar CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T CMD: rd /s /q C:\$Recycle.Bin Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL (bez Extras) + FRST (bez Addition). Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
rajmund Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Wszystko odinstalowałem, po wykonaniu fixa z FRST i AdwCleaner zrestartowałem komputer i po jego włączeniu wszystkie porty usb nie działały. (Mam taka przejsciowke na stare wejscia) logi: OTL.Txt FRST.txt Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 zrestartowałem komputer i po jego włączeniu wszystkie porty usb nie działały. (Mam taka przejsciowke na stare wejscia) Być może to skutek usunięcia tego sterownika (był oznaczony jako "not found"): S3 libusb0; system32\drivers\libusb0.sys [x] I widzę że masz zainstalowaną starą wersję LibUSB-Win32-0.1.10.1 (sterownik z 2005). Na dodatek być może z tego powodu jest wymuszony Tryb testu w BCD: testsigning: ==> Check for possible unsigned rootkit driver Posiadasz wersję niekompatybilną z Windows x64. Na stronie domowej (KLIK) jest napisane: "Vista/7/2008/2008R2 64 bit are supported from version 1.2.0.0 since a Microsoft KMCS accepted digital signature is embedded in the kernel driver libusb0.sys. " 1. Otwórz Notatnik i wklej w nim: Unlock: C:\$Recycle.Bin\S-1-5-21-1751451117-4207112011-2180288902-1003\$efcb0b5f72f3c652314cc0e694d184fc CMD: rd /s /q C:\$Recycle.Bin DPF: HKLM-x32 {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Preferencje Google Chrome uległy uszkodzeniu. Zresetuj kilka obszarów: - Reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. - Reset wyszukiwarek. Wejdź do ustawień do sekcji zarządzanie wyszukiwarkami. Poprzestawiaj kilka razy domyślną, przełączając między Google a dowolną inną. Ostatecznie ustaw Google jako domyślną. 3. Odinstaluj LibUSB-Win32-0.1.10.1, zainstaluj wersję kompatybilną z Twoim systemem. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log z FRST (bez Addition). . Odnośnik do komentarza
rajmund Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Jezeli nie uzywam google chroome moge ją odinstalować? Dodatkowo nie mam zielonego pojecia jak zainstalowac libUSB. Szukajac w internecie niczego nie znalazlem. Logi FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Dodatkowo nie mam zielonego pojecia jak zainstalowac libUSB. Szukajac w internecie niczego nie znalazlem. Podałam Ci link: KLIK. Pobieranie paczki libusb-win32-releases > 1.2.6.0 > libusb-win32-bin-1.2.6.0.zip. I wygląda na to, że już pobrałeś: ==================== One Month Created Files and Folders ======== 2013-08-27 15:20 - 2013-08-27 15:20 - 00023552 _____ C:\Users\Michał 2\Documents\installer_x86.exe 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\x86 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\license 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\ia64 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\amd64 2013-08-27 15:19 - 2013-08-27 15:26 - 00913186 _____ C:\Users\Michał 2\Desktop\libusb-win32-bin-1.2.6.0.zip 2013-08-27 15:19 - 2013-08-27 15:19 - 00000000 ____D C:\Users\Michał 2\Desktop\libusb-win32-bin-1.2.6.0 Który plik próbowałeś uruchamiać? Jezeli nie uzywam google chroome moge ją odinstalować? Możesz. Przy deinstalacji odpowiedz twierdząco przypytaniu o usuwanie danych personalnych. . Odnośnik do komentarza
rajmund Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Wszystkie pliki amd64 pokolei tak. Jak chce uruchomic install-filter-win.exe i Install device filter tam mam cos wybrać, ale nic sie nie pokazuje. Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Uruchom plik ...\bin\inf-wizard.exe. A dokładne szczehgóły instalacyjne są na podanej przeze mnie stronie (opisy Filter Driver Installation + Device Driver Installation). . Odnośnik do komentarza
rajmund Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Chyba juz... Jakies skany robic czy juz koniec? Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Kolejne akcje: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze skan w Malwarebytes Anti-Malware. Przedstaw raport, jeśli coś zostanie wykryte. Jeśli nic, raport zbędny. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się