uuoeee Opublikowano 8 Marca 2014 Zgłoś Udostępnij Opublikowano 8 Marca 2014 Dwa dni temu podczas uruchamiania folderu dokumentów avast wyrzucił następującą informację: Zablokowane zakraplacz - instaluje konie trojańskie. Obiekt: C:Windows/explorer.exe, zarażenie: win32:dropper.gen [drp], proces: c:windows/explorer.exe. Doraźnie w wierszu poleceń wpisałam komendę 'scannow', która - tak mi się przynajmniej wydaje - zastąpiła chore explorer.exe na zdrowe, jednak infekcja została i zaraziła plik ponownie. Przy skanowaniu GMER pojawia się blue screen oraz informacja, że program przestał odpowiadać. Proszę o pomoc, jak uporać się z tym wirusem. Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
muzyk75 Opublikowano 9 Marca 2014 Zgłoś Udostępnij Opublikowano 9 Marca 2014 jednak infekcja została i zaraziła plik ponownie. Jak to rozpoznajesz? Jakie są objawy? Używałeś Combofix i TDSSKiller - załącz logi które wygenerowały. Poprzez Panel sterowania-->Programy i funkcje - odinstaluj zbędne; Akamai NetSession Interface, Bonjour Doczyszczenie: Otwórz notatnik i wklej: SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0A44A316-321E-45E5-BE6A-729C13BAE389} URL = http://rover.ebay.com/rover/1/710-42480-16445-33/4?mpre=http://shop.ebay.co.uk/?oemInLn=ieSrch-Q311&_nkw={searchTerms} S3 amdiox86; system32\DRIVERS\amdiox86.sys [X] S3 catchme; \??\C:\Users\Urszula\AppData\Local\Temp\catchme.sys [X] C:\Windows\PEV.exe C:\Windows\MBR.exe C:\Windows\NIRCMD.exe C:\Windows\SWREG.exe C:\Windows\SWSC.exe C:\Windows\sed.exe C:\Windows\grep.exe C:\Windows\zip.exe C:\Program Files\RightSurf C:\Program Files\Mobogenie C:\Users\Urszula\AppData\Roaming\newnext.me C:\ProgramData\sysid100.dat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera. Firefox reset: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox" Firefox-->Dodatki-->Rozszerzenia - usuń: HDvid Codec 3 Zaktualizuj FF do najnowszej wersji - Pomoc-->O programie Firefox Chrome: Ustawienia > karta Rozszerzenia > odinstaluj HDvidCodec Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Pobierz: TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. Załącz powstałay Fixlog Odnośnik do komentarza
uuoeee Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 To, że coś jest nie w porządku rozpoznaję jedynie po próbie otworzenia Biblioteki z ikonki wyciągniętej na pasek stanu. Przez pewien czas po "podmianie" pliku wszystko było w porządku. Później plik znów był blokowany przed otwarciem (te same powiadomienia). W międzyczasie zaktualizowałam antywirusa. Pod koniec usuwania plików TFC, avast znów zablokował explorera, zniknęło wszystko z pulpitu, zrestartowałam komputer. Fixlog.txt ComboFix.txt TDSSKiller.3.0.0.25_09.03.2014_17.43.17_log.txt Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 uuoeee Infekcji tu nie widzę. Były prowadzone operacje czyszczenia niepowiązanych szczątków adware i wpisów pustych, więc zrób jeszcze nowy log z FRST. Dwa dni temu podczas uruchamiania folderu dokumentów avast wyrzucił następującą informację: Zablokowane zakraplacz - instaluje konie trojańskie. Obiekt: C:Windows/explorer.exe, zarażenie: win32:dropper.gen [drp], proces: c:windows/explorer.exe. Doraźnie w wierszu poleceń wpisałam komendę 'scannow', która - tak mi się przynajmniej wydaje - zastąpiła chore explorer.exe na zdrowe, jednak infekcja została i zaraziła plik ponownie. (...) To, że coś jest nie w porządku rozpoznaję jedynie po próbie otworzenia Biblioteki z ikonki wyciągniętej na pasek stanu. Przez pewien czas po "podmianie" pliku wszystko było w porządku. Później plik znów był blokowany przed otwarciem (te same powiadomienia). Owszem, ComboFix i FRST pokazywały niesygnowaną kopię explorer.exe: ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2012-11-23 22:10] - [2011-05-30 20:59] - 2133504 ____A (Microsoft Corporation) 6FA4AA7B6324780B24E2501FE727CCE8 ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [-] 2011-05-30 . 6FA4AA7B6324780B24E2501FE727CCE8 . 2133504 . . [6.1.7600.16385] . . c:\windows\explorer.exe [7] 2011-05-30 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe [7] 2011-05-30 . 0FB9C74046656D1579A64660AD67B746 . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe [7] 2010-11-20 . 40D777B7A95E00593EB1568C68514493 . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe Tylko, że to Ty własnoręcznie tworzysz tego "zakraplacza". W logu widać tę oto paczkę: 2014-03-07 21:09 - 2012-11-23 22:16 - 00000000 ____D () C:\Users\Urszula\Downloads\W7SBC 2014-03-07 21:08 - 2014-03-07 21:08 - 00661018 _____ () C:\Users\Urszula\Downloads\W7SBC.rar Paczka typu Windows 7 Start Button Changer zmieniająca przycisk Start - nie wiadomo skąd pobrana - a ta zmiana opiera się na modyfikacji explorer.exe. Za każdym razem, gdy użyjesz narzędzie tego rodzaju, plik explorer.exe jest patchowany i traci domyślną postać, czyli jest traktowany jako wadliwy przez SFC, niektóre antywirusy owszem również mogą podskoczyć (ale tu jest i dodatkowy aspekt = niejasne pochodzenie paczki). SFC cofa plik do domyślnego stanu (antywirus się więc uspokaja), Ty używając "button changera" znów go "psujesz". Po prostu pozbądź się tego "changera" i wykonaj w cmd komendę: sfc /scanfile=C:\Windows\explorer.exe muzyk75 Firefox reset: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox" Firefox-->Dodatki-->Rozszerzenia - usuń: HDvid Codec 3 Reset Firefox usuwa wszystkie rozszerzenia z profilu. W tym przypadku HDvid Codec 3 ulega autolikwidacji resetem. . Odnośnik do komentarza
uuoeee Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Problem rozwiązany. Wszystko wróciło do normy, jednak nie wiem, czemu akurat teraz "changer" postanowił o sobie przypomnieć, skoro użyłam go bardzo dawno temu (aktualizacja bazy wirusów?). Dzięki za pomoc. Temat do zamknięcia. Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 uuoeee, tu nie koniec, przecież prosiłam o nowy log z FRST (bez Addition i Shortcut). Wszystko wróciło do normy, jednak nie wiem, czemu akurat teraz "changer" postanowił o sobie przypomnieć, skoro użyłam go bardzo dawno temu (aktualizacja bazy wirusów?). Wg raportu paczka pobrana całkiem niedawno (7 marca), no chyba że dokładnie ta sama była stosowana o wiele wcześniej, a "szpara" braku detekcji to być może właśnie aktualizacja baz danych. Nadal nie wiem skąd ten changer był pobierany. Ten szczególny RAR wg wyników wyszukiwania Google jest tylko na hostingach (co w ogóle nie budzi mojego zaufania)... . Odnośnik do komentarza
uuoeee Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Wybacz, zbyt się pospieszyłam. Program pobrałam przy okazji jakiegoś tutoriala, jak zmienić owy przycisk startu spory czas temu, a fakt wynikający z raportu to chyba nic innego jak moja głupota. Przycisk zmienił się na domyślny po użyciu sfc/scannow i postanowiłam zmienić go jeszcze raz zapominając, że program mam gdzieś na swoim dysku i pobierając go po raz kolejny... Jeśli to właśnie ten program stanowi problem, nie zamierzam go już używać. FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Marca 2014 Zgłoś Udostępnij Opublikowano 12 Marca 2014 uuoeee, nie zauważyłam, że Ty ... uruchomiłaś ComboFix ponownie! Padła prośba o jego log, tylko że to chodziło o log z poprzedniego uruchomienia, a nie ponowne uruchomienie narzędzia (całkiem nowy inny log nie pokazujący co było wcześniej). Ponowne uruchomienie ComboFix było bezcelowe, tylko wymęczony system. I ogólnie na temat używania tego narzędzia: KLIK. Jeszcze poprawki i prawidłowa deinstalacja ComboFix. Otwórz Notatnik i wklej w nim: Task: {2DA47113-EFDC-42BD-B893-A80C235629F3} - System32\Tasks\Escolade => C:\Users\Urszula\AppData\Roaming\iPumper\Updater.exe CHR HKLM\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files\HDvidCodec.com\HDvidCodec10.crx [2012-04-04] FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF Extension: No Name - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2012-04-04] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.idg.pl/start SearchScopes: HKCU - {24EDD4BA-FF8E-49B5-A8A3-5293BBC7338C} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=6F283DA7-17A5-45F8-8C8E-B3330FBB5EDF&apn_sauid=C65C857A-0233-40B8-937A-289ECCAE27A3 HKU\S-1-5-21-2072632562-1884050489-2965620541-1001\...\Policies\Explorer: [] S3 catchme; \??\C:\Users\Urszula\AppData\Local\Temp\catchme.sys [X] CMD: rd /s /q C:\Users\Urszula\Doctor Web CMD: C:\Users\Urszula\Desktop\ComboFix.exe /uninstall Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Uwaga: uruchomi się deinstalacja ComboFix, więc cierpliwie czekaj aż się ukończy. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się