michal44z Opublikowano 4 Października 2014 Zgłoś Udostępnij Opublikowano 4 Października 2014 Witam, historia zaczęła się od tego, że zamiast folderów na pendrivie pojawiły się pliki .exe o tych samych nazwach co foldery. Po ściągnięciu i przeskanowaniu przez MbAM (log poniżej) okazało się że komputer jest "zaśmiecony" różnymi trojanami. Znajomy podpowiedział ściągnięcie combofixa, ale co ciekawe, za każdym razem ściąga się z błędem, a próba przeniesienia z innego kompa na pendrivie kończy się usunięciem pliku combofixa z pena, nawet przy zmianie nazwy. Każdy pendrive, którego podłączam do tego kompa od razu ma te same objawy. Proszę o pomoc!! ps.po skanowaniu OTL nie pojawił się skrypt Extras. Mbam skan log.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Gmer.txtPobieranie informacji ... Odnośnik do komentarza
Suchy203 Opublikowano 4 Października 2014 Zgłoś Udostępnij Opublikowano 4 Października 2014 @michal44z- Nie ściągaj na włąsną rękę combofixa- https://www.fixitpc.pl/topic/7-dezynfekcja-narzędzie-combofix/#entry56 Dodaj za to log z USBFix (przy podpiętych pendrivach) z opcji Listing- https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/#entry74 Odnośnik do komentarza
michal44z Opublikowano 4 Października 2014 Autor Zgłoś Udostępnij Opublikowano 4 Października 2014 niestety USBfix, podobnie jak Combofix po ściągnięciu nie daje się uruchomić Po włożeniu pendriva z USBfix jest on usuwany z pendriva help.... Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 Cytat Znajomy podpowiedział ściągnięcie combofixa, ale co ciekawe, za każdym razem ściąga się z błędem, a próba przeniesienia z innego kompa na pendrivie kończy się usunięciem pliku combofixa z pena, nawet przy zmianie nazwy. (...) niestety USBfix, podobnie jak Combofix po ściągnięciu nie daje się uruchomić Po włożeniu pendriva z USBfix jest on usuwany z pendriva Użycie ComboFix nie jest tu potrzebne. Jeśli natomiast chodzi o to, że program jest pobierany niepełnie oraz usuwany razem z USBFix, to podejrzenia budzi McAfee - jest to stara wersja. Cytat Po ściągnięciu i przeskanowaniu przez MbAM (log poniżej) okazało się że komputer jest "zaśmiecony" różnymi trojanami. To co wykrył MBAM to w 99% procentach (wyjątek poniżej) nie trojany lecz resztki instalacji adware/PUP, które nie wleciały z powietrza, zatwierdziłeś je przez nieuwagę. Metody instalacji tego typu śmieci: KLIK. Cytat Każdy pendrive, którego podłączam do tego kompa od razu ma te same objawy. Obecnie w raportach brak oznak czynnej infekcji. MBAM usuwał wpis trojana, który pasuje do efektu: Trojan.Agent.MNR, HKU\S-1-5-21-3168158027-1598748805-4083129569-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|System Network Service, C:\Users\User\AppData\Roaming\System32\svchost.exe, Quarantined, [6689808f8eee44f2058d6c1734d0857b] Trojan.Agent.MNR, C:\Users\User\AppData\Roaming\System32\svchost.exe, Delete-on-Reboot, [6689808f8eee44f2058d6c1734d0857b], Trojan.BitcoinMiner, c:\Users\User\AppData\Roaming\System32\minerd.exe, Quarantined, [42ad818e512b0531bd693cdc857c2bd5], Na dysku nadal jest folder tego, ale już nieczynny. Tak więc czy po usuwaniu MBAM na pewno nadal każdy nowy podpinany pendrive jest transformowany? Oczywiście te podpięte wcześniej już są zdefektowane i samoistnie się nie naprawią. Do tego właśnie potrzebny log z USBFix. Na teraz proszę: 1. Odinstaluj stary McAfee VirusScan Enterprise. Po deinstalacji uruchom dodatkowe czyszczenie za pomocą McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM - {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://pl.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMNTDF FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon C:\Users\User\AppData\Roaming\System32 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense Folder: C:\Users\User\Desktop\SMS-PW-17 CMD: del /q C:\Users\User\Desktop\ComboFix*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz USBFix ponownie i zrób log z opcji Listing przy podpiętych pendrivach. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
michal44z Opublikowano 6 Października 2014 Autor Zgłoś Udostępnij Opublikowano 6 Października 2014 A więc.... McAfee Virusscan Enterprise odinstalowany, jednak Removal Tool wyrzucił komunikat, iż działa jeszcze jakiś składnik McAfee w trybie "zarządzanym" i nie jest w stanie go usunąć. Mimo powyższego zrobiłem pozostałe kroki i poniżej załączam logi. Po podpięciu pendrivów oznak infekcji faktycznie już nie widać - mój błąd - chyba w niektórych folderach nie usunąłem atrybutów.niewidzialności. UsbFix Listing 1 IBR-CNU252BDF2.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2014 Zgłoś Udostępnij Opublikowano 6 Października 2014 Cytat A więc.... McAfee Virusscan Enterprise odinstalowany, jednak Removal Tool wyrzucił komunikat, iż działa jeszcze jakiś składnik McAfee w trybie "zarządzanym" i nie jest w stanie go usunąć. Dorzuć mi nowy log FRST z opcji Scan, zaznacz też pole Addition. Odnośnik do komentarza
michal44z Opublikowano 7 Października 2014 Autor Zgłoś Udostępnij Opublikowano 7 Października 2014 załączam poniżej logi... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Października 2014 Zgłoś Udostępnij Opublikowano 7 Października 2014 Ten McAfee to się tylko częściowo odinstalował. 1. Na liście zainstalowanych nadal jest pozycja McAfee Agent. Spróbuj to normalnie odinstalować. 2. Przejdź w Tryb awaryjny Windows i ponownie uruchom McAfee Consumer Product Removal Tool. Ewentualne błędy zignoruj. 3. Przejdź w Tryb normalny Windows i zrób nowy log FRST z opcji Scan, ponownie zaznacz Addition. . Odnośnik do komentarza
michal44z Opublikowano 8 Października 2014 Autor Zgłoś Udostępnij Opublikowano 8 Października 2014 Udało się w końcu i logi zamieszczam poniżej.... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Października 2014 Zgłoś Udostępnij Opublikowano 10 Października 2014 Antywirus McAfee został usunięty. W systemie nadal są określone komponenty McAfee, ale mają one inne pochodzenie, są związane z szyfrowaniem McAfee będącym składową firmowo zintegrowanego "Drive Encryption For HP ProtectTools". To pomijam. Natomiast do zrobienia drobne poprawki: 1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CMD: sc config "Internet Manager. RunOuc" start= demand S2 McAfeeFramework; "C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe" /ServiceStart [X] RemoveDirectory: C:\ProgramData\McAfee DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. restart. Dostarcz wynikowy fixlog.txt. . Odnośnik do komentarza
michal44z Opublikowano 10 Października 2014 Autor Zgłoś Udostępnij Opublikowano 10 Października 2014 Zrobione zgodnie z instrukcją. Log poniżej. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Października 2014 Zgłoś Udostępnij Opublikowano 10 Października 2014 Fix wykonany. Możemy kończyć: 1. Odinstaluj USBFix. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te pozycje: Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.3.133 - Adobe Systems, Inc.) FileZilla Client 3.7.3 (HKLM-x32\...\FileZilla Client) (Version: 3.7.3 - Tim Kosse) . Odnośnik do komentarza
michal44z Opublikowano 10 Października 2014 Autor Zgłoś Udostępnij Opublikowano 10 Października 2014 Kłaniam się nisko i już po raz drugi podziękowania składam za pomoc !!! Życzę Ci żeby wszystkie Twoje zamierzenia się spełniły i przyniosły Ci radość ! Dobrego dnia !! Odnośnik do komentarza
Rekomendowane odpowiedzi