mox Opublikowano 10 Stycznia 2015 Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Witam,Proszę o pomoc przy odwirusowaniu komputera. Problem zaczął się 18 grudnia, gdy pierwszy raz pobierałem plik z Mediafire: albo kliknąłem coś za dużo albo zostałem poczęstowany niechcianym oprogramowaniem. W trakcie tego pobierania zainstalował się VLC MediaPlayer, potem nie wiem skąd uruchomił się program "Przyspiesz Komputer", który robił skan komputera i którego nie można było przerwać inaczej niż wyłączając komputer. W międzyczasie Avast informował o kolejnych zagrożeniach (w załączeniu Avast kwarantanna - wirusy z 18/12/2014).Efekt:-w obu przeglądarkach (InternetExplorer i Chrome) pojawiła się domyślna wyszukiwarka istart.webssearches-pojawiły się wirusy oraz PUP: SmileysWeLoveToolbar, Word Proser, Home Tab 6.9, RegCleanPro Odinstalowałem wszystko to co się dało, również Chrome natomiast w InternetExplorer przywróciłem ustawienia domyślne.Wykonałem skanowania różnymi pobranymi narzędziami:AvastMS Essential zero wykryćMS MaliciousSoftwareRemovalTool zero wykryćMS SupportEmergencyResponseTool zero wykryćWindowsDefender zero wykryćAdwCleaner raport w załączeniuMalwareBytesAntiMalware raport w załączeniu9LabRemovalTool Sytuacja się poprawiła, wydaje się że InternetExplorer działa normalnie, jednak wirusy dalej się pojawiają: Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk]. W dodatku obserwuję zwiększone uzycie procesora: przy zupełnej bezczynności skoki do ok. 25 - 35 % co kilka, kilkanascie sekund.Niestety wczoraj uruchomiłem ComboFix. Żadnych kłopotów nie spowodował ale dopiero potem zapoznałem się ze stroną fixitpc dlaczego nie zaleca się uruchamiania ComboFix (w załączeniu log).Jestem pewien, że infekcja z 18 grudnia nie jest do końca usunięta dlatego zwracam się z prośbą o pomoc.Pozdrawiam,mox FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt GMER Log.txt Avast kwarantanna.txt AdwCleaner 20141222 01.txt Scan Log MBAM 01.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2015 Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Sytuacja się poprawiła, wydaje się że InternetExplorer działa normalnie, jednak wirusy dalej się pojawiają: Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk]. W dodatku obserwuję zwiększone uzycie procesora: przy zupełnej bezczynności skoki do ok. 25 - 35 % co kilka, kilkanascie sekund. (...) Jestem pewien, że infekcja z 18 grudnia nie jest do końca usunięta dlatego zwracam się z prośbą o pomoc. W raporcie nie ma oznak czynnej infekcji. Przedstaw gdzie konkretnie (ścieżki dostępu) są wykrywane obiekty Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk]. Jeśli chodzi o zwiększone użycie procesora, to problemem może być mnoga instalacja antywirusów, wg raportów działa równolegle Avast z MSSE, co jest zbyt dużym obciążeniem systemu. Na razie więc zadaję deinstalację zbędników i usuwanie wpisów pustych: 1. Przez Panel sterowania odinstaluj Microsoft Security Essentials. Proponuję też od razu odinstalować zbędniki firmowe: Asus WebStorage (wirtualny dysk internetowy) + ASUS Data Security Manager (szyfrator danych, o ile nie korzystałeś z niego do zaszyfrowania czegoś) + Bing Bar. Deinstalacja programów ASUS zmniejszy liczbę uruchomionych procesów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [Panda Malware Icon] -> {F5D1CF73-C196-48F8-AAAC-B9181E22B4E6} => C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL No File ShellIconOverlayIdentifiers: [Panda Suspect Icon] -> {9AE343CB-BA45-4618-AF6A-0230EE6FC793} => C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2865235807-1952630281-2589921185-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:newtab HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2865235807-1952630281-2589921185-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\.DEFAULT -> No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKU\.DEFAULT -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 Lavasoft Ad-Aware Service; "C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lavasoft Ad-Aware Service => ""="Service" C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero 8 C:\ProgramData\Temp C:\Users\Joanna\AppData\Local\Google\Chrome C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero Home Essentials SE.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart Essentials.lnk C:\Users\Joanna\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{FE12BF4C-022D-4C0C-AABA-4736ED26F310}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
mox Opublikowano 12 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Witam, Dziękuję za szybką reakcję. Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk] były blokowane przez avast przy próbie kopiowania narzędzi OTL i ComboFix z folderu "pobrane" do foldeu "tools": Win32:Dropper-gen[Drp] nazwa\ComboFix.exe lokalizacja\D:Tools data\ 20150106 Win32:Rootkit-gen[Rtk] nazwa\OTL 3.2.69.0.exe lokalizacja\D:Tools\OTL data\ 20150110 Win32:Rootkit-gen[Rtk] nazwa\OTL 3.2.69.0.exe lokalizacja\C:users\joanna\downloads data\ 20150110 dodatkowo załączam: kwarantannę MBAM (20150109) kwarantannę AdwCleaner (skan z 22/12/2014) Oprócz tego wczoraj przy włączaniu komputera avast zablokował zagrożenie: ControlDeckStartUp.exe C:\Program Files (x86)\ASUS\ControlDeck 2015-01-11Wirus: Win32:Evo-gen [susp] (było to po odinstalowaniu narzędzi ASUS: Asus WebStorage, ASUS Data Security Manager) Odinstalowałem Microsoft Security Essentials, Asus WebStorage, ASUS Data Security Manager, Bing Bar. fixlog.txt w załączeniuskrót Internet Explorer naprawiłem wg instrukcji nowy log fixlog.txt w załączeniu pozdrawiam, mox Fixlog.txt FRST.txt kwarantanna MBAM.txt Quarantine AdwCleaner.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk] były blokowane przez avast przy próbie kopiowania narzędzi OTL i ComboFix z folderu "pobrane" do foldeu "tools": Win32:Dropper-gen[Drp] nazwa\ComboFix.exe lokalizacja\D:Tools data\ 20150106 Win32:Rootkit-gen[Rtk] nazwa\OTL 3.2.69.0.exe lokalizacja\D:Tools\OTL data\ 20150110 Win32:Rootkit-gen[Rtk] nazwa\OTL 3.2.69.0.exe lokalizacja\C:users\joanna\downloads data\ 20150110 Oprócz tego wczoraj przy włączaniu komputera avast zablokował zagrożenie: ControlDeckStartUp.exe C:\Program Files (x86)\ASUS\ControlDeck 2015-01-11 Wirus: Win32:Evo-gen [susp] To wygląda po prostu na fałszywe alarmy Avast. Wszystkie moje zalecenia pomyślnie wykonane. Tak więc czy są jeszcze jakieś problemy z systemem? Drobne poprawki - otwórz Notatnik i wklej w nim: HKLM\...\Run: [EeeStorageBackup] => C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Joanna\Downloads\igl233m6.exe CMD: C:\Users\Joanna\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
mox Opublikowano 14 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 witam, system działa normalnie; fixlog.txt w załączeniu. dziękuję za pomoc. pozdrawiam, mox Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Skrypt wykonany. Na koniec: Usuń folder D:\Tools\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
mox Opublikowano 14 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 OK dziękuję za pomoc, pozdrawiam DelFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2015 Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Zadanie ukończone zgodnie z planem. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi