remik1976 Opublikowano 29 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2011 Witam. Mam poważny problem z usunięciem infekcji z mojego Windows 7 64bit. Próbuję się tego pozbyć od dwóch dni, ale nic nie pomaga. Objawy infekcji jakie zauważyłem na swoim komputerze to: Wyłączone Centrum zabezpieczeń, gdy próbuję je włączyć wyświetla się komunikat "Nie można uruchomić Centrum zabezpieczeń systemu Windows" Wszedłem do usług i próbowałem włączyć Centrum zabezpieczeń, ale rozwijanych opcjach wszystkie komendy są nieaktywne, więc otworzyłem Właściwości i uruchomiłem Centrum ręcznie. Po zatwierdzeniu i ponownej próbie sprawdzenia czy Centrum działa okazało się, że jest znowu wyłączone i tak jest za każdym razem. Windows Defender też nie daje się uruchomić. Po włączeniu pojawia się okno na sekundę i zaraz się zamyka. Pojawił się problem z przeglądarką Firefox, a mianowicie po wpisaniu jakiegoś hasła w Google i wybraniu z listy znalezionych jestem przekierowany na strony na które nie miałem zamiaru wchodzić. Dzieje się tak przez pierwsze trzy próby wejścia na stronę, dopiero za czwartym razem wchodzę na właściwą stronę. Nie sprawdzałem czy dzieje się tak z Explorerem, bo go nie używam. Jak będzie trzeba to też sprawdzę jego działanie. To coś infekuje mi też OTL zostaje zarażone Trojanem Siggen2.25631 Został tak zarażony OTL.exe a jego rozszerzenie po czasie zmieniło się na .#xe Tak samo stało się z OTL.scr, tylko tu nie zmienia się rozszerzenie Za każdym razem pobieram nowe OTL, ale żadne mi nie generuje Extras.txt Sposoby których użyłem do usunięcia infekcji: Antyvirus Avast - nic nie znalazł Malwarebytes' Anti-Malware - nic nie znalazł Spybot - Search & Destroy - nic nie znalazł Doctor Web w którym zmieniłem rozszerzenie z .exe na .com znalazł infekcję OTL o których pisałem i Trojana AvKill.2 w folderze Somoto. Przy próbie wyleczenia AvKill.2 w programie Doctor Web wystąpił jakiś błąd i natychmiast aplikacja się zamknęła, zdążyłem tylko zapamiętać nazwę Somoto. Odnalazłem ten folder i natychmiast go usunąłem. Nie wiem czy Doctor Web też nie został zainfekowany, bo za pierwszym razem uruchomił mi się w trybie podwyższonego bezpieczeństwa, a po ponownym uruchomieniu po nagłym zamknięciu takiego trybu już nie było. Na razie nic więcej nie zauważyłem, system nie zaczął chodzić wolniej jak również żadne pliki mi nie zniknęły, ale objawy nadal występują. Proszę pomóżcie, bo chciałbym uniknąć formatowania. Z góry dziękuję. OTL.Txt DDS.txt Attach.txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2011 Ktoś już tu nieudolnie kombinował, widzę że przepuszczano jakiś skrypt do OTL. Co to były za "kombinacje"? Za każdym razem pobieram nowe OTL, ale żadne mi nie generuje Extras.txt Nie przeczytałeś instrukcji wnikliwie jakie opcje należy zaznaczać .... OTL uruchomiony więcej niż raz (i nie ma nic do rzeczy jego pobranie na nowo) przestawia opcję Rejestr - skan dodatkowy na Brak, a ma być Użyj filtrowania. To coś infekuje mi też OTL zostaje zarażone Trojanem Siggen2.25631Został tak zarażony OTL.exe a jego rozszerzenie po czasie zmieniło się na .#xe Tak samo stało się z OTL.scr, tylko tu nie zmienia się rozszerzenie To fałszywy alarm skanera. Dr. Web CureIt tak właśnie błędnie ocenia OTL. Infekcja jest gdzie indziej: [2011-04-29 16:43:28 | 000,000,308 | -HS- | M] () -- C:\Windows\tasks\Wcgxl.job[2011-04-27 10:46:23 | 000,122,880 | RHS- | M] () -- C:\Windows\SysWow64\autoplay3.dll 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\autoplay3.dll C:\Windows\tasks\Wcgxl.job sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [AlcoholAutomount] File not found O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [AlSrvN] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O7 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z tego działania. 2. Przejdź do apletu deinstalacji programów i usuń: adware Burn4Free DB Toolbar oraz zbędny Spybot Search & Destroy (program przestarzały i 32-bitowy, nie pchaj tego w swój system). 3. Przez SHIFT+DEL (omija Kosz) skasuj z dysku ten gruby plik pozostały po używaniu skanera z płyty Live: [2011-04-29 09:22:19 | 524,288,000 | ---- | M] () -- C:\REMOVE_THIS_FILE.livecd.swap 4. Wygeneruj nowe logi z OTL opcją Skanuj. Dołącz log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
remik1976 Opublikowano 30 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2011 Masz rację, że były już próby uruchomienia skryptu. Nie powiodły się, każda próba kończyła się brakiem odpowiedzi OTL i problemem z wyjściem z systemu. Jestem laikiem w sprawach zabezpieczeń, więc próbuję korzystać z pomocy osób które mają większe doświadczenie w tych sprawach. No i również się nie mylisz w sprawie mojego przeoczenia jednej opcji w OTL. W tej chwili działa Centrum zabezpieczeń i Windows Defender. Przeglądarka również działa prawidłowo, miałem tylko drobny problem z programem antywirusowym, którego Windows nie wykrywał. Zaktualizowałem go i teraz też wszystko działa prawidłowo. Usuwanie.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2011 Masz rację, że były już próby uruchomienia skryptu. Nie powiodły się, każda próba kończyła się brakiem odpowiedzi OTL i problemem z wyjściem z systemu. Pokaż mi co to był za skrypt i czy nie namieszał tu czegoś. Zadane przeze mnie operacje zostały wykonane w prawidłowy sposób, czyli skasowane pliki infekcji + rekonfiguracja Centrum. Natomiast wróciły po usuwaniu te 3 wpisy (dwa od Alcohola oraz polisa): O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [AlcoholAutomount] File not foundO4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [AlSrvN] File not foundO7 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 To już zostawię w spokoju, skoro wróciło, ale zapytam na wszelki wypadek czy w którymś programie (np. Windows Defender) nie odmówiłeś zmian dla modyfikacji rejestru? 1. Skasuj z dysku te dwa foldery pozostawione przez skanery: [2011-04-29 09:20:11 | 000,000,000 | ---D | C] -- C:\Users\REMIK\DoctorWeb[2011-04-28 10:14:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy 2. W OTL wywołaj opcję Sprzątanie, co usunie całą kwarantannę i OTL. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Zaktualizuj 32-bitową Javę: INSTRUKCJE. 5. Oczekuje gruba aktualizacja całego Windows: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) Do instalacji: Windows 7 Service Pack 1 + Internet Explorer 9. Przeglądarka IE9 także, mimo używania Firefox, gdyż jest to zintegrowany komponent systemowy, z którego korzysta wiele funkcji. . Odnośnik do komentarza
remik1976 Opublikowano 30 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2011 Pokaż mi co to był za skrypt i czy nie namieszał tu czegoś. W sumie były dwa skrypty: :OTL O32 - AutoRun File - [2009-09-16 16:19:43 | 000,000,070 | R--- | M] () - H:\autorun.inf -- [ CDFS ] O33 - MountPoints2\{03f3c9ae-69ff-11e0-bc9d-e811323ee46c}\Shell - "" = AutoRun O33 - MountPoints2\{03f3c9ae-69ff-11e0-bc9d-e811323ee46c}\Shell\AutoRun\command - "" = H:\setup.exe -- [2009-09-16 16:21:18 | 001,632,288 | R--- | M] (tapochek.net ) O33 - MountPoints2\G\Shell - "" = AutoRun O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Setup.exe @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:268F887D @Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:6FB93194 @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:4CF61E54 @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:9E22BBE8 :Files C:\ProgramData\.zreglib C:\Windows\Tasks\Wcgxl.job C:\Users\REMIK\AppData\Local\Temp*.html :REG [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [emptyflash] [clearallrestorepoints] :OTL O32 - AutoRun File - [2009-09-16 16:19:43 | 000,000,070 | R--- | M] () - H:\autorun.inf -- [ CDFS ] O33 - MountPoints2\{03f3c9ae-69ff-11e0-bc9d-e811323ee46c}\Shell - "" = AutoRun O33 - MountPoints2\{03f3c9ae-69ff-11e0-bc9d-e811323ee46c}\Shell\AutoRun\command - "" = H:\setup.exe -- [2009-09-16 16:21:18 | 001,632,288 | R--- | M] (tapochek.net ) O33 - MountPoints2\G\Shell - "" = AutoRun O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Setup.exe @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:268F887D @Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:6FB93194 @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:4CF61E54 @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:9E22BBE8 :Files C:\ProgramData\.zreglib :REG [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [emptyflash] [clearallrestorepoints] To już zostawię w spokoju, skoro wróciło, ale zapytam na wszelki wypadek czy w którymś programie (np. Windows Defender) nie odmówiłeś zmian dla modyfikacji rejestru? Spybot Search & Destroy zapytał mnie o to po restarcie systemu i wtedy odmówiłem. Odnośnik do komentarza
picasso Opublikowano 30 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2011 W sumie były dwa skrypty Nie wiem kto to zadawał, ale to złe skrypty. Plik autorun.inf? Przecież to system plików CDFS! Jakaś zupełna bezmyślność. Pliku .zreglib, strumieni NTFS ani klucza MountPoints2 nie trzeba było czyścić (nieszkodliwe). A komenda [clearallrestorepoints] nie wyczyści wcale punktów Przywracania systemu na Vista i Windows 7, bo nie potrafi (tylko dla Windows XP). Doprawdy, jakiś dyletant zadawał te "skrypty". Spybot Search & Destroy zapytał mnie o to po restarcie systemu i wtedy odmówiłem. Błąd decyzyjny. Teraz Spybota już mnie ma. Powtórz: 1. W OTL wklej w sekcji Własne opcje skanowania / skrypt: :OTL O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [AlcoholAutomount] File not found O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [AlSrvN] File not found O7 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 Klik w Wykonaj skrypt. 2. Pozostałe instrukcje już podałam. . Odnośnik do komentarza
remik1976 Opublikowano 30 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Kwietnia 2011 Zrobiłem wszystko oprócz instalacji SP1, to mogę zrobić dopiero nocą jak przestanie mi naliczać limit na internet. Mam nadzieję ,że teraz wszystko jest w porządku. W OTL oczywiście na końcu uruchomiłem sprzątanie. Ogromne podziękowania za fachową pomoc. Usuwanie.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2011 Zgłoś Udostępnij Opublikowano 1 Maja 2011 Tym razem zadanie zostało wykonane i wpisy już nie wróciły. Potwierdź czy wszystko w porządku. Jeśli tak, temat idzie na klucz. Odnośnik do komentarza
remik1976 Opublikowano 1 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2011 Wszystko jest w jak najlepszym porządku. Jeszcze raz bardzo dziękuję. Odnośnik do komentarza
Rekomendowane odpowiedzi