donass Opublikowano 14 Listopada 2011 Zgłoś Udostępnij Opublikowano 14 Listopada 2011 Witam, jak w temacie.. od dnia dzisiejszego.. podczas próby uruchomienia skypa (okno logowania) oraz wpisania wymaganych danych login i hasła.. i po wcisnieciu guzika LOG MEE. przekierowuje mnie do firefoxa w ktorym to otwiera sie strona z index.html (file:///C:/ProgramData/Skype/Apps/login/) i w tresci strony 3 foldery w drzewku: Indeks file:///C:/ProgramData/Skype/Apps/login/ Do katalogu wyższego poziomu Nazwa Rozmiar Ostatnia modyfikacja Plik:index.html 4 KB 2011-06-15 08:44:44 languages 2011-11-14 22:11:56 static to skype.. następnie po uruchomieniu dzisiaj również komputera zauwazylem ze Mcaffe wogole juz nie ma.. jest tylko skrót o który mnie prosi przy uruchamianiu zebym usunac gdyz danej sciezki nie ma... nie wiem co sie stalo /System Win 7 64bit. / ponowna instalacja nic nie daje. prosze o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Widzę, że "przygotowujesz grunt", tzn. pobrane: scripten.exe (Windows Script niezgodny z Twoim systemem - to już masz natywnie wbudowane i nie można tego nadinstalować / aktualizować jak dla XP), ComboFix (używałeś i wcześniej, to nie jest aplikacja domowego użytku bez wiedzy poziomu ekspert), HijackThis (kompletnie niezgodny z platformą x64), Spybot (przestarzały program i słabo dopasowany do x64) oraz seria cudaków cudotwórczych do czyszczenia rejestru (możesz tylko pogorszyć sytuację). po uruchomieniu dzisiaj również komputera zauwazylem ze Mcaffe wogole juz nie ma.. jest tylko skrót o który mnie prosi przy uruchamianiu zebym usunac gdyz danej sciezki nie ma... Aktualnie w systemie pracują resztki w usługach / sterownikach i integracje z przeglądarkami: ========== Win32 Services (SafeList) ========== SRV:64bit: - [2011-10-18 17:01:08 | 000,502,032 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee\VirusScan\mcods.exe -- (McODS)SRV:64bit: - [2011-10-18 14:23:24 | 000,208,536 | ---- | M] (McAfee, Inc.) [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe -- (mfefire)SRV:64bit: - [2011-10-18 14:23:06 | 000,199,272 | ---- | M] (McAfee, Inc.) [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe -- (McShield)SRV:64bit: - [2011-03-13 11:45:12 | 000,158,832 | ---- | M] (McAfee, Inc.) [unknown | Running] -- C:\Windows\SysNative\mfevtps.exe -- (mfevtp) ========== Driver Services (SafeList) ========== DRV:64bit: - [2011-10-15 13:16:16 | 000,481,768 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\Windows\SysNative\drivers\mfefirek.sys -- (mfefirek)DRV:64bit: - [2011-10-15 13:16:16 | 000,229,528 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\Windows\SysNative\drivers\mfeavfk.sys -- (mfeavfk)DRV:64bit: - [2011-10-15 13:16:16 | 000,100,912 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\Windows\SysNative\drivers\mferkdet.sys -- (mferkdet)DRV:64bit: - [2011-10-15 13:16:16 | 000,075,808 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\mfenlfk.sys -- (mfenlfk)DRV:64bit: - [2011-10-15 13:16:16 | 000,065,264 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\Windows\SysNative\drivers\cfwids.sys -- (cfwids)DRV:64bit: - [2011-03-13 11:20:10 | 000,639,216 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\Windows\SysNative\drivers\mfehidk.sys -- (mfehidk)DRV:64bit: - [2011-03-13 11:20:10 | 000,156,792 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\Windows\SysNative\drivers\mfeapfk.sys -- (mfeapfk) FF:64bit: - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL File not foundFF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\progra~2\mcafee\msc\npmcsn~1.dll File not foundFF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore [2011-11-13 08:51:46 | 000,000,000 | ---D | M]FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files (x86)\McAfee\SiteAdvisor [2011-11-13 08:51:47 | 000,000,000 | ---D | M][2011-11-13 08:51:46 | 000,000,000 | ---D | M] (McAfee ScriptScan for Firefox) -- C:\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\SYSTEMCORECHR - Extension: SiteAdvisor = C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.40.135.1_0\O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20111113001450.dll (McAfee, Inc.)O2:64bit: - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)O3:64bit: - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)O18:64bit: - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)O18:64bit: - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll (McAfee, Inc.)O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)O18:64bit: - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\PROGRA~1\mcafee\msc\MCSNIE~1.DLL File not foundO18 - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\progra~2\mcafee\msc\mcsniepl.dll File not found Wg tego co mówi mi raport, wygląda na to, że jakimś cudem McAfee został odinstalowany, ale co do tego się przyczyniło, nie zgadnę. I trzeba w pierwszej kolejności pozbyć się aktualnych szczątków z systemu, by móc wdrożyć poprawną ponowną instalację. Nie wykluczone, że problem ze skryptami (sugerowany Twoim pobraniem scripten.exe oraz widzialnym w OTL Extras błędem WindowsScriptComponents) wynika właśnie z nieprawidłowego usunięcia McAfee (ingeruje w działanie systemu skryptowego). W logach nie widzę bezpośrednio czynnej infekcji, ale jest jakaś podejrzana grupa zadań Harmonogramu {numerki}.job, a także ukryty folder którego formuła sugerować mogłaby coś w rodzaju ZeroAccess (tylko, że brak tu innych śladów tego rodzaju infekcji): [2011-11-08 14:54:16 | 000,000,000 | -HSD | C] -- C:\Users\PC\AppData\Local\c6bd7451 Tego folderu jeszcze nie ruszę, dopóki nie sprawdzę pewnych danych. Na teraz do wdrożenia następujące kroki: 1. Skorzystaj z narzędzia McAfee Consumer Products Removal tool. Nie próbuj jeszcze ponawiać instalacji McAfee. 2. Odinstaluj adware Complitly oraz serię wątpliwych reputacją meczowych wtyczek vShare Plugin + vShare.tv plugin 1.3: - Otwórz Firefox i Google Chrome i w ich menedżerach rozszerzeń odinstaluj wyliczane. - Przejdź do Panelu sterowania i wszystkie trzy pozycje odinstaluj. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Tasks\{0356EE92-911D-4F6D-A9D6-D64863FC28A5}.job C:\Windows\Tasks\{036CCB6D-F4FE-4AD6-A691-D1B11EF95674}.job C:\Windows\Tasks\{150E8804-A93D-473C-A645-509D371B2E28}.job C:\Windows\Tasks\{1E91A8B8-756B-45A0-BDC1-CF9571AAA1BD}.job C:\Windows\Tasks\{210F90B2-1BB8-4BD2-AE8C-D27DCD59E9DC}.job C:\Windows\Tasks\{233BF8C9-4E91-4977-9574-39785B6A9F98}.job C:\Windows\Tasks\{29B7F0E2-538C-4EDB-BAC0-40997DF2880A}.job C:\Windows\Tasks\{2DC0CB18-DCFA-40F5-BA22-8183E4DAE8E1}.job C:\Windows\Tasks\{3783856B-30F5-445D-A3BF-F681752BC946}.job C:\Windows\Tasks\{3CFAB404-0DB2-4CFE-ABE6-B7A3ED829C5D}.job C:\Windows\Tasks\{4ADFB44E-97D0-4A2B-B182-25899BC9F973}.job C:\Windows\Tasks\{4E99ADA6-56D6-4B82-9696-E27D2368C605}.job C:\Windows\Tasks\{670DE3C0-F4EF-4FD6-828D-76001805825E}.job C:\Windows\Tasks\{68AA31FE-694B-466F-8AFA-F7BFC8BD3C67}.job C:\Windows\Tasks\{706D2179-174B-4320-8799-F35BF33FC2AC}.job C:\Windows\Tasks\{72907207-37CF-4D70-9537-9BA312091EBE}.job C:\Windows\Tasks\{75C19BE2-33A0-496D-891D-71AD885C7A03}.job C:\Windows\Tasks\{94C173E6-8B14-430A-AE26-399F73437710}.job C:\Windows\Tasks\{A56E840A-3C42-465F-B8C5-C7E332D52C7A}.job C:\Windows\Tasks\{B04BCC0A-F09E-42CB-B442-177B72693812}.job C:\Windows\Tasks\{BE231388-AB9A-4A6E-A4CF-8AA5468BEBA6}.job C:\Windows\Tasks\{BF8F7710-CD7D-4B19-A4E2-FE758E5D80EA}.job C:\Windows\Tasks\{C1A5BD6E-77FC-4F79-8DA3-892E5B80F9E3}.job C:\Windows\Tasks\{C5141EA4-5140-4072-A110-E836E573EB2B}.job C:\Windows\Tasks\{C54EF193-52D4-4C42-908C-C6D12941D78F}.job C:\Windows\Tasks\{D0CF3E0C-9C8E-40E8-8427-B93CCBE44FC4}.job C:\Windows\Tasks\{E5E3416E-6128-4AA2-8505-0AAF3B1EF8CE}.job C:\Windows\Tasks\{E6DE3CFC-6E01-4D08-B157-27F835D21132}.job C:\Windows\Tasks\{E9CF6AF0-38C3-46AF-A7F6-C36900847CCA}.job C:\Windows\Tasks\{F0511452-BAAD-4D3A-85CE-796A3048A521}.job C:\ProgramData\mxnhytee.feu :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i powinien automatycznie otworzyć się log z wynikami usuwania. 4. Wykonaj nowy skan w OTL, ale na dostosowanym warunku. W sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s C:\Windows\*. /RP /s dir /a /s C:\Users\PC\AppData\Local\c6bd7451 /C dir /a /s C:\ProgramData\379b14bfc35dd71a426fab86f77cd172_c /C Prócz tego raportu, dołącz także ten z wynikami usuwania pozyskany w punkcie 3 oraz AD-Remover z opcji Scan. . Odnośnik do komentarza
donass Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 1. co do narzędzia Mcaffe,, niestety nie działa : screen ponizej(mcaffe.png): a po wcisnięciu opcji VIEW LOGS : screen (mcaffe1.png) 2. - Otwórz Firefox i Google Chrome i w ich menedżerach rozszerzeń odinstaluj wyliczane. wyliczane czyli ? Vshare plugin ? jeśli tak to nie ma w chrome tego rozszerzenia, w firefoxie usunalem. 3. (11152011_135611.txt) - LOG skryptu wywołanego 11152011_135611.txt 4. (OTL1.txt)- nowy log OTL OTL1.Txt (Ad-Report-SCAN[1])Ad-Report-SCAN1.txt Dodatkowo coraz czesciej dostaje o to taki Screen Dead (dumpy sie nie zapisują mimo zaznaczonej opcji dump w zmiennych śr...): Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 1. Tak, ten folder C:\Users\PC\AppData\Local\c6bd7451 to jest od infekcji trojanem ZeroAccess. Nie widzę jednak na ile to jest infekcja "kompletna", ponieważ nie ma śladów charakterystycznych dla infekcji w stanie aktywnym. Niemniej skorzystaj tym razem z narzędzia ComboFix, gdyż ono dedykuje ten rodzaj infekcji. Przedstaw log wynikowy. 2. Na wszelki wypadek podaj także odczyt z Kaspersky TDSSKiller (pod kątem infekcji w MBR). Jeśli narzędzie cokolwiek wykryje, nie reaguj dobierając Skip i przedstaw tylko log wynikowy. Jeśli nic nie wykryje, log zbędny. co do narzędzia Mcaffe,, niestety nie działa Spróbuj z poziomu Trybu awaryjnego Windows. wyliczane czyli ? Vshare plugin ? jeśli tak to nie ma w chrome tego rozszerzenia, w firefoxie usunalem. Te które pogrubiłam, prócz vShare było przecież podane i Complitly. Adware widoczne w Firefox i Google Chrome: [2011-08-31 22:57:39 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\PC\AppData\Roaming\mozilla\Firefox\Profiles\893o585q.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}[2011-08-31 22:57:39 | 000,003,195 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Complitly.xml CHR - Extension: Complitly plugin for chrome = C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.1_0\ vShare w Google Chrome jest nadal widoczne, jako "plugin": CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll Na razie to wszystko zostawiam, potem się tym zajmiemy, bo to jest waga piórkowa. . Odnośnik do komentarza
donass Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 1. LOG COMBOFIX.txt 2. Nic nie znalazł Kaspersky Mcaffe nawet w trybie awaryjnym nie da sie usunac, ani zainstalowac. Pluginy pousuwalem, i recznie i z przegladarki firefox bo w chrome nie widocznie. No chyba ze wejsc recznie do folderu ? Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Mcaffe nawet w trybie awaryjnym nie da sie usunac, ani zainstalowac. Co do deinstalacji: ale (nie przyjrzałam się zbyt dokładnie na poprzedni OTL, zasugerowana zbyt błędem z obrazków) ... ja widzę dużą zmianę w ostatnim OTL. Otóż prawie wszystkie widoczne uprzednio wpisy McAfee zniknęły (ostały się jedynie mało znaczące resztki w konfiguracji przeglądarek i dwa fantomy w usługach widzialne w ComboFix), czyli narzędzie firmowe do usuwania McAfee mimo błędu zadziałało. Co do instalacji: w Trybie awaryjnym nie jest to możliwe (nie działa usługa Instalatora Windows), natomiast nie wiem co widzisz w Trybie normalnym? ComboFix nic nie wykrył, czyli wygląda na to, że infekcja już była czymś wcześniej usuwana (nic sobie nie przypominasz?) ..... To teraz usuwanie owego folderu, wykończenie resztek adware i szczątków McAfee w konfiguracjach przeglądarek Firefox i Google Chrome: 1. Uruchom AD-Remover w trybie Clean, co wstępnie usunie niektóre fragmenty Complitly i inne wykryte przez narzędzie wpisy. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\PC\AppData\Local\c6bd7451 C:\ProgramData\379b14bfc35dd71a426fab86f77cd172_c C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Default_Page_URL"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9161E7FD-9866-4551-B8A9-CCE4F9D17DA0}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9161E7FD-9866-4551-B8A9-CCE4F9D17DA0}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\defdhglnppeioeflggkmglipcecffkhk] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\fheoggkfdfchfphceeifdbepaooicaho] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\dssrequest] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\sacore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/x-mfe-ipt] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\PROTOCOLS\Handler\dssrequest] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\PROTOCOLS\Handler\sacore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\PROTOCOLS\Filter\application/x-mfe-ipt] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@mcafee.com/MSC,version=10] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@mcafee.com/MSC,version=10] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@mcafee.com/SAFFPlugin] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions] "{D19CA586-DD6C-4a0a-96F8-14644F340D60}"=- "{4ED1F68A-5463-4931-9384-8FFF5ED91D92}"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}] :Services McMPFSvc mfevtp Klik w Wykonaj skrypt. 3. Szczególnych działań wymaga wycięcie z Google Chrome odnośników aktywnych pluginów vShare. Google Chrome nie może być załadowane. W pasku adresów Windows eksplorer wklej %localappdata%\Google\Chrome\User Data\Default i ENTER. W folderze tym otwórz w Notatniku plik o nazwie Preferences, w nim wyszukaj ustęp "plugins": i wytnij te dwie partie (uważaj na zaknięcia {}, musisz zachować formułę listowania wtyczek wynikającą z ciągłości): { "enabled": true, "name": "vShare.tv plug-in", "path": "C:\\Program Files (x86)\\Mozilla Firefox\\plugins\\npvsharetvplg.dll", "version": "1.3.0.1" }, + { "enabled": true, "name": "vShare.tv plug-in" }, Zapisz zmiany w pliku. 4. Wystarczy, że przedstawisz: tylko log z wynikami usuwania uzyskany z punktu 2 + nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
donass Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Bawiłem się programami tymi co wymieniałaś, tj. Spybot, Combofix, Malwarebytes; więc może czymś je zgarnął. W trybie normalnym już nic nie widze w mcaffe bo instalator odziwo zaczął działać co do : { "enabled": true, "name": "vShare.tv plug-in", "path": "C:\\Program Files (x86)\\Mozilla Firefox\\plugins\\npvsharetvplg.dll", "version": "1.3.0.1" }, usunąłem jak kazałaś, tylko zamiast wersji 1.3.0.1 była 1.1.0.1 ale to chyba bez różnicy. Ad-Report-SCAN3.txt 11152011_224304.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Bawiłem się programami tymi co wymieniałaś, tj. Spybot, Combofix, Malwarebytes; więc może czymś je zgarnął. Skoro on był uruchomiony przed poproszeniem o pomoc, to jest to aplikacja odpowiedzialna za usunięcie podstawowych składników ZeroAccess. Moje zalecenie powtórnego uruchomienia było niepotrzebne. Nie poinformowałeś mnie o tym, tym samym wprowadzając w błąd, gdyż log z OTL nie do końca pokazuje czarno na białym, że aplikacja była inicjowana. W zasadach działu jest silnie punktowane, by takie informacje wraz z logiem z działania dostarczać. usunąłem jak kazałaś, tylko zamiast wersji 1.3.0.1 była 1.1.0.1 ale to chyba bez różnicy. Tak, bez różnicy, to były kawałki poglądowe. Ze względu na to, że OTL nie potrafi modyfikować tej partii Google Chrome, musiałam symulować środowisko pracy w wirtualnej maszynie, by to wyszukać, i przeklejałam fragmenty ze swojego pliku Preferences od Google Chrome. W trybie normalnym już nic nie widze w mcaffe bo instalator odziwo zaczął działać Zaczął działać, gdyż McAfee Consumer Products Removal tool przeczyścił pole. Na temat ostatniego wykonania skryptu: przed uruchomieniem skryptu musiałeś wykonać jakieś dodatkowe działania, albo skrypt przepuszczałeś dwukrotnie, gdyż skrypt ma 90% "not found", a jednocześnie log z AD-Remover mówi iż wszystko zostało usunięte (samo zniknąć nie mogło). Na koniec wykonaj jeszcze: 1. AD-Remover nadal widzi w preferencjach Firefox tę linię od vShare: -- File opened: C:\Users\PC\AppData\Roaming\Mozilla\FireFox\Profiles\893o585q.default\Prefs.js --Line found: user_pref("extensions.vshare@toolbar.install-event-fired", true);-- File closed -- Zamknij Firefox. Ponów AD-Remover w trybie Clean. Po ukończeniu pracy zrób sobie nowy skan AD-Remover i porównaj czy ta linia jest nadal widziana. 2. Posprzątaj po używanych narzędziach: Odinstaluj AD-Remover. Odinstaluj ComboFix (co także czyści foldery Przywracania systemu), z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej C:\Users\PC\Desktop\ComboFix.exe /uninstall Uruchom Sprzątanie w OTL, co usunie kwarantannę OTL wraz z programem. 3. W związku z obecnością infekcji ZeroAccess zmień hasła logowania w serwisach. 4. Zainstalowane oprogramowanie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.5"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-946895887-3485042716-126150702-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome - Szczegóły aktualizacyjne: INSTRUKCJE. Zwróć uwagę, że do aktualizacji jest Flash w wersji dla IE (czyli instalowany z poziomu IE), w podwójnej wersji 32-bit i 64-bit. - Gadu: po co się tak męczyć na duplikacie GG7 (niepełnosprawne i słabo zabezpieczone) + GG10 (potwór komercyjny, więcej reklam niż funkcji). Do wglądu temat Darmowe komunikatory i propozycje zamienników z obsługą sieci Gadu: AQQ, Kadu, WTW, Miranda. Pogrubiony = polecany przeze mnie. . Odnośnik do komentarza
donass Opublikowano 17 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Skoro on był uruchomiony przed poproszeniem o pomoc, to jest to aplikacja odpowiedzialna za usunięcie podstawowych składników ZeroAccess. Moje zalecenie powtórnego uruchomienia było niepotrzebne. Nie poinformowałeś mnie o tym, tym samym wprowadzając w błąd, gdyż log z OTL nie do końca pokazuje czarno na białym, że aplikacja była inicjowana. W zasadach działu jest silnie punktowane, by takie informacje wraz z logiem z działania dostarczać. ComboFix (używałeś i wcześniej, to nie jest aplikacja domowego użytku bez wiedzy poziomu ekspert) Domniemałem że skoro tak napisałaś widziałaś już w logach OTL, że używałem go, więc dlatego Ci nie pisałem że miałem go uruchomionego właśnie podczas tej infekcji. I wytłumacz mi proszę tą część zdania: Nie poinformowałeś mnie o tym, tym samym wprowadzając w błąd, gdyż log z OTL nie do końca pokazuje czarno na białym, że aplikacja była inicjowana. W zasadach działu jest silnie punktowane, by takie informacje wraz z logiem z działania dostarczać. Jaki ja miałbym mieć wpływ na OTL-a ?? podałem Ci to co wyszło... więc jaka może być w tym moja wina że log nie pokazuje wszystkiego czarno na białym ? Ja nic z logów nie usuwałem. Podałem jak na tacy All. Co do: Na temat ostatniego wykonania skryptu: przed uruchomieniem skryptu musiałeś wykonać jakieś dodatkowe działania, albo skrypt przepuszczałeś dwukrotnie, gdyż skrypt ma 90% "not found", a jednocześnie log z AD-Remover mówi iż wszystko zostało usunięte (samo zniknąć nie mogło). Tak oczywiście musiałęm uruchomić ponownie gdyż, system sie zawiesił i zamknął mi owy program. Lecz w 1 logu wszystko usunął no może nie wszystko bo coś pamiętam w dolnej czesci loga not found., nie moge Ci pokazać loga bo się nadpisał oczywiście na ten stary.. resztę wykonałem i wpisu już nie ma od wtyczki VShare. i jeszcze na koniec zapytam, co tak naprawdę robił, zrobił wirus ZeroAccess ? Pytam gdyż 2 dni temu ktoś? dodał mi wpis do index.php (na wordpressie) na mojej stronie w związku ze zbieraniem statystyk (google serch bot) i wysyłaniem ich dalej ? hxxp://rebotstat.com/botstat/stat.php (ZeroAccess) ?? Czy to mogło być przez tą infekcję ? bo straszysz tym że mam hasłą pozmieniać we all serwisach, a na mojego ftpa TC wlasnie moglo sie to stać. ? I jużcałkowicie na koniec, nie pytasz nic o działanie Skype ?? Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Jaki ja miałbym mieć wpływ na OTL-a ?? podałem Ci to co wyszło... więc jaka może być w tym moja wina że log nie pokazuje wszystkiego czarno na białym ? Ale mi zupełnie nie o to chodzi i źle odczytujesz moje słowa. Chodzi mi o Twój pierwszy post, w którym nie ma ani słowa o tym, że użyłeś ComboFix i nie umieściłeś raportu, który utworzył (i do teraz nie wiadomo co tak naprawdę zrobił w tamtym podejściu), a to jest obowiązkiem tego działu podkreślonym w zasadach, jeśli na przekór ostrzeżeniom zastosowano na własną rękę program. Oto fragmenty z zasad: KLIK Obowiązkowe logi z określonych programów: (...) Dlaczego na fixitpc.pl nie prosimy o "log z ComboFix" jako obowiązkowy Jeśli niestety zastosowano ComboFix, należy się do tego przyznać, wyjaśniając podłoże uruchomienia i mimo wszystko załączyć raport z tego narzędzia, ale musi być podany także zestaw obowiązkowych logów. KLIK: Nasze zasady (...) Proszę się przyznać, jeśli użyto ComboFix bez nadzoru. Nie zatajać tego przed nami w skutek "nastraszenia regulaminem", bo ukrycie wyników jego pracy może zaciemnić sytuację i nas wprowadzić w błąd. Wprawdzie potrafimy się zorientować po pewnych rzeczach, że był stosowany, ale nie zawsze. Jeśli już ktoś go użył, proszę załączyć log i się wyspowiadać. I to się tu właśnie stało, ponieważ w logu z OTL nie było śladów że na bieżąco są inicjował (m.in. brak widoczności katalogu kwarantanny). Domniemałem że skoro tak napisałaś widziałaś już w logach OTL, że używałem go To co widać w logach to, że na bieżąco tylko go pobrano, natomiast "wcześniej" = są pewne pliki datowane na maj 2011. Wysnułam więc (błędny jak widać) wniosek, że to recydywa datowana na odległą przeszłość, w przeciwnym przypadku natychmiast miałbyś prośbę, by dostarczyć oryginalny raport z tamtego uruchomienia. I jużcałkowicie na koniec, nie pytasz nic o działanie Skype ?? Nie pytam, gdyż nie widzę żadnej bieżącej wzmianki w poście na temat Skype, co pozwala mi wysnuć wnioski, iż uwolnienie systemu od uszkodzonego McAfee załatwiło i to. i jeszcze na koniec zapytam, co tak naprawdę robił, zrobił wirus ZeroAccess ? Wymiana haseł po to, bo nie wiadomo co wyszło z Twojego komputera i ja żadnych gwarancji nie dam. Przy obecności takich infekcji prewencyjny krok to wymiana haseł, nawet jeśli zrobiona na wyrost. Aktualnie infekcje są raczej nastawione na to, by ciągnąć dane z systemu aniżeli je niszczyć. Pytam gdyż 2 dni temu ktoś? dodał mi wpis do index.php (na wordpressie) na mojej stronie w związku ze zbieraniem statystyk (google serch bot) i wysyłaniem ich dalej ? hxxp://rebotstat.com/botstat/stat.php (ZeroAccess) ?? Czy to mogło być przez tą infekcję ? bo straszysz tym że mam hasłą pozmieniać we all serwisach, a na mojego ftpa TC wlasnie moglo sie to stać. Nie wiem czy to przez konkretnie tę infekcję (ale tego nie wykluczam), równie dobrze to może być wina hostingu / luk w oprogramowaniu serwerowym. Dochodzi tu jeszcze wymiana haseł FTP (i raczej nie zapamiętywać ich w kliencie FTP), gdyż raz zaatakowana strona infekcjami typu wklejkowego może być narażona na to ponownie. . Odnośnik do komentarza
donass Opublikowano 17 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Dochodzi tu jeszcze wymiana haseł FTP (i raczej nie zapamiętywać ich w kliencie FTP), gdyż raz zaatakowana strona infekcjami typu wklejkowego może być narażona na to ponownie. Wymiana czyli ? Dziękuje picasso Ci póki co bardzo bardzo póki co chodzi jak należy Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2011 Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Wymiana czyli ? Logujesz się do FTP za pomocą określonego hasła, to hasło należy zmienić na inne. Odnośnik do komentarza
donass Opublikowano 18 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2011 aa myślałem ze z FTP się odbywa jakaś wymiana haseł poprzez tajemniczego wirusa albo coś jeszcze raz póki co bardzo dziękuje Odnośnik do komentarza
Rekomendowane odpowiedzi