Weryfikacja po usuwaniu ZeroAccess

[caroweb]

Witam

Miałem taki problem:

 

Witam,

Mam pewien problem. W googlach szukałem jednej firmy po numerze telefonu i otworzyłem trzy strony i niby nic się nie pokazało na nich to zamknąłem je a następnie pojawił sie program internet security (na pulpicie ikonka) niby antywirus który się podstawiał pod HP a jak przeszedłem do strony tego programu to żadnego loga HP i żadnej innej informacji z HP i oczywiście płatność za ten program to chyba 59$ o ile dobrze pamiętam to już wiem ze to spamerski program który pokazuje niby ze są wirusy itp... I jego działanie wygląda tak że: Gdy zaloguje się na laptopa to wszystkie programy sie wyłączają i włącza się AV i nic nie można zrobić już. Nawet usunąć nie da rady ale z tym sobie poradziłem logując się na inne konto i z tego innego usunąłem poprzez wyszukiwarkę i był z nazwą o ile dobrze pamiętam "isecurity"

A półgodziny później... pojawił sie taki problem ze gdy wpisuje jakieś słowo w przeglądarkę Google i otworze stronę to pojawia sie link: adnow.com/xxxxxxxxx i jakies strony sie pokazują.

Jak to usunąć? I czy te dwa wirusy miały wpływ na to ze akurat przelewałem kasę z konta PayPal na inne konto PP ?

 

O i właśnie zauważyłem ze gdy przed restartem systemu wpisałem w Google "problem z adnow.com" to pokazały mi sie kilkanaście stron z tym problemem a teraz jak wpisałem to nic sie nie pokazało, tylko inne tematy z innej dziedziny np. o człowieku, maszynach, domach itp..

 

Edit: Aha i mega zwolnił internet jak strona sie wczytywała 1-2 sec to teraz z 45 sec

i oprogramowanie to Windows 7 Home Premium

i gdy chce włączyć Zaporę Systemu Windows to taki błąd wyskakuje:

Kod błędy: 0x80070424

 

Udało sie chyba go rozwiązać. Mam Windows 7 Home Premium. Pobrałem z 300 MB aktulizacji,

w tym Antiwirus Microsoft Secuirty Essentials i Avasta. A jeszcze wcześniej pobrałem "RegCleaner" i "CCleaner" .

Poklikałem troche w tym programie "RegCleaner" i potem zrobiłem aktulizacje i zeskanowalem komputer tymi

programami antiwirusuwoymi Microsoft Secuirty Essentials i Avast. I chyba ucichło wszystko.

Bo wcześniej nie dało sie nic w googlach wyszukać, internet strasznie spowolnił. A teraz google normalnie działają i internet też.

A wszystko zaczeło sie od programu podstawionego pod HP który niby wyszukiwał wirusy i trzeba było kupic licencje chyba za 59$

czy coś takiego a nazwa jego to "Internet Security" a jako instalka to "iSecurity".

 

Teraz juz 7 godzin normlanie wszystko działa a czy można sie upewnić ze juz wszysto OK jest?

 

I jakie szkody mógł spowodować ten wirus ZeroAcces ? Mógł mieć wpływ na to że akurat kase z konta PayPal przelewalem?

 

Pozdrawiam

[Nights]

Nie jesteśmy wróżbitami. Nikt tutaj nie zna też od deski do deski działania użytych przez Ciebie antywirusów (które postępują różnie zależnie od problemu). Przedstaw logi z OTL i (jeśli masz system 32-bitowy) GMER. Instrukcje w przyklejonym wątku (z naciskiem na punkt 3). To, że akurat problem ze stronami zanikł wcale nie znaczy, że ZA został usunięty.

[caroweb]

Przesyłam logi z OTL i Security Check

 

Results of screen317's Security Check version 0.99.31

Windows 7 x64 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java™ 6 Update 31

Adobe Reader 9 Adobe Reader out of date!

Mozilla Firefox (9.0.1)

Mozilla Thunderbird (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Windows Defender MSMpEng.exe

Microsoft Security Essentials msseces.exe

Microsoft Security Client Antimalware MsMpEng.exe

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 AvastUI.exe

``````````End of Log````````````

Extras.Txt

OTL.Txt

[picasso]

Są tu jeszcze ślady ZeroAccess:

 

O20 - HKU\S-1-5-21-507058112-3783107028-1522643124-1001 Winlogon: Shell - (C:\Users\Karol\AppData\Local\3f07b705\X) -  File not found
 
[2012-03-02 08:54:43 | 000,000,000 | -HSD | C] -- C:\Users\Karol\AppData\Local\3f07b705

 

Poproszę o dodatkowe dane:

 

1. Skan dostosowany w OTL. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

 

Klik w Skanuj (nie Wykonaj skrypt!).

 

2. Log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

 

 

Pobrałem z 300 MB aktulizacji,

w tym Antiwirus Microsoft Secuirty Essentials i Avasta.

 

Wytłumacz mi dlaczego tu jest zainstalowany przestarzały Avast ze sterownikami datowanymi na rok 2010. Skąd pobierałeś tę zdezelowaną wersję.

 

 

 

.

[caroweb]

Wrzucam logi.

 

 

Wytłumacz mi dlaczego tu jest zainstalowany przestarzały Avast ze sterownikami datowanymi na rok 2010. Skąd pobierałeś tę zdezelowaną wersję.

 

A miałem gdzieś na pendrive i zainstalowałem a nie aktualizowałem ale i tak nie skanowałem. Bardziej skupiłem sie na Microsoft Security Essentials. Po ok. 3 godzin pełnego skanowania ruszyło na pasku ok. 15%. A jeżeli to ważne to takie wirusy znajdowało:

 

http://imageshack.us...40/fotozav.png/

OTL.Txt

FSS.txt

[picasso]

A miałem gdzieś na pendrive i zainstalowałem a nie aktualizowałem ale i tak nie skanowałem. Bardziej skupiłem sie na Microsoft Security Essentials.

 

Tego Avasta należy odinstalować. Nie dość, że stary, to jeszcze wykluczone, by były zainstalowane dwa antywirusy z rezydentami (konflikty i spowolnienie na widoku).

 

 

A jeżeli to ważne to takie wirusy znajdowało

 

Lepszy byłby kompletny raport tekstowy, na obrazku widać ledwie jeden składnik.

 

Zaś skan z OTL zwrócił dobre rezultaty: brak innych obiektów niż te już tu wskazywane. Ponadto, będziemy likwidować drobne śmieci pozostawione po instalacji pasków sponsorowanych i wpisy szczątkowe.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=6cb8136e00000000000090004e918afa"
IE - HKU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-507058112-3783107028-1522643124-1001\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found
O3 - HKU\S-1-5-21-507058112-3783107028-1522643124-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Users\Karol\AppData\Local\3f07b705
C:\Users\Karol\AppData\Roaming\Babylon
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Przedstaw: log z usuwania z punktu 1, nowy log z OTL z opcji Skanuj (już bez Extras), oraz log z AdwCleaner z opcji Search.

 

 

 

 

.

[caroweb]

Logi przesyłam

 

Coś mi połknęło ok. 22GB pamięci z dysku twardego.

03042012_120620.log.txt

AdwCleanerR1.txt

OTL.Txt

[picasso]

OTL błędnie odniósł się do tych wpisów (już to zgłosiłam do autora), szuka ich w złym kluczu (brak SID konta):

 

Registry key HKEY_USERS\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_USERS\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.

 

Jeden z tych wpisów i tak widzi AdwCleaner, na drugi pójdzie drobna poprawka ręczna.

 

1. Uruchom AdwCleaner z opcji Delete.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Nie muszę oglądać już logów.

 

3. Na wszelki wypadek wykonaj jeszcze skanowanie za pomocą Malwarebytes Anti-Malware. O ile coś znajdzie, przedstaw raport.

 

 

Coś mi połknęło ok. 22GB pamięci z dysku twardego.

 

Co masz na myśli?

 

 

 

.

[caroweb]

Coś mi połknęło ok. 22GB pamięci z dysku twardego.

 

Co masz na myśli?

 

 

Wczoraj albo jeszcze dzis rano miałem ok. 204 GB wolnego miejsca na dysku a teraz mam 184GB a nic nie instalowałem tylko usunąłem Avasta.

[picasso]

Wczoraj albo jeszcze dzis rano miałem ok. 204 GB wolnego miejsca na dysku a teraz mam 184GB a nic nie instalowałem tylko usunąłem Avasta.

 

Wykonaj diagnostykę wolnego miejsca za pomocą darmowego SpaceSniffer. Aplikacja musi być zastartowana przez Uruchom jako Administrator, by przeliczyła takie miejsca jak System Volume Information (Przywracanie systemu). Przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space.

 

 

 

.

[caroweb]

Nie rozumiem trochę tego programu SpaceSniffer przesyłam Screan i też plik się pojawił w folderze "SpaceSnifferConfig.xml" to przesłać go?

http://imageshack.us...10/spaceia.png/

 

Co do OTL to przy jednej linijce jest "deleted successfully." a przy drugiej "not found." także też wrzuce log z OTL nie wiem czy potrzebny czy nie ale wrzucę skoro sie pojawiło not found a napisałaś że nie potrzebne będzie.

 

Co do skanera Malwarebytes Anti-Malware to:

Juz działa 26 min. Przeskanowało ok. 135k obiektów i 0 obiektów wykryło. Uruchomiłem jako to wolne skanowanie.

 

 

Edit: Z pamięcią na dysku twardym jest już wszystko ok bo się dopiero dowiedziałem że brat skopiował grę i dlatego tyle pamięci zabrało. Przepraszam za kłopot.

 

EDIT: Dosyłam log z Malwarebytes Anti-Malware.

03042012_135610.log.txt

mbam-log-2012-03-04 (15-39-52).txt

[picasso]

Dosyłam log z Malwarebytes Anti-Malware.

 

No cóż, za te cracki na Pulpicie nie dam gwarancji czy są pewne.

 

 

Co do OTL to przy jednej linijce jest "deleted successfully." a przy drugiej "not found." także też wrzuce log z OTL nie wiem czy potrzebny czy nie ale wrzucę skoro sie pojawiło not found a napisałaś że nie potrzebne będzie.

 

To jest spodziewane. OTL przetwarzając linię z {identyfikatorem} szuka tego {identyfikatora} także w klucz klas. Jest "not found", gdyż nie zawsze {identyfikator} występuje w tym drugim miejscu.

 

 

Nie rozumiem trochę tego programu SpaceSniffer przesyłam Screan i też plik się pojawił w folderze "SpaceSnifferConfig.xml" to przesłać go?

 

Plik XML to konfiguracja programu i jest zbędny do pokazywania. Natomiast (mimo że problem z miejscem niejako rozwiązany): co jest niezrozumiałe na obrazku? SpaceSniffer pokazuje określone ścieżki w formie "cegiełek", przeliczając ile w nich jest zajętego, co pozwala się zorientować gdzie należy na dysku się udać w celu weryfikacji. I tak np. tu na zrzucie ekranu widać, że na Pulpitach obu kont (C:\Users\Karol\Desktop + C:\Users\Ewa\Desktop) oraz w ścieżce C:\Users\Public\Recorded TV jest dużo zajęte.

Poza tym, program w ogóle nie pokazuje katalogu System Volume Information (Przywracania systemu), czy na pewno SpaceSniffer był startowany przez "Uruchom jako Administrator"?

 

 

 

.

[caroweb]

Tak włączyłem go jako "Uruchom jako Administrator".

Zaznaczyłem opcję Show unknow space on new views.

Oraz było zaznaczone okienko Sort items.

 

Zrobię jeszcze raz sprawdzanie dysku.

 

 

 

 

To jest spodziewane. OTL przetwarzając linię z {identyfikatorem} szuka tego {identyfikatora} także w klucz klas. Jest "not found", gdyż nie zawsze {identyfikator} występuje w tym drugim miejscu.

 

To już nic nie robić z OTL i problem jest rozwiązany raczej tak?

[picasso]

Zrobię jeszcze raz sprawdzanie dysku.

 

Skoro mówiłeś, że wyjaśniła się sprawa z zajętym miejscem (akcje brata z kopiowaniem gry), a masz niejaki problem z obsługą SpaceSniffer, to już zostaw ten temat.

 

 

To już nic nie robić z OTL i problem jest rozwiązany raczej tak?

 

Tak, sprawa z OTL ukończona i możemy przejść do czynności końcowych:

 

1. Wykonaj porządki po narzędziach: w AdwCleaner uruchom Uninstall (to zlikwiduje program i jego logi) + w OTL uruchom Sprzątanie (to zlikwiduje z dysku OTL wraz z jego kwarantanną). Możesz też usunąć Farbar Service Scanner z dysku.

 

2. Pomimo, iż SpaceSniffer nie notował zajętości System Volume Information, na wszelki wypadek sprawdź czy jest coś do czyszczenia w folderach Przywracania systemu: KLIK.

 

3. Wykonaj drobne aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych widzę:

 

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)
"Mozilla Thunderbird 9.0.1 (x86 pl)" = Mozilla Thunderbird 9.0.1 (x86 pl)

 

4. Na wszelki wypadek pozmieniaj hasła logowania w serwisach.

 

 

 

.

[caroweb]

Wszystko zrobiłem tak jak napisałaś

 

Dziękuje bardzo za pomoc

 

Pozdrawiam

Caro

 

P.S. a co do antiwirusów to lepiej sobie zostawić Microsoft Security Essentials ? Czy czegoś lepszego poszukać bo do ochrony to tylko używałem Avasta a Malwarebytes Anti-Malware usunąć już? Czy też lepiej zeby był włączony?

[picasso]

P.S. a co do antiwirusów to lepiej sobie zostawić Microsoft Security Essentials ? Czy czegoś lepszego poszukać bo do ochrony to tylko używałem Avasta a Malwarebytes Anti-Malware usunąć już? Czy też lepiej zeby był włączony?

 

Bardziej kwestia Twojego osobistego wyboru, i ten i ten się nadaje, choć Avast ma jednak więcej funkcji niż MSSE. Jeżeli miałby tu wejść Avast, to w najnowszej wersji 7, a nie "z pendrive" stara instalka. Malwarebytes Anti-Malware owszem możesz usunąć, ale z drugiej strony on równie dobrze może pozostać jako skaner na żądanie, nie koliduje z głównymi programami antywirusowymi.

 

Temat rozwiązany, zamykam.

 

 

 

.