michalsol Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Witam, mam problem z wirusami. Parę dni temu podczas przeglądania Internetu Avira zaczęła zgłaszać jakieś wirusy (wszystie logi załączam). Avira informowała o wirusach: 'TR/Sirefef.AG.35' [trojan], 'TR/Small.FI' [trojan], 'TR/ATRAPS.Gen2' [trojan]. Zaktualizowałem MBAM, wyłączyłem Internet i przeprowadziłem szybkie skanowanie (log załączony) oraz potem pełne (nic nie znalazło). Na drugi dzień próbowałem przeskanować OTL, jednak żadna wersja nie chciała się włączyć (również w trybie awaryjnym). Udało się dopiero za kilka dni: Do postu dołączam: 7 logów z Aviry (AVSCAN-20120531-*.txt) 1 log z MBAM (mbam-log-2012-05-31 (21-27-16).txt) 2 logi z OTL (OTL.Txt, Extras.Txt) 1 log z GMERa (gmer.txt) Results of screen317's Security Check version 0.99.41 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! Avira Free Antivirus `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.61.0.1400 CCleaner Java 7 Java SE Development Kit 7 Java version out of date! Adobe Flash Player 11.2.202.235 Adobe Reader X (10.1.3) Mozilla Firefox (12.0) ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: 14% Defragment your hard drive soon! ````````````````````End of Log`````````````````````` Bardzo proszę o pomoc w walce z tym dziadostwem Pozdrawiam! AVSCAN-20120531-211737-DCF36CB5.txt AVSCAN-20120531-211747-DF4265B5.txt AVSCAN-20120531-211807-E35AE80D.txt AVSCAN-20120531-212208-16DC9610.txt AVSCAN-20120531-212602-48B49687.txt AVSCAN-20120531-212617-4C0AE514.txt AVSCAN-20120531-213118-8C2182D2.txt Extras.Txt gmer.txt mbam-log-2012-05-31 (21-27-16).txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Za dużo tych logów, nie potrzebujemy aż tyle. Jeśli jest OTL logi z DDS są zbędne bo pokazują to samo. Usuwam niepotrzebne. Avira widać usuwała składniki infekcji ZeroAccess, ale nie do końca jej się to udało. Na początek wykonaj log dodatkowy na warunku dostosowanym - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop type G:\autorun.inf /C Klik w Skanuj i przedstaw raport. Odnośnik do komentarza
michalsol Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Dzięki za odpowiedź. Przesyłam powstały log. Ten plik, który chciałeś sprawdzić - G:/autorun.inf - to plik wygenerowany przez program zabezpieczający pendrivy przed zakażeniem, zrobiłem to programem Autorun Protector, polecanym na forum. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Ten plik, który chciałeś sprawdzić - G:/autorun.inf - to plik wygenerowany przez program zabezpieczający pendrivy przed zakażeniem, zrobiłem to programem Autorun Protector, polecanym na forum. Racja, nie zauważyłem, ze to folder a nie plik. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{bfecd975-01f3-ed3a-67b3-24e00a45fd97} C:\Documents and Settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} :Services ClntMgmt.sys ADDMEM sptd :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wszystkie opcje ustawiasz na "Użyj filtrowania" oraz "Pliki młodsze niż 30 dni" i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
michalsol Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Dzięki, przesyłam logi. Zapora niestety dalej nie działa. Pozdrawiam OTL.Txt 06102012_202520.txt Odnośnik do komentarza
Landuss Opublikowano 10 Czerwca 2012 Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 W takim razie wykonaj fiksa naprawczego dla zapory. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:000000ee [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Restart komputera. O efektach poinformuj. Jeśli będzie dobrze przejdziemy do czynności finalnych. Odnośnik do komentarza
michalsol Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Dzięki, zapora systemowa już działa. Odnośnik do komentarza
Landuss Opublikowano 10 Czerwca 2012 Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 W takim razie finalne czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
michalsol Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 (edytowane) Dzięki. Czyli komputer jest już w 100% bezpieczny? Nie ma żadnych wirusów i mogę bez obaw logować się np. do banku? Edytowane 10 Czerwca 2012 przez Landuss Wszystko jest w porządku. Temat zamykam //Landuss Odnośnik do komentarza
Rekomendowane odpowiedzi