kiriosh Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 Witam! Jestem tutaj zupełnym nowicjuszem, ale mam nadzieję, że ktoś mi tutaj pomoże Dzisiaj Avast zaczął natarczywie wykrywać jakiś wirus, który rzekomo był pod pewnym adresem strony internetowej - nazwa tej strony to było coś typu 'hiuyruiwhrjwyetouieqterky', więc nie zagłębiałem się w treść problemu. Za chwilę jednak antywirus wykrył kolejny wirus, którego już niestety nie pamiętam - wtedy zauważyłem, że osłona systemowa Avasta przestała działać - a dokładniej sekcja chroniąca strony WWW. Przeskanowałem kompa Malwarebytes Anti-Malware, wykrył jakieś jedno zagrożenie, usunął i wtedy zresetowałem kompa. Po zresetowaniu internet zupełnie przestał działać Sytuacja jest o tyle dziwna, że na Ubuntu, na którym obecnie przebywam, internet działa bez zarzutu. Mógłby mi ktoś pomóc, doradzić coś? Co dolega mojemu Windowsowi? Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Log z OTL nieprawidłowo wykonany, opcja Rejestr została ustawiona na Wszystko, a miało być Użyj filtrowania. Brakuje obowiązkowego raportu z GMER. Tym bardziej, że w systemie są wyraźne znaki działania rootkita ZeroAccess. To ciężka infekcja, tu w wariancie infekującym sterowniki systemowe. Przeskanowałem kompa Malwarebytes Anti-Malware, wykrył jakieś jedno zagrożenie, usunął i wtedy zresetowałem kompa. Po zresetowaniu internet zupełnie przestał działać Nie przedstawiłeś raportu z MBAM, co i skąd było usuwane, choć można tu wydedukować przebieg zdarzeń. Brak sieci to konsekwencje pobytu infekcji ZeroAccess. Z systemu została usunięta usługa sterownika IPSEC (zapewne sterownik ipsec.sys był zainfekowany przez ZeroAccess), o czym zawiadamia Dziennik zdarzeń: Error - 2012-10-11 13:00:12 | Computer Name = DINO-4778CC62BB | Source = Service Control Manager | ID = 7003Description = Usługa Sterownik protokołu TCP/IP zależy od następującej nieistniejącej usługi: IPSec. 1. Uruchom zgodnie ze wskazówkami ComboFix. 2. Przedstaw wynikowy log z ComboFix. Zrób także zaległy log z GMER oraz Farbar Service Scanner. . Odnośnik do komentarza
kiriosh Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 Mam nadzieję, że wszystkie skany są wykonane poprawnie combofix.txt FSS.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Z dostarczonych raportów wynika, że infekcja nie jest już czynna, już wcześniej musiał zostać wyleczony zainfekowany systemowy sterownik ipsec.sys (ze skutkiem ubocznym w postaci załatwienia usługi IPSEC). ComboFix tylko doczyścił, tzn. usunął łącze symboliczne rootkit. Log z Farbar Service Scanner opowiada, że brakuje tagu IPSEC: Extra List:=======aswTdi(10) Gpc(3) NetBT(6) PSched(7) Tcpip(4) 0x0A00000005000000010000000200000003000000040000000A00000009000000060000000700000008000000ATTENTION!=====> IpSec Tag value should be 5. ATTENTION!=====> IpSec Tag value is missing and it should be 5. Usługi IPSEC jako takiej w rejestrze już nie brakuje, prawdopodobnie zrekonstruował ją ComboFix. Czyli należy teraz poprawić tag IPSEC, by przywrócić prawidłowe funkcjonowanie sieci. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec] "Tag"=dword:00000005 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i wypowiedz się wyraźnie czy sieć zaczęła działać po w/w operacji. Podaj także nowy log OTL z opcji Skanuj (już bez Extras). Przypominam: opcje mają być ustawione na Użyj filtrowania a nie Wszystko. . Odnośnik do komentarza
kiriosh Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 Internet już działa bez zarzutu, podobnie jak antywirus. Wszystko wydaje się być w jak najlepszym porządku. Dzięki wielkie! A mam jeszcze pytanie - co to są za foldery w sekcji "LOP Check"? Niektóre są mi znane, ale z programów powiązanych z tymi nazwami już od dawna nie korzystam. One zaśmiecają mi dysk? Czy mogę pousuwać te, których jestem pewien? OTL.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Tu jeszcze jest taki podejrzany wpis, z pewnością to nie jest Adobe: O2 - BHO: (Adobe PDF Link Helper) - {491C440D-305E-0124-0099-0F3E390C7E87} - C:\WINDOWS\system32\D3DCommmpiler_34.dll () Prócz tego będzie usuwane adware i wpisy puste oraz czyszczenie lokalizacji tymczasowych. 1. Przez Dodaj / Usuń programy odinstaluj nośnik adware vShare.tv plugin 1.0. Otwórz Firefox i w Dodatkach powtórz usuwanie vShare. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Dino\Dane aplikacji\Mozilla\Firefox\Profiles\im7nq3bp.default\searchplugins\startsear.xml C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak C:\Documents and Settings\Dino\Dane aplikacji\matrox_drv16.dat C:\Documents and Settings\Dino\Dane aplikacji\maildriver32.dat C:\Documents and Settings\Dino\Dane aplikacji\OpenCandy C:\WINDOWS\System32\1018 C:\WINDOWS\System32\1017 C:\found.* :OTL IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-746137067-764733703-682003330-1004\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-746137067-764733703-682003330-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O2 - BHO: (Adobe PDF Link Helper) - {491C440D-305E-0124-0099-0F3E390C7E87} - C:\WINDOWS\system32\D3DCommmpiler_34.dll () O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Dino\Menu Start\Programy\IMVU\Run IMVU.lnk File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\NTGLM7X.sys -- (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\NTACCESS.sys -- (NTACCESS) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. A mam jeszcze pytanie - co to są za foldery w sekcji "LOP Check"? Niektóre są mi znane, ale z programów powiązanych z tymi nazwami już od dawna nie korzystam. One zaśmiecają mi dysk? Czy mogę pousuwać te, których jestem pewien? "LOP Check" to specyficzna lista OTL z obrębu folderów w Danych aplikacji, pomocna przy definiowaniu infekcji LOP (tworzy określone foldery). Infekcja ta jest archaiczna i od dawna nie występuje w przyrodzie, ale ta lista OTL nie straciła na aktualności = służy dziś także do ogólnego sprawdzania jakie foldery są w Danych aplikacji. Możesz usunąć foldery aplikacji już odinstalowanych. . Odnośnik do komentarza
kiriosh Opublikowano 17 Października 2012 Autor Zgłoś Udostępnij Opublikowano 17 Października 2012 Przepraszam za tak długi czas oczekiwania. Domowe i szkolne obowiązki robią swoje... AdwCleanerS1.txt otl.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 AdwCleaner nie zresetował preferencji Firefox, które nadal są zabrudzone adware. 1. Zresetuj plik preferencji. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik: C:\Documents and Settings\Dino\Dane aplikacji\Mozilla\Firefox\Profiles\im7nq3bp.default\prefs.js Uruchom Firefox, utworzy on czysty nowy prefs.js. Wszystkie ustawienia zostaną sprowadzone do poziomu domyślnego, toteż ręcznie w opcjach ustaw pożądane oraz przeinstaluj używane rozszerzenia. 2. Korekta wyszukiwarek Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Live Search" "DisplayName"="@ieframe.dll,-12512" "URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"=dword:00000000 "DownloadUpdates"=dword:00000001 "Version"=dword:00000002 "UpgradeTime"=hex:a0,07,fa,8f,d5,96,cd,01 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}§ionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}" "FaviconURLFallback"="http://www.bing.com/favicon.ico" "URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" "FaviconPath"="C:\\Documents and Settings\\Dino\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico" "DisplayName"="Bing" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Dla potwierdzenia wykonania w/w zadań zrób nowy log OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne, klik w Skanuj. . Odnośnik do komentarza
kiriosh Opublikowano 17 Października 2012 Autor Zgłoś Udostępnij Opublikowano 17 Października 2012 Mam nadzieję, że to już wszystko OTL.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Czynności finalizujące: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę: D:\ComboFix.exe /uninstall 2. Gdy powyższa komenda ukończy, wyczyść po pozostałych: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log pokazuje w systemie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) ----> już jest najnowsza"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) 4. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
kiriosh Opublikowano 19 Października 2012 Autor Zgłoś Udostępnij Opublikowano 19 Października 2012 Zrobione! Wielkie dzięki za uratowanie systemu, a temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi