Stygerson Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Witam Eset wykrył mi niedawno wirusa typu Sirelef. Usunąłem go tym o to sposobem http://kb.eset.com/e...ewlocale=pl_PL. Po usunięciu wirusa automatyczne aktualizacje przestaly działać jednak uproałem się z tym problemem przy pomocy Microsoft Fixit. Po ponownym wlączeniu komputera ikonki zaczęły wracać na lewą strone przy odświeżaniu pulpilu jak i zarówno przy włączaniu ponownie systemu. Na internecie przeczytałem że to może być infekcja typu Zeroaccess. Przesyłam raport OTL oraz GMER OTL.Txt Extras.Txt Nowy Dokument tekstowy (5).txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Sirefef = ZeroAccess, to dwie nazwy na to samo. Infekcja ta nie została usunięta w poprawny sposób, dlatego są problemy z ikonami. Otóż: - Ten klucz w HKEY_CURRENT_USER nie powinien być naprawiany przez narzędzia, tylko kompletnie usunięty: [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]"" = \system32\shdocvw.dll -- [2011-09-05 14:56:10 | 001,510,400 | ---- | M] (Microsoft Corporation) Klucz w HKCU nie istnieje w systemie w normalnych okolicznościach, dodaje go ZeroAccess. Tu jakiś skaner zamiast go usuwać edytował kierując na plik systemowy shdocvw.dll. - Natomiast główny klucz w HKEY_LOCAL_MACHINE, który z kolei w systemie ma być, ma wadliwą ścieżkę: [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]"" = \system32\shdocvw.dll -- [2011-09-05 14:56:10 | 001,510,400 | ---- | M] (Microsoft Corporation)"ThreadingModel" = Apartment W systemie są także inne źle doczyszczone elementy ZeroAccess, poza tym mapowanie napędów świadczące o podpinaniu zainfekowanych USB oraz adware. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Adnotacja dla innych czytających: import dopasowany do Windows XP. Po restarcie systemu ikony wrócą do normy. 2. Przez Dodaj/Usuń programy odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Conduit Engine, DAEMON Tools Toolbar, ShopperReports, Softonic-Polska Toolbar, uTorrentBar Toolbar, Winamp Toolbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB13931$ C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Właściciel\Dane aplikacji\Babylon C:\Documents and Settings\Właściciel\Dane aplikacji\OpenCandy C:\Documents and Settings\Właściciel\Dane aplikacji\PriceGong :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=hp&babsrc=lnkry_nt" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=547a90f3-0606-4625-bf11-41d1b2783c01&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112250&tt=060612_7_&babsrc=SP_ss&mntrId=3cae1ced00000000000090e6ba037cea" IE - HKU\S-1-5-21-1123561945-573735546-1801674531-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D60B2C20-F90D-4A03-BE6A-D5A31C83032B&apn_sauid=1EBFF615-E014-47BC-9351-40FED43E6266" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions [2011-05-20 20:47:39 | 000,000,000 | ---D | O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4 - HKLM..\Run: [] File not found SRV - File not found [Auto | Stopped] -- D:\Programy\Hotspot Shield\bin\openvpnas.exe -- (HotspotShieldService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) DRV - [2010-09-22 20:19:02 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\taphss.sys -- (taphss) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Stygerson Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Dodaje te 3 załączniki FSS.txt OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Wszystko zrobione. Kolejne akcje: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{C3CD744D-2FAE-4640-8297-16B5DA423104}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem bez restartu będzie. 2. Porządki po narzędziach: z Pulpitu przez SHIFT+DEL skasuj folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport. Potencjalny wynik z plikiem H@tKeysH@@k.DLL będzie do ominięcia, to trainer gry. . Odnośnik do komentarza
Stygerson Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 1. Skrypt zrobiony 2. uporzadkowane 3. przywrocilem foldery wyłączyłem i włączyłem 4. Malwarebytes znalazł 4 infekcje MBAM-log-2013-02-01 (13-31-52).txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 1. Wyniki MBAM: usuń wszystko z wyjątkiem H@tKeysH@@k.DLL, o którym prewencyjnie wspominałam. 2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie są zainstalowane wersje: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish"KLiteCodecPack_is1" = K-Lite Codec Pack 5.0.5 (Basic) 3. Na wszelki wypadek zmień hasła logowania w serwisach. . Odnośnik do komentarza
Stygerson Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Dziękuje za pomoc przy usunięciu tego wirusa. Odnośnik do komentarza
Rekomendowane odpowiedzi