fudala Opublikowano 4 Lutego 2013 Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Z zaufanego żródła dostałem info że mój komp jest szpiegowany. Przeskanowałem kompa esetem Security Smart: Scanned disks, folders and files: Operating memory;C:\Boot sector;F:\Boot sector;I:\Boot sector;C:\;F:\;I:\ Operating memory » lxefmon.exe(2272) - a variant of Win32/Agent.UJK trojan - unable to clean Było kilka trojanów które Eset usunął. Został unable to clean lxefmon.exe Proszę o pomoc. Załączam logi OTL i Security Check. Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ESET Smart Security 5.2 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` AVG PC Tuneup 2011 Java 7 Update 9 Java version out of Date! Adobe Flash Player 11.5.502.146 Adobe Reader 9 Adobe Reader out of Date! Google Chrome 24.0.1312.56 Google Chrome 24.0.1312.57 ````````Process Check: objlist.exe by Laurent```````` ESET NOD32 Antivirus egui.exe ESET NOD32 Antivirus ekrn.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: 0% ````````````````````End of Log`````````````````````` Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2013 Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Operating memory » lxefmon.exe(2272) - a variant of Win32/Agent.UJK trojan - unable to clean Wg raportu jest to proces drukarki Lexmark: O4:64bit: - HKLM..\Run: [lxefmon.exe] C:\Program Files (x86)\Lexmark S800 Series\lxefmon.exe () Ten proces to nie meritum. W system działa infekcja ZeroAccess, która wstrzykuje moduł do innych procesów. ESET tego nie widzi i wskazuje tylko zmodyfikowaną pamięć innego procesu a nie zasadniczy motor infekcji. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Everyone:F /Y icacls C:\$Recycle.Bin\S-1-5-21-1865183629-3744763925-3575752524-1000\$6252a21f57a7409807255ac5d187e56d /grant Everyone:F /Y rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 3. Odinstaluj adware: - Przez Panel sterowania odinstaluj: ASPCA TriMini Reminder by We-Care.com v5.0.2.1, Ask Toolbar, Ask Toolbar Updater, Download Updater (AOL LLC), iLivid, StartNow Toolbar, Windows iLivid Toolbar, Winamp Toolbar, Yahoo! BrowserPlus 2.9.8, Yontoo Layers Runtime 1.10.01. Od razu możesz usunąć też zbędny downloader Akamai NetSession Interface. - Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym Web Search usuń z listy. W Rozszerzeniach odinstaluj We-Care Reminder Lite. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1865183629-3744763925-3575752524-1000\..\SearchScopes\{63140ECF-C629-BE59-8F0E-90B4FF340C03}: "URL" = "http://www.bing.com/search?q={searchTerms}&pc=Z128&form=ZGAIDF&install_date=20111124&iesrc={referrer:source}" IE - HKU\S-1-5-21-1865183629-3744763925-3575752524-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={B93F9009-D844-410C-8B22-B2F8AEA3F887}&mid=9f696fc3fc385c7201df3028d0fde0d4-be17c2f559ef2e3462c36b0322f73e623da72cfb&lang=en&ds=AVG&pr=fr&d=2011-12-26 17:43:56&v=9.0.0.23&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1865183629-3744763925-3575752524-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found FF - HKCU\Software\MozillaPlugins\@yahoo.com/BrowserPlus,version=2.9.8: C:\Users\Jacek\AppData\Local\Yahoo!\BrowserPlus\2.9.8\Plugins\npybrowserplus_2.9.8.dll (Yahoo! Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.528.0\firefox\extensions [2010/08/26 20:39:14 | 000,000,000 | ---D | O2:64bit: - BHO: (Loader Class) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WI3C8A~1\Datamngr\x64\BROWSE~1.DLL File not found O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - Reg Error: Value error. File not found O2 - BHO: (Loader Class) - {9D717F81-9148-4f12-8568-69135F087DB0} - Reg Error: Value error. File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1865183629-3744763925-3575752524-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [startNowToolbarHelper] "C:\Program Files (x86)\StartNow Toolbar\ToolbarHelper.exe" File not found O4 - HKU\S-1-5-21-1865183629-3744763925-3575752524-1000..\Run: [Yngyermyun] C:\Users\Jacek\AppData\Roaming\Goetge\reom.exe File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll) - File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~2\WI3C8A~1\Datamngr\datamngr.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~2\WI3C8A~1\Datamngr\IEBHO.dll) - File not found :Files C:\Users\Jacek\AppData\Roaming\Nuuzm C:\Users\Jacek\AppData\Roaming\Ixloim C:\Users\Jacek\AppData\Roaming\Goetge C:\Users\Jacek\AppData\Roaming\76f509ca-0437-46e8-9e77-23892286cf3679 C:\Users\Jacek\AppData\Roaming\A65B9A C:\Users\Jacek\AppData\Roaming\ClickPotatoLite C:\Users\Jacek\AppData\Roaming\AVG C:\ProgramData\Local Settings :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej: :dir C:\$Recycle.Bin /s :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
fudala Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Dzieki Picasso. Podaje logi po wykonaniu Twoich instrukcji. Mam jeszcze jedna zagwozdke. Przy uruchamianiu Windows pojawia sie okno z informacja: AppleSyncNotifier.exe Entry point not found The Procedure entry point sglite3 wal checkpoint could not located in the dynamiclink library sqlite3.dll za kazdym razem musze zamykac to okno. Jak to usunac? AdwCleanerS1.txt FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2013 Zgłoś Udostępnij Opublikowano 9 Lutego 2013 (edytowane) No tak, ale zabrakło tu raportu OTL z opcji Skanuj. Edytowane 13 Marca 2013 przez picasso 13.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi