Refne Opublikowano 7 Lutego 2013 Zgłoś Udostępnij Opublikowano 7 Lutego 2013 Dzień dobry, Bardzo proszę o pomoc w rozwiązaniu poważnego problemu z laptopem mojej żony, z systemem Vista Home 32bit. Przestały działać różne elementy (jak wskaźnik myszy), a procesor pracował w 100% bardzo spowalniając ogólne działanie. Zauważyłem w menadżerze zadań, że tworzyły się liczne svchost, które zajmowały procesor - z komputera dało się jako tako korzystać po zabiciu tych procesów. Po zainstalowaniu programu avast! i pełnym skanowaniu okazało się, że obecne są następujące wirusy: Win32:Sirefef-PL[Rtk] Win32:Malware-gen Win64:Sirefef-A [TRj] MPPT97:ShallCodde 0 [Expl] Win32: LockScreen-Q Win32:Rootkit-gen Win32:Fareit-BC [Trj] Win32 Cutwail-AS [Trj] JS:ScriptPrint [Trj] Ponadto w trakcie pracy Avast sygnalizuje też Win32: Sirefef AOO lub A. Avast w ogóle "dzwoni" cały czas, jakby tych różnych wirusów było kilkadziesiąt albo więcej. Poprzekładał też różne wirusy do "kwarantanny", lecz w niektórych wypadkach występuje "odmowa dostępu" lub "nie można znaleźć określonego pliku". Zgodnie z instrukcją (bardzo jasną - dziękuję!) zrobiłem odpowiednie logi, które załączam. Gdyby to miało jakieś znaczenie precyzuję, że wysyłam ten post z mego, stacjonarnego komputera (Win7/64), gdyż na laptopie żony Opera już nie działa (wszystkie linki nieaktywne), a uruchomienie IE powoduje dalsze "zamulenie" - programy OLT i GMER zainstalowałem z klucza USB. Zanim zainstalowałem Avast!, na komputerze żony nie było żadnego programu antywirusowego (u mnie mam MSE). Nie wiem skąd wzięło się zawirusowanie: moja kochana korzysta z Internetu i przenosi liczne pliki własnymi kluczami USB z komputerów z pracy i od koleżanek. Będziemy bardzo wdzięczni za pomoc. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2013 Zgłoś Udostępnij Opublikowano 8 Lutego 2013 Po zainstalowaniu programu avast! i pełnym skanowaniu okazało się, że obecne są następujące wirusy: Win32:Sirefef-PL[Rtk] Win32:Malware-gen Win64:Sirefef-A [TRj] MPPT97:ShallCodde 0 [Expl] Win32: LockScreen-Q Win32:Rootkit-gen Win32:Fareit-BC [Trj] Win32 Cutwail-AS [Trj] JS:ScriptPrint [Trj] Ponadto w trakcie pracy Avast sygnalizuje też Win32: Sirefef AOO lub A. Nie podane w czym, ścieżki dostępu. Jest tu wariant infekcji ZeroAccess (aka Sirefef) uruchamiany z Kosza, a infekcja ta czyni ogromne szkody w systemie (skasowane usługi). Przy okazji będę usuwać szczątki przeglądarek (Google Chrome / Firefox). 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin /R /A /D T icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-2993633223-2727232338-3083519205-1003\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\assembly\GAC\Desktop.ini %appdata%\Mozilla %localappdata%\Google C:\Program Files\Google :OTL IE - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=TOSHIBAXMK1234GSX_47HKT94OTXX47HKT94OT&ts=1355076057" O3 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003..\Run: [] File not found O4 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-2993633223-2727232338-3083519205-1003..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\VClone.sys -- (VClone) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook i w oknie wklej do skanu: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. . Odnośnik do komentarza
Refne Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Dzień dobry Pani Picasso, Przede wszystkim bardzo dziękujemy za zainteresowanie się naszym kłopotem. Wszystko to wyglądało jak Guernica, a teraz czujemy wielką ulgę. Zanim wykonałem pilnie wszystkie polecenia z Pani postu, udało mi się Avastem usunąć wszystkie wirusy (trzykrotne długie skanowanie) i dało się używać komputera. Zauważyłem jednak, że np. usługa Windows Update zniknęła na dobre. Podejrzane wydało mi się też zużycie pamięci (75%), kiedy nic się nie działo (ale może to dlatego, że jest jej niedużo - 1 GB). Po wszystkich operacjach, które, jak mówię, pilnie wykonałem, zużycie pamięci (przy uruchomionym - tylko - menadżerze zadań) spadło do 60%, niestety ciągle nie działa Windows Update. Za to bez problemów śmiga Internet, no i w ogóle jest po stokroć lepiej! Załączam wszystkie logi i jestem bardzo ciekaw, co z nich wynika. SystemLook.txt OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2013 Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Po wszystkich operacjach, które, jak mówię, pilnie wykonałem, zużycie pamięci (przy uruchomionym - tylko - menadżerze zadań) spadło do 60%, niestety ciągle nie działa Windows Update. Jak mówiłam: "infekcja ta czyni ogromne szkody w systemie (skasowane usługi)". I po to był log z Farbar Service Scanner, by ocenić zakres szkód. Dane mówią, że są skasowane z rejestru usługi: wszystkie relatywne do Zapory systemu Windows, Centrum zabezpieczeń, Pomoc IP, Windows Defender i Windows Update. Zadania wykonane, przechodzimy do naprawy szkód: 1. Odbuduj usunięte usługi za pomocą ServicesRepair. 2. Odbuduj usuniętą ikonę Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zrób nowy log z Farbar Service Scanner + SystemLook na ten sam warunek co poprzednio. . Odnośnik do komentarza
Refne Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Pani Picasso, bardzo dziękuję za dalsze instrukcje. Wszystko zrobiłem, jak Pani wskazała, oto logi: SystemLook.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2013 Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Niestety, odbudowa usług podana w punkcie 1 w ogóle nie wykonana, te same szkody. 1. Powtórz operację z ServicesRepair i zresetuj system. 2. Zrób nowy log z Farbar Service Scanner. ServicesRepair też tworzy log, doczep i ten. Jeśli będzie bez zmian, niestety ale odbudowa usług będzie robiona w bardzo mozolny sposób = ręcznie. . Odnośnik do komentarza
Refne Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Pani Picasso, proszę wybaczyć, niestety nie mogę się połapać gdzie szukać tego loga z ServicesRapair, nie wiem jak on może wyglądać - szukałem w dokumentach i nic. W każdym razie skanowanie ServicesRepair zrobiłem jeszcze dwukrotnie z restartem systemu, oto log z FSS: FSS.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2013 Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Log mi już niepotrzebny, tym razem się udało i wszystkie usługi zrekonstruowane. Możemy przejść do wykończeń: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, a pozostałe ręcznie skasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o typ wersji = wybierz darmową bez rezydenta. PS. Przy "Pani" czuję się zbyt formalnie, po prostu per "picasso". . Odnośnik do komentarza
Refne Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Dzień dobry picasso, wybacz to "Pani", to z szacunku i podziwu dla Twojej niezwykłej wiedzy, precyzji i chęci pomocy.Wszystko wykonałem. Wczoraj (dzisiaj) o 4 rano padłem nad tym skanem z Mbam. Coś tam znalazł, nie wiem czy to groźne, przesyłam log... P.S. Nakazałem Mbam usunięcie tych dwóch podejrzenych rzeczy. Podczas późniejszego przeładowywania komputer zainstalował i skonfigurował prawie 100 aktualizacji Windows. Ponownie uruchomiłem Mbam i dla pewności przeprowadziłem nowe długie skanowanie: żadnych zagrożeń,żadnych zarażonych plików. To chyba wszystko? Skladamy Ci OGROMNE PODZIĘKOWANIA za skuteczną pomoc! MBAM-log-2013-02-09 (11-02-23).txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2013 Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Wyniki MBAM: nic istotnego i związanego ze sprawą, delikwent RiskWare.Tool.CK w KMService.exe to "cukierek" do Office... Czyli kończymy: 1. Usuń wszystkie stare wersje Adobe | Java | Silverlight i zastąp najnowszymi, zaktualizuj przeglądarki i pakiet Office: KLIK. Log wykazywał zainstalowane następujące wersje: Internet Explorer (Version = 8.0.6001.19190) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{32A3A4F4-B792-11D6-A78A-00B0D0160210}" = Java SE Development Kit 6 Update 21"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010"Opera 12.02.1578" = Opera 12.02 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation) 2. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
Refne Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Dobry wieczór picasso, zrobiłem wszystko, co zaleciłaś, z tą może różnicą, że zamiast AdobeReadera zainstalowałem Foxit (lecz tę jedną rzecz zrobiłem jeszcze przed Twoim postem, mam nadzieję że to nie błąd). Jeszcze drobiazg: zniknęła z paska zadań systemowa ikona głośności, a we właściwiściach paskach/obszar powidomień funkcja zaptaszkowania głośności jest nieaktywna. Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2013 Zgłoś Udostępnij Opublikowano 10 Lutego 2013 z tą może różnicą, że zamiast AdobeReadera zainstalowałem Foxit (lecz tę jedną rzecz zrobiłem jeszcze przed Twoim postem, mam nadzieję że to nie błąd). To prędzej kwestie wygody użytkowej niż bezpieczeństwa. Foxit to też luki i też musi być aktualizowany na bieżąco. Jeszcze drobiazg: zniknęła z paska zadań systemowa ikona głośności, a we właściwiściach paskach/obszar powidomień funkcja zaptaszkowania głośności jest nieaktywna. Wg oglądanego wcześniej spisu klucza ShellServiceObjects brak naruszania ikony dźwięku takiego jak z ikoną Centrum. W związku z tym zastosuj automat Fix-it z tego artykułu: KB945011. . Odnośnik do komentarza
Refne Opublikowano 10 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2013 picasso, rozwiązywanie z Tobą problemów to wielka przyjemność - już wszystko gra! Przesyłamy wyrazy szacunku, dziękujemy za bardzo skuteczną pomoc, pozdrawiamy i ściskamy! :-) Odnośnik do komentarza
Rekomendowane odpowiedzi