maciox560 Opublikowano 3 Marca 2013 Zgłoś Udostępnij Opublikowano 3 Marca 2013 Przeglądarka Chrome oraz Avast wykazują wirusa Win 32 Malware Gen. Gdy wpisuję "Win 32 Malware Gen" w wyszukiwaniu w Google Chrome wtedy przeglądarka zamyka się z powodu błedu, to samo ma miejsce gdy chcę wejść w jej ustawienia. W załącznikach podaje logi z OTL oraz z GMER OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 3 Marca 2013 Zgłoś Udostępnij Opublikowano 3 Marca 2013 Log z GMER zrobiłeś w złym środowisku, przy czynnym emulatorze SPTD: KLIK.W systemie działa rootkit ZeroAccess. Wersja infekująca sterowniki systemowe, w Twoim przypadku jest to systemowy sieciowy sterownik afd.sys. Infekcja ta także dewastuje różne usługi Windows (Zapora, Centrum zabezpieczeń, Pomoc IP, Windows Defender, Windows Update). Jest też dużo adware, ale to już szczegół w konfrontacji z rootkitem.1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje przyznane domyślnie przez narzędzie. Nic nie zmieniaj. Zresetuj system, w celu ukończenia leczenia. Na dysku C powstanie log z wynikami usuwania.2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:netsh winsock resetZreetuj system, to konieczne by ukończyć naprawy.3. Odinstaluj adware:- Przez Panel sterowania odinstaluj: Contextual Tool Extrafind, DAEMON Tools Toolbar, OptimizerPro, Search Assistant MocaFlix 1.66, SweetPacks bundle uninstaller, Yontoo 1.12.02. Od razu też zbędny downloader Akamai NetSession Interface- W Google Chrome w Rozszerzeniach powtórz usuwanie tego co się powtarza z powyższej listy.- Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER (po usunięciu sterownika SPTD) + Farbar Service Scanner. Uruchom SystemLook i do skanu wklej::regHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /sKlik w Look.Dołącz też logi utworzone przez TDSSKiller i AdwCleaner.. Odnośnik do komentarza
maciox560 Opublikowano 3 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2013 Log z GMER zrobiłeś w złym środowisku, przy czynnym emulatorze SPTD: KLIK. Odinstalowałem Deamon Tools, i sprawdziłem czy sterownik SPTD jest obecny, nie wykrywa go deinstalator oraz nie pojawia się on w rejestrze. Zastosuję się do podanej instrukcji. O to logi. Problem jednak nadal występuje w postaci przeglądarki która wyłącza sie zamoistnie. OTL.Txt Gmer.txt FSS.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2013 Zgłoś Udostępnij Opublikowano 4 Marca 2013 Nie dodałeś raportu utworzonego przez TDSSKiller (dołącz) ani skanu SystemLook. Infekcja wygląda na wstępnie usuniętą, choć jeszcze wymagane wiele działań, ale zanim przejdę dalej, potrzebuję dodatkowe info. Tu jest załadowany moduł w procesach nakładający coś na ikony + na dysku kodeki, które prawdopodobnie były źródłem infekcji (na forum były dowody, że paczka "Mega Codec Pack" pobrana z lewego źródła zainfekowała system trojanem ZeroAccess): ========== Modules (No Company Name) ========== MOD - [2013-02-14 23:08:44 | 000,224,256 | ---- | M] () -- C:\ProgramData\Microsoft\Media Tools\MediaIconsOverlays.dll [2013-02-14 23:08:30 | 000,000,000 | ---D | C] -- C:\Users\Sniper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack[2013-02-14 23:08:27 | 000,000,000 | ---D | C] -- C:\Program Files\Mega Codec Pack Dodaj skan SystemLook, tylko rozszerzony. Uruchom SystemLook i do skanu wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers /s Klik w Look. . Odnośnik do komentarza
maciox560 Opublikowano 4 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2013 O to brakujący raport i skan. SystemLook.txt TDSSKiller.2.8.16.0_03.03.2013_14.51.03_log.txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2013 Zgłoś Udostępnij Opublikowano 4 Marca 2013 (edytowane) Potrzebny był mi tylko jeden log TDSSKiller, ten z właściwego usuwania, resztę usuwam. Kolejne działania: 1. Jeśli gdzieś jest (sp[rawdź Menu Start i folder tej "aplikacji") deinstalator tego "Mega Codec Pack", to go zastosuj. W Google Chrome w Rozszerzeniach nadal widać adware Download and Sa, PutLockerDownloader 2, usuń to z poziomu ustawień przeglądarki. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\%APPDATA% C:\Windows\$NtUninstallKB12710$ C:\Windows\tasks\OptimizerProUpdaterTask{C5B535D6-A5FF-4C8A-890C-EB045706F840}.job C:\Users\Sniper\AppData\Roaming\SendSpace C:\Users\Sniper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Program Files\Mega Codec Pack C:\ProgramData\Microsoft\Media Tools :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL IE - HKLM\..\SearchScopes\{5A4B911B-9B96-43CA-81FD-543162A5EA75}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=a1afd24d-dcc2-11e1-a1ba-00e052b8e3ba&q={searchTerms}" IE - HKU\S-1-5-21-3112911430-566563600-1201003773-1000\..\SearchScopes\{5A4B911B-9B96-43CA-81FD-543162A5EA75}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=a1afd24d-dcc2-11e1-a1ba-00e052b8e3ba&q={searchTerms}" IE - HKU\S-1-5-21-3112911430-566563600-1201003773-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found O2 - BHO: (smartdownloader Class) - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} - C:\Program Files\PutLockerDownloader\smarterdownloader.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\A-FF Find and Mount\slicedisk.sys -- (SliceDisk5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Live Update 5\NTIOLib.sys -- (NTIOLib_1_0_4) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Live Update 5\msibios32_100507.sys -- (MSI_MSIBIOS_010507) DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\Sniper\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadania OptimizerPro, o ile takowe się pokażą. 4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 5. Zrób nowe logi: OTL z opcji Skanuj + Farbar Service Scanner + SystemLook na te same warunki co poprzednio. . Edytowane 17 Maja 2013 przez picasso 17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi