bbartek51 Opublikowano 5 Marca 2013 Zgłoś Udostępnij Opublikowano 5 Marca 2013 Witam, Dokładnie od dwóch dni mam problem z zalogowaniem się do swojej poczty. Problem pojawia się na każdej przeglądarce, przy czym na chromie od razu wyświetlił mi się komunikat, że jest to Sirefef.gen!C. program antywirusowy z jakiego korzystam a jest to Comodo Internet Security nie wykrył żadnego zagrożenia tak samo jak SuperAntySpyware z którego korzystałem online. Bardzo proszę o pomoc gdyż sam sobie z tym zagadnieniem nie poradzę. Z góry dziękuję. FSS.txt OTL.Txt Extras.Txt gmerr.txt Odnośnik do komentarza
picasso Opublikowano 5 Marca 2013 Zgłoś Udostępnij Opublikowano 5 Marca 2013 Skan z SystemLook usuwam, źle zakładasz, tu jest inny wariant infekcji (infekujący sterowniki systemowe) a nie infekcja w services.exe. Log z GMER zrobiony w złych warunkach i zaciemniony, nie zdjąłeś emulacji napędów wirtualnych (deinstalacja programów + deinstalacja sterownika SPTD): KLIK. DRV - [2009-09-04 12:45:21 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Źródło nabycia infekcji: pakiet Mega Codec Pack. 1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie. Zresetuj system. Na dysku C powstanie log. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę i ENTER: netsh winsock reset Zresetuj system w celu ukończenia naprawy Winsock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\%APPDATA% C:\Program Files\uik.dat C:\Program Files\is.dat C:\Program Files\Mega Codec Pack C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Users\Bartek\AppData\Roaming\Babylon C:\Users\Bartek\AppData\Roaming\Cuasl C:\Users\Bartek\AppData\Roaming\f-secure C:\Users\Bartek\AppData\Roaming\Pufov C:\Users\Bartek\AppData\Roaming\Woqyro C:\Users\Bartek\AppData\Roaming\qcopjv.dat C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\7ox6xkcj.default-1358319985319\searchplugins\askcom.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKLM\..\SearchScopes\{8FAFD341-BF81-4751-8DCD-DDDEFAAF90E1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=65fa9c30-d58e-11e0-9834-00037a9aa4ce&q={searchTerms}" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_1&babsrc=SP_ss&mntrId=c419f73200000000000000037a9aa4ce" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{2A5129DF-BFF1-495E-A3A0-0C8C01F85FB0}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F1CB2B0B-25B2-4799-A8BE-BD912184B909&apn_sauid=6C1787CB-F4D2-4FCF-AA77-5EC2184D5A21" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=taQl6YFQdbYmB8_0XCUEWfMKow0?q={searchTerms}" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = "http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{8FAFD341-BF81-4751-8DCD-DDDEFAAF90E1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=65fa9c30-d58e-11e0-9834-00037a9aa4ce&q={searchTerms}" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{BEE4B572-A7A4-48D7-8360-3F02AECBB795}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\fbphotozoom@installdaddy.com: C:\Program Files\fbphotozoom\fbphotozoom13.xpi [2012-03-07 09:55:42 | 000,102,233 | ---- | M] () O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKU\.DEFAULT..\RunOnce: [AutoLaunch] C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found O4 - HKU\S-1-5-18..\RunOnce: [AutoLaunch] C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\fkpqu.sys -- (wdhtgoo) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | System | Running] -- C:\Users\Bartek\AppData\Local\Temp\SAS_SelfExtract\SASKUTIL.SYS -- (SASKUTIL) DRV - File not found [Kernel | System | Running] -- C:\Users\Bartek\AppData\Local\Temp\SAS_SelfExtract\SASDIFSV.SYS -- (SASDIFSV) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odinstaluj adware: - Przez Panel sterowania vShare.tv plugin 1.3. Tak, to ta wtyczka video (i śmieci w systemie). - W Google Chrome w Rozszerzeniach odmontuj FB Photo Zoom + vshare plugin. - Po deinstalacjach uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER (po usunięciu emulatorów). Dołącz logi utworzone przez TDSSKiller i AdwCleaner. . Odnośnik do komentarza
bbartek51 Opublikowano 6 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2013 Likwidacja problemów w Tobą to przyjemność Dzięki! Przesyłam wyżej wspomniane logi. OTL.Txt AdwCleanerS1.txt TDSSKiller.2.8.16.0_05.03.2013_20.51.25_log.txt gmerr.txt Odnośnik do komentarza
picasso Opublikowano 6 Marca 2013 Zgłoś Udostępnij Opublikowano 6 Marca 2013 To nie jest log TDSSKiller z właściwego usuwania (uruchomiony już po usuwaniu), wstaw ten z usuwania. GMER nadal zrobiony w złym środowisku, miałeś wykonać to: KLIK. Czyli: deinstalacja emulatora + deinstalacja sterownika SPTD narzędziem SPTDinst + reset systemu i robisz skan. Podmień raporty w powyższym poście. . Odnośnik do komentarza
bbartek51 Opublikowano 16 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2013 Gmer już uzupełniony. Przepraszam za zwłokę. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 18 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 (edytowane) Zadania wykonane, teraz przechodzimy do poprawek i naprawy szkód poczynionych przez infekcję: 1. Odbuduj usunięte przez infekcję usługi za pomocą ServicesRepair. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}] "AutoStart"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{84DFF9BD-7E8F-417B-8E21-FC52ABB36BE1}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{84DFF9BD-7E8F-417B-8E21-FC52ABB36BE1}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\$NtUninstallKB32880$ Klik w Wykonaj skrypt. 4. Zrób nowy log z Farbar Service Scanner oraz OTL z opcji Skanuj. . Edytowane 18 Maja 2013 przez picasso 18.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi