Trojan Startpage i użycie Combofixa

[Anna91]

Witam,

 

Na początku podkreślę, że jestem bardzo słaba  z znajomości komputera i programów.

 

Mam zainstalowanego darmowego antywirusa Avast i od wczoraj zaczął mi pokazywać komunikaty, że wykryto zagrożenie: plik z Widows/system32/wuauclt.exe, i komunikat wyskakiwał co 10-15 min, potem jeszcze inny komunikat również z Windows/system32 wyskakiwał.

 

Wykonałam szybkie skanowanie Avastem i nic nie wykryło.

Potem przeskanowałam Avastem Pendriva i wykrył 2 zagrożenia, więc usunęłam je.

 

 

Potem program Dr.WEB-CureIt(12976), którego polecił mi znajomy wykrył Trojan Startpage.

Zaznaczyłam w nim opcję usuń, lecz potem ponownie wyskakiwały mi te komunikaty.

Więc jeszcze raz użyłam tego programu, ale tym razem już nic nie wykrył.

 

 

 

Wpadłam w panikę i nie wiedziałam co robić. Mój znajomy powiedział, że spróbuje mi pomóc i użył programu Combofix, Po jego użyciu komunikaty przestały wskakiwać

 

Następnie jeszcze raz podpięłam pendriva i wykrył Avast 1 zagrożenie znów i usunęłam je. Potem sformatowałam Pendriva i przegrałam na niego potrzebne pliki.

 

Dopiero dzisiaj poczytałam o Combofix, co to za program jest, szukając w internecie i dziś trafiłam na to forum.

Wiem teraz, że nie powinnam użyć tego programu, ale niestety już nie cofnę tego.

 

W załączniku przesyłam log z Combofixa

ComboFix.txt

[picasso]

Raport z ComboFix nie przedstawia, by narzędzie cokolwiek usuwało... Prócz ComboFix, dostarcz także wymagane zasadami działu raporty: KLIK.

 

 

Potem program Dr.WEB-CureIt(12976), którego polecił mi znajomy wykrył Trojan Startpage.

 

Nie wiadomo w czym (nie podana ścieżka dostępu), to mógł być wynik nieistotny lub fałszywy alarm.

 

 

.

[Anna91]

Wczoraj jeszcze Spyware Doctor znalazł

 

8 zagrożeń, 253 infekcje:

 

application.Tacking.Cookies 22 infekcje

Trackware.Tracking.Cookies!rem 14 infekcji

Adware.Advertising 7 infekcji

Spyware.TrustyHound!rem 1 infekcja

Adware.DiscoverLive!rem 1 infekcja

Adware.Lop!rem 1 infekcja

Application.NirCmd 21 infekcji informacja

Trojan.Generic 186 infekcji

 

 

Po tym, Avast znalazł 3 razy pod rząd zagrożenia i usuwał je, w tym Rotkit.

 

A dzisiaj znów Avast przy pełnym skanowaniu i Dr.Web nic nie znalazł.

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

Do przedstawiania długich raportów tekstowych służy opcja Załączniki (przeniosłam do plików). Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Wszystkie posty sklejam.

 

Nadal nie dostarczone dane na temat tego w czym Dr. Web widział trojana (konkretny plik). Podobnie jest ze spisem zagrożeń Spyware Doctor (tylko statystyki ogólne, brak ścieżek dostępu do zagrożeń), a część "infekcji" to może być fałszywa detekcja składników ComboFix (piję do wyniku "Application.NirCmd"). Jak mówiłam wcześniej, log ComboFix nie wykazuje, by narzędzie coś usuwało / modyfikowało pliki systemu. W nowych tu podanych logach nie ma jawnych oznak infekcji. Jedyne co mnie, zastanawia, to ten świeżo utworzony katalog:

 

[2013-04-18 13:22:39 | 000,000,000 | ---D | C] -- C:\Users\Anna\Local Settings

 

Podaj skan co w nim jest. Uruchom SystemLook i w oknie wklejj:

 

:dir
C:\Users\Anna\Local Settings

 

Klik w Look. Jeśli log będzie krótki, wklej wprost do posta wyniki.

 

 

 

.

[Anna91]

Niestety nie znam ścieżki w czym Dr.Web widział trojana, ponieważ nie zapisałam tego i od razu usunęłam Dr.Webem, a dopiero później znalazłam to forum. Tak samo z Spyware Doctor. 

 

Do tego czasu jeszcze Dr. Web znalazł:

- prawdopodobieństwo Dloader.Trojan.                  FFWAH.dll                             C\ProgramFiles\PCTools\PCSecrurity\TFEngine

- Muldrop.Trojan                                                     TFE.dll.                                  C\ProgramFiles\PCTools\PCSecrurity\TFEngine

- Trojan.SMSSend.3149               NapiProjektGameDownloader.exe                    C\ProgramFiles\NapiProjektGameDownloader.exe

 

I usunęłam to Dr.Webem

 

 

Skan z System Look:

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:15 on 25/04/2013 by Anna

Administrator - Elevation successful

 

========== dir ==========

 

C:\Users\Anna\Local Settings - Parameters: "(none)"

 

---Files---

None found.

 

---Folders---

Temp d------ [11:22 18/04/2013]

 

-= EOF =-

 

[picasso]

Niestety nie znam ścieżki w czym Dr.Web widział trojana, ponieważ nie zapisałam tego i od razu usunęłam Dr.Webem, a dopiero później znalazłam to forum.

 

Na dysku jest katalog Dr. Web, w którym powinien być raport: C:\Users\Anna\Doctor Web. Wejdź do środka i przejrzyj czy są jakieś pliki tekstowe, znalezione otwórz w Notatniku i wyszukaj w nim wynik "Trojan Startpage".

 

 

Do tego czasu jeszcze Dr. Web znalazł:

 

- prawdopodobieństwo Dloader.Trojan. FFWAH.dll C\ProgramFiles\PCTools\PCSecrurity\TFEngine

- Muldrop.Trojan TFE.dll. C\ProgramFiles\PCTools\PCSecrurity\TFEngine

- Trojan.SMSSend.3149 NapiProjektGameDownloader.exe C\ProgramFiles\NapiProjektGameDownloader.exe

 

Dwa pierwsze to nie infekcja, to fałszywy alarm na plikach skanera PC Tools. Jeśli to zostało usunięte, program PC Tools został uszkodzony. Odinstaluj go, co i tak bym zaleciła, bo masz za dużo skanerów na raz (Avast + PC Tools = potencjalny konflikt).

 

 

Skan z System Look

 

Folder można usuwać. Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj: AVG Security Toolbar oraz PC Tools.

 

2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Anna\Downloads\ComboFix.exe /uninstall

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Anna\Local Settings
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[Anna91]

1. Przeszukałam C:\Users\Anna\Doctor Web, lecz nic nie znalazłam. Może dlatego, że kilka razy uruchamiałam ten program.

 

2. Odistalowałam: AVG Security Toolbar po czym Avast wyświtlił komunikat o zagrożeniu: SVC:vTollbarUpdat Rootkit: Ukryta usługa, usunełam to i Avast ponownie uruchomił system.

 

3. Następnie usunełam: PC Tools Spyware Doctor 91 i Avast znów wykrył zagrożenie: http//coonpendiate.net/sUBS/.../version/txt i znów usunełam, a Avast ponownie uruchomił system.

 

4. Odinstalowałam ComboFixa i ponownie uruchomił się system i wygenerował raport 1

 

"All processes killed

========== FILES ==========

C:\Users\Anna\Local Settings\Temp folder moved successfully.

C:\Users\Anna\Local Settings folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Anna

->Temp folder emptied: 124770460 bytes

->Temporary Internet Files folder emptied: 99476360 bytes

->Google Chrome cache emptied: 382167342 bytes

->Flash cache emptied: 21655 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 41348994 bytes

RecycleBin emptied: 64582 bytes

 

Total Files Cleaned = 618,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 04262013_224706

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot..."

 

 

5. Potem uruchomiłam OTL

OTL.Txt

[picasso]

1. Przeszukałam C:\Users\Anna\Doctor Web, lecz nic nie znalazłam. Może dlatego, że kilka razy uruchamiałam ten program.

 

Trudno, nie dowiem się co to było, ale nazwa sugeruje, że mogło to być coś znikomego lub nawet fałszywy alarm.

 

 

2. Odistalowałam: AVG Security Toolbar po czym Avast wyświtlił komunikat o zagrożeniu: SVC:vTollbarUpdat Rootkit: Ukryta usługa, usunełam to i Avast ponownie uruchomił system.

 

Avast wykrył po prostu AVG Toolbar... Fałszywy alarm, to nie rootkit.

 

 

3. Następnie usunełam: PC Tools Spyware Doctor 91 i Avast znów wykrył zagrożenie: http//coonpendiate.net/sUBS/.../version/txt i znów usunełam, a Avast ponownie uruchomił system.

 

Czy to na pewno było podczas deinstalacji PC Tools? Fraza "sUBS" sugeruje ComboFix...

 

 

4. Odinstalowałam ComboFixa i ponownie uruchomił się system i wygenerował raport 1

 

To jest raport usuwania OTL a nie ComboFix.

 

 

Zadania wykonane, przejdź do wykończeń tematu:

 

1. Drobne poprawki jeszcze na szczątki po skanerach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Anna\AppData\Local\Temp\catchme.sys -- (catchme)
[2013-04-19 17:27:28 | 000,000,000 | ---D | C] -- C:\Program Files\PC Tools
[2013-04-19 17:24:16 | 000,202,280 | ---- | C] (PC Tools) -- C:\Windows\System32\drivers\PCTSD.sys
[2013-04-19 17:24:15 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PC Tools
[2013-04-19 17:23:34 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP
[2013-04-19 17:23:32 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2013-04-19 17:23:30 | 000,000,000 | ---D | C] -- C:\Users\Anna\AppData\Roaming\TestApp
[2013-04-18 22:37:42 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013-04-18 20:55:11 | 000,000,000 | ---D | C] -- C:\Users\Anna\Doctor Web

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Gdy program ukończy działanie, uruchom w nim Sprzątanie.

 

2. W dzienniku zdarzeń powtarza się błąd WMI numer 10. Pobierz i uruchom narzędzie Fix-it: KLIK.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń stary Adobe Reader i Silverlight, sprawdź wersję Adobe Flash w Internet Explorer oraz zaktualizuj Office 2007 (instalacja SP3): KLIK. Wersje widziane aktualnie w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"ENTERPRISE" = Microsoft Office Enterprise 2007

 

 

.

[Anna91]

Możliwe, że to było po instalacji Combo Fixa.

 

1. Wykonałam skrypt i włączyłam sprzątanie i komputer ponownie się uruchomił.

 

2. Pobrałam i uruchomiłam narzędzie Fix-it

 

3. Wyczyściłam foldery przywracania systemu i utworzyłam "punkt przywracania systemu dla dysków z włączoną ochroną systemu".

 

4. Chciałam zaktualizować Office 2007, lecz pojawił się komunikat: :the expected version of the product was not found"

Wersja Adobe flash w Internet Explorer: Flash: 11,7,700,169

Usunęłam stary Adobe Reader i Silverlight i zainstalowałam nowe wersje.

 

Jeszcze zapomniałam dodać, że po użyciu Combo Fixa, Avast nie włącza się przy włączaniu systemu, tylko za każdym razem muszę go osobno włączać. 

[picasso]

4. Chciałam zaktualizować Office 2007, lecz pojawił się komunikat: :the expected version of the product was not found"

 

A jaka wersja językowa instalatora była użyta? Jeśli EN, to spróbuj z PL.

 

 

.

[Anna91]

Z polską wersją językową udało się.

[picasso]

Nie zauważyłam, że napisałaś jeszcze o tym:
 

Jeszcze zapomniałam dodać, że po użyciu Combo Fixa, Avast nie włącza się przy włączaniu systemu, tylko za każdym razem muszę go osobno włączać.

 
Jak sądzę, skutek uboczny ComboFix, tzn. usunięcie wpisu startowego antywirusa. Naprawiaj:
 
1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="\"C:\\Program Files\\Alwil Software\\Avast\\avastUI.exe\" /nogui"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

2. Przejdź w Tryb awaryjny Windows, gdy Avast jest nieczynny. Kliknij prawym na plik FIX.REG i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. Zresetuj system. Podaj czy Avast automatycznie się uruchomił.

 

 

 

.

[Anna91]

Zrobiłam wszystko tak jak napisałaś, niestety Avast dalej się nie włącza. 

Potem spróbowałam jeszcze raz i dalej nic.

[picasso]

Co się działo podczas uruchamiania pliku REG, jaki był komunikat? Czy plik był uruchamiany z poziomu Trybu awaryjnego Windows?

[Anna91]

Tak, plik był uruchamiany z trybu awaryjnego Windows.

Kliknęłam prawym przyciskiem myszy i wybrałam scal.

 

Pojawił się komunikat: " Dodanie informacji może spowodować przypadkową zmianę lub usunięcie wartości oraz przerwać działanie składników. Jeśli nie masz zaufania do źródła informacji zawartych w pliku C:\Users\Anna\Desktop\FIX.REG, nie dodawaj go do rejestru."

 

Zatwierdziłam i pojawił się komunikat: "Czy na pewno chcesz kontynuować?"

 

Zatwierdziłam i pojawił się komunikat: "Klucze i wartość znajdujące się w C:\Users\Anna\Desktop\FIX.REG zostały wprowadzone do rejestru"

 

Lecz pomimo tego Avast nie uruchamia się przy włączaniu systemu.

[picasso]

To może po prostu przeinstaluj Avast.

Edytowane 29 Maja 2013 przez picasso
29.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso