ruzicasibila Opublikowano 26 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2013 Cześć, probowalam dzisiaj wlaczyc komputer i darmowy Antivirus Security Pro zakrzyczał, że mam masę trojanów. Udało mu się usunąć niektóre wirusy, ale trojanów nie, to jest ich spis: Win32/ Ramnit.X C:\Windows\System32\pp.exe Win32/Pramro.F C:\Windows\System32\smss.exe Win32/Zwangi C:\Windows\System32\smss.exe Win32/Mabezat.A C:\Windows\System32\mdm.exe Win32/PriceGong C:\Windows\System32\controls.ocx JS/Redirector.XX C:\Windows\System32\controls.ocx Win32/Kelihos C:\Windows\System32\drivers\spy.sys Win32/PriceGong PID: 11080 | SYSTEM | nvvsvc.exe Win32/Kelihos PID: 11016 | SYSTEM | services.exe Win32/Ramnit.X PID: 21772 |SYSEM| svchost.exe Win32/Sinowal.gen!X PID: 28544 |SYSTEM | spoolsv.exe Win32/Ifnapod.X PID: 10492|SYSTEM| nvvsvc.exe Win32/Sality.XX PID: 15960 | SYSTEM | spoolsv.exe Win32/Ifnapod.X PID: 11096 |SYSTEM| svchost.exe Win32/Ifnapod.X HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Win32/Xinkey HKLM\Software\Microsoft\Windows\CurrentVersion\Run Win32/Kielihos HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce JS/Redirector.XX HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce Nie działa mi napęd (probowalam zainstalowac antywir z plyty ale jej nie widzi) ani internet, nie mogę tez usuwac plikow przez panel sterowania, nie dziala tez menadzer zadań. Nie mam dysku podzielonego na partycje (byl z tym jakis problem) i mam wszystkie wazne pliki na dysku C, bardzo nie chciałabym robić formatu, prosze, pomożcie jakos, nie chce tez zainfekowac drugiego komputera przenosząc na niego rzeczy z tamtego (o ile uda sie cos przeniesc na dysk przenosny, jeszcze nie probowalam bo nie chcę go zainfekowac). CO ROBIC??? Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2013 Zasady działu: KLIK. Są potrzebne raporty z OTL, FRST oraz GMER. Odnośnik do komentarza
Bonifacy Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Ale tu chyba ta żaba wyciągnęła łapę do podkucia? - http://malwaretips.com/blogs/antivirus-security-pro-virus Odnośnik do komentarza
ruzicasibila Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Wczoraj odpaliłam komputer w trybie awaryjnym i udało mi się wtedy nawiązać kontakt z napędem i portem USB oraz internetem. Zainstalowałam Avasta, ale wykrył mi tylko jedno zagrożenie (trojana, ale nie umiał go naprawić ,,odmowa dostępu"). Zainstalowałam potem Malwarebytes Anti-Malware i znalazł 299 zagrozeń, w tym trojany, pousuwałam i pokwarantannowałam wszystkie. Teraz internet działa i nie spowalnia mi komputera, ale nadal nie działa port USB (probowalam podłączyć dysk przenosny). Zamieszczam raport OTL i FRST. GMER nie dało się wykonać, wyswietla mi komunikat ,, C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on uzywany przez inny proces." Odinstalowałam Daemona, ale nadal mam ten komunikat. FRST: http://wklej.org/id/1117463/txt Addition FRST: http://wklej.org/id/1117543/txt OTL: http://wklej.org/id/1117466/txt Nie mogę włączyć też osłon w Avaście, napisane jest że został zatrzymany. Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Sekcja sterowników jest w drastycznym stanie, lock rootkitem Necurs. Podaj też odczyt z Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw wszędzie Skip i przedstaw log utworzony na C:\. . Odnośnik do komentarza
ruzicasibila Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Log z TDSSKiller: http://wklej.org/id/1117545/txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 1. Uruchom TDSSKiller i tym razem dla wyniku Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast nie ruszaj wyników o stanie LockedFile.Multi.Generic, wszędzie ma być Skip! To prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system, by zatwierdzić usuwanie. 2. Podaj log utworzony przez TDSSKiller. Zrób nowy skan z FRST (bez Addition). . Odnośnik do komentarza
ruzicasibila Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 1. TDSSKiller: http://wklej.org/id/1117570/txt http://wklej.org/id/1117571/txt Nie wykrył tym razem nic. 2. FRST: http://wklej.org/id/1117567/txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Sterowniki wróciły do normy. Możemy przejść do usuwania pozostałych wpisów i adware. Akcja: 1. Przez Panel sterowania odinstaluj: Babylon Chrome Toolbar, BrowserProtect, BrowseToSave 1.74, DealPly, Delta Chrome Toolbar, Delta toolbar, EasyLife Gadget, EasyLife Search 1.74, EasylifeGadget, IB Updater 2.0.0.578, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, NCDownloader, OptimizerPro, Qtrax Player, Search Assistant WebSearch 1.74, Search-NewTab, SweetPacks bundle uninstaller, uTorrentControl_v2 Toolbar 2. Wyczyść przeglądarki: - Google Chrome: wejdź do Rozszerzeń i odinstaluj wszystko co się powtarza na w/w liście. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, z listy skasuj śmieciowe wyszukiwarki. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Otwórz Notatnik i wklej w nim: testsigning: ==> Check for possible unsigned rootkit driver HKCU\...\Run: [wurbeafynqug] - C:\Users\Agata\wurbeafynqug.exe [x] HKCU\...\Run: [gearupicjudu] - c:\users\agata\gearupicjudu.exe [x] HKCU\...\Run: [taetar] - C:\Users\Agata\taetar.exe /z [x] HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [97280 2009-07-14] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119828&tt=gc_&babsrc=HP_ss_gin2g&mntrId=64D3FE85DE175309 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=Hitachi_HTS547575A9E384_J2140059FZ1L8AFZ1L8AX&ts=1354039196 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.easylifeapp.com/?pid=388&src=ie1&r=2013/04/04&hid=2974714118&lg=EN&cc=PL URLSearchHook: (No Name) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No File URLSearchHook: (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=499&r=2013/02/21&hid=2974714118&lg=EN&cc=PL SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119828&tt=gc_&babsrc=SP_ss_gin2g&mntrId=64D3FE85DE175309 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119828&tt=gc_&babsrc=SP_ss_gin2g&mntrId=64D3FE85DE175309 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=499&r=2013/02/21&hid=2974714118&lg=EN&cc=PL SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6Oz15arp62&i=26 BHO-x32: DealPly Shopping - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - C:\Program Files (x86)\DealPly\DealPlyIE.dll No File BHO-x32: Search-NewTab - {F3CFFBA4-B266-B9C1-73AA-24DE97189BDC} - C:\ProgramData\Search-NewTab\5126509ddb387.dll No File Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU - No Name - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF Plugin-x32: @tools.dpliveupdate.com/DealPlyLive Update;version=3 - C:\Program Files (x86)\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.dpliveupdate.com/DealPlyLive Update;version=9 - C:\Program Files (x86)\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] C:\Program Files\IB Updater\Firefox FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] C:\Program Files\IB Updater\Firefox CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Agata\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx CHR HKLM-x32\...\Chrome\Extension: [ejnmnhkgiphcaeefbaooconkceehicfi] - C:\Program Files (x86)\DealPly\DealPly.crx CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Agata\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx Task: {31B58637-C8F1-4E04-97A6-2B22985B1806} - System32\Tasks\DealPlyUpdate => C:\Program No File Task: {3AD852A0-0B1E-4125-B53D-F071CB734F92} - System32\Tasks\EPUpdater => C:\Users\Agata\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File Task: {40209651-94D2-43E8-9B84-3DFBA49C501D} - System32\Tasks\schedule!3036567561 => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe No File Task: {6D99A489-213D-4A87-9807-AD05F7F2FDBC} - System32\Tasks\schedule!2844174011 => C:\ProgramData\BetterSoft\EasylifeGadget Updater\EasylifeGadget Updater.exe No File Task: {746BE0D4-1FC7-4C32-B9CB-BD6222AFFADF} - System32\Tasks\DealPlyLiveUpdateTaskMachineUA => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe No File Task: {A9A637A7-4B87-44D9-B96F-4D80CE1E633F} - System32\Tasks\DealPlyLiveUpdateTaskMachineCore => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe No File Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x] S2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [x] S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [x] S1 htxcencb; \??\C:\Windows\system32\drivers\htxcencb.sys [x] C:\ProgramData\SummerSoft C:\ProgramData\X6XgXn37 C:\Users\Agata\keuxii.exe C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro C:\Users\Agata\AppData\Roaming\sp_data.sys C:\Users\Agata\AppData\Local\MFAData C:\Users\Agata\AppData\Local\Avg2013 C:\ProgramData\MFAData Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST (bez Addition). Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
ruzicasibila Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Nie mogę usunąć nic związanego ze SweetPacks, otrzymuję komunikat o treści: Źródło instalacji tego produktu nie jest dostępne. Sprawdź, czy źródło istnieje i czy masz do niego dostęp. Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Nie szkodzi. Leć dalej. AdwCleaner i tak usunie resztki, których nie da się skosić Panelem sterowania. Odnośnik do komentarza
ruzicasibila Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Załączam logi: Fixlog: http://wklej.org/id/1117732/txt FRST: http://wklej.org/id/1117743/txt AdwCleaner: http://wklej.org/id/1117744/txt http://wklej.org/id/1117745/txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Wszystko zrobione. Poprawki: 1. Google Chrome ma uszkodzone preferencje, na dodatek w folderze nadal szczątki adware. Proponuję odinstalować Google Chome. Przy deinstalacji potwierdź usuwanie danych osobistych. Upewnij się, że zniknął folder C:\Users\Agata\AppData\Local\Google\Chrome. 2. Odinstaluj starę wersję Avast. W trybie awaryjnym popraw narzędziem Avast Uninstall Utility. Zainstaluj najnowszy Avast. 3. Ponownie wyczyść pliki tymczasowe narzędziem TFC. 4. Zrób nowy log FRST (bez Addition). . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się