Problem z wirusem przeglądarek - V9

[lenkiewicz]

Dzień dobry,

 

 

Chciałabym prosić o pomoc w sprawie uciążliwego wirusa. Podczas korzystania z każdej przeglądarki internetowej pojawia się strona V9.

 

Próbowałam już różnymi sposobami: usunięcie z panelu sterowania, Revo Uninstaller, ADWCleaner, usunięcie wszystkich skrótów przeglądarek, usunięcie adresu we właściwościach skrótów, odinstalowanie przeglądarek. Niestety, problem cały czas wraca, dlatego proszę o pomoc.

 

Przesyłam raporty OTL i ADWCleaner.

 

Z góry dziękuję i pozdrawiam.

OTL.Txt

Extras.Txt

AdwCleanerS7.txt

[picasso]

Obowiązkowe logi to także FRST. Dodaj. Po otrzymaniu ich przejdę do usuwania.

 

Uwaga wstępna na temat OTL_[www.programosy.pl].exe. Proszę nie pobierać tego typu programów z serwisów pośrednich, tylko linki autoryzowane (w przyklejonym podane).

 

 

 

.

[lenkiewicz]

Przepraszam, już dosyłam raport.

FRST.txt

Addition.txt

[lenkiewicz]

Po usunięciu jeszcze jednego programu Revo Uninstallerem wygląda na to, że problem zniknął i wszystkie przeglądarki są czyste.

Nie jestem pewna, bo słabo się na tym znam, w każdym razie przepraszam za zawracanie głowy.

 

Dziękuję za szybką odpowiedź.

[picasso]

Widzę niespójność raportów: między raportami z OTL a FRST wykonano czynności związane z usunięcie "ochraniacza" modyfikacji, czyli niejakiego DProtect. Po v9 zostały jeszcze wpisy. Ale Ty się martwisz akurat najmniejszym problemem. Adware v9 to błahostka, w systemie są oznaki trojana sdra64.exe (wykrada hasła): KLIK. Poza tym, to nie jedyna infekcja (dodatkowe usługi malware).

 

 

EDIT:

 

Po usunięciu jeszcze jednego programu Revo Uninstallerem wygląda na to, że problem zniknął i wszystkie przeglądarki są czyste.

Nie jestem pewna, bo słabo się na tym znam, w każdym razie przepraszam za zawracanie głowy.

Jak mówię powyżej, DProtect owszem usunięty, ale to nie koniec Twoich problemów.

 

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
BootExecute: autocheck autochk * rmvirut.nt
S3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG8\Toolbar\ToolbarBroker.exe [167264 2011-11-10] ()
R2 BtwSvc; C:\WINDOWS\system32\BtwSvc.dll [45568 2001-10-26] (module attribute)
R2 peresvc; C:\WINDOWS\system32\PereSvc.exe [34304 2001-10-26] (Netopsystems AG)
S2 vToolbarUpdater15.3.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe [x]
R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [37664 2013-06-27] (AVG Technologies)
S1 iSafeNetFilter; \??\C:\Program Files\iSafe\iSafeNetFilter.sys [x]
S3 protect; System32\drivers\protect.sys [x]
NETSVC: BtwSvc -> C:\WINDOWS\system32\BtwSvc.dll (module attribute)
NETSVC: BtwSrv -> No Registry Path.
NETSVC: EvdoServer -> No Registry Path.
URLSearchHook: (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
SearchScopes: HKCU - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\v9.xml
FF HKLM\...\Firefox\Extensions: [avg@igeared] - C:\Program Files\AVG\AVG8\Toolbar\Firefox\avg@igeared
FF Extension: No Name - C:\Program Files\AVG\AVG8\Toolbar\Firefox\avg@igeared
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\BtwSvc.dll
C:\WINDOWS\system32\PereSvc.exe
C:\WINDOWS\System32\lowsec
C:\WINDOWS\System32\Extensions
C:\WINDOWS\System32\searchplugins
C:\WINDOWS\system32\drivers\avgtpx86.sys
C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
C:\Documents and Settings\Asia\Dane aplikacji\eCyber
C:\Documents and Settings\Asia\Dane aplikacji\iSafe
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\avgchrome
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\AVG Security Toolbar
C:\Program Files\AVG\AVG8\Toolbar
C:\Program Files\iSafe
C:\Program Files\FreeTime
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść preferencje Firefox z adware v9: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. Zrób nowy skan FRST (zaznacz, by powstał ponownie Addition) oraz zaległy GMER. Dołącz plik fixlog.txt.

 

 

 

.

[lenkiewicz]

Dziękuję. Zrobiłam wszystko i przesyłam logi.

 

Co do trojana, to niestety nie miałam nim pojęcia... Gdzie mogłabym uzyskać pomoc w tej sprawie? Czy na tym forum mogę założyć wątek dotyczący tego problemu?

FRST.txt

Addition.txt

Fixlog.txt

GMER.txt

[picasso]

Zadania pomyślnie wykonane, ale tu jeszcze nie koniec akcji.

 

 

Co do trojana, to niestety nie miałam nim pojęcia... Gdzie mogłabym uzyskać pomoc w tej sprawie? Czy na tym forum mogę założyć wątek dotyczący tego problemu?

Przecież ja tu kompleksowo rozwiązuję wszystkie sprawy w temacie i owego trojana już adresowałam w instrukcjach usuwających... W skrypcie FRST przetworzyłam wpisy trojana. Wg pliku Fixlog akcja udana i trojan usunięty:

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => Value was restored successfully.
 

C:\WINDOWS\system32\sdra64.exe => Moved successfully.

C:\WINDOWS\System32\lowsec => Moved successfully.

 

Ale niestety ja tu widzę dalsze problemy infekcyjne. GMER opowiada, że jest zmodyfikowany plik explorer.exe:

 

---- User code sections - GMER 2.1 ----
 

.reloc C:\WINDOWS\Explorer.EXE[772] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0x3800, 0xE0000040]

 

Ja tu widzę tak jakby objawy infekcji w plikach wykonywalnych. Być może to już tylko stan po nieudolnym czyszczeniu wcześniej, gdyż w systemie są także ślady używania narzędzia rmvirut (usuwacz infekcji wykonywalnych Virut). Wypowiedz się dokładnie kiedy ta infekcja miała miejsce i jak była leczona. Poproszę też o dodatkowe odczyty:

 

1. Spis kopii pliku explorer.exe. Uruchom SystemLook i w oknie wklej:

 

:filefind
explorer.exe

 

Klik w Look i przedstaw wynikowy log.

 

2. Pełny skan narzędziem Kaspersky Virus Removal Tool. Domyślnie narzędzie robi skan ekspresowy, należy wejść do opcji i zmienić to zaznaczając wszystko do skanu. Taki skan długo potrwa, ale da lepsze rezultaty.

 

 

 

.

[lenkiewicz]

W takim razie bardzo dziękuję

 

Możliwe, że są to pozostałości po moich próbach pozbycia się V9, nie wiem czy dobrze postępowałam. Infekcja przeglądarki pojawiła się dwa dni temu, po zainstalowaniu uTorrent.

Próbowałam: usunąć wszystkie skróty przeglądarek,

ręcznie wykasowywałam adres V9 we właściwościach skrótów,

użyłam AdwCleanera oraz ISafe,

Revo Uninstallerem odinstalowałam uTorrent, Google Toolbar, DSafe,

usuwałam dane V9 w ustawieniach przeglądarek.

 

V9 od samego początku nie ukazywał mi się w programach w "Dodaj/usuń programy" w panelu sterowania, więc nie miałam możliwości, żeby go usunąć w ten sposób.

 

Przesyłam log z System Look. Jestem w trakcie skanowania Kasperskym Virus Removal i mam pytanie. Podczas skanowania, pojawiaja mi się "alarm" i pyta czy usunąć szkodliwy plik. Czy mam na to zezwolić czy pominąć? Dodam, że znaleziony plik ma nazwę "Trojan.Win32.Staser.fv"...

SystemLook.txt

[picasso]

Na szybko, bo muszę wyjść z domu, skomentuję tylko to (reszta jak wrócę):

 

 

Podczas skanowania, pojawiaja mi się "alarm" i pyta czy usunąć szkodliwy plik. Czy mam na to zezwolić czy pominąć? Dodam, że znaleziony plik ma nazwę "Trojan.Win32.Staser.fv"...

Zgódź się na to co proponuje Kaspersky (domyślnie dobrane przez niego akcje typu Usuń czy Lecz). Po skanowaniu w opcjach Kasperskiego wyszukaj raport z wynikami wykrytych infekcji i przeklej tu do oceny.

 

 

Możliwe, że są to pozostałości po moich próbach pozbycia się V9, nie wiem czy dobrze postępowałam. Infekcja przeglądarki pojawiła się dwa dni temu, po zainstalowaniu uTorrent.

Nie, adware v9 to kompletnie odrębna sprawa. Jest to drobny reklamiarz wbrew pozorom (owszem, uciążliwe dziadostwo) a nie infekcja w rodzaju wirus/trojan. U Ciebie są po prostu skomasowane ślady innych infekcji, które prawdopodobnie są od dawna nie leczone lub nieprawidłowo wyleczone. Do rzeczy ma tu też zapewne kompletnie przestarzały antywirus.

 

 

 

.

[lenkiewicz]

Zastosowałam się do wskazówek.

 

Nie mogę wysłać skanów z Kaspersky, są za duże...

Przesyłam nowy log z SystemLook.

SystemLook.txt

[picasso]

Log z SystemLook nie uległ zmianie i nie był potrzebny po raz drugi. Za to potrzebny log z Kasperskiego:

 

Nie mogę wysłać skanów z Kaspersky, są za duże...

Czy my na pewno mówimy o raporcie z wynikami "Detected" a nie całym logu z wszystkim jak leci (czyli i wyniki typu OK i inne zbędne mi do wglądu)?

 

 

 

.

[lenkiewicz]

Tak, to prawda, chodziło mi o cały log. Niestety nie zapisałam raportu z wynikami "Detected", przepraszam za pomyłkę.

Przeprowadziłam skan jeszcze raz i nie wykryło żadnych zagrożeń.

 

Natomiast zainstalowałam Avast i dość często pokazuje mi komunikaty o zagrożeniu.

[picasso]

Natomiast zainstalowałam Avast i dość często pokazuje mi komunikaty o zagrożeniu.

Jak są sformułowane te komunikaty, co na nich jest (ścieżki dostępu i nazwy zagrożeń)?

 

 

 

.

[lenkiewicz]

Tak, na początku były nazwy zagrożeń i akcje jakie Avast wykonywał. Najczęściej pojawiało się: "Zagrożenie:Win64:Vitro" i "Zagrożenie:Win32:Trojan-gen".

Avast zazwyczaj usuwał bądź przenosił do kwarantanny.

 

A teraz daje znać, że wykryto zagrożenie, podaje ścieżkę, ale nie ma żadnej akcji i nie prosi o wykonanie żadnej akcji.

 

I jeszcze mam dodatkowe pytanie. Czy to możliwe, że któryś wirus albo moje działania w celu ich usunięcia powodują, że wiele dokumentów, przede wszystkim w formacie .txt oraz w.doc ulegają naruszeniu?

Odkąd się zaczęły moje problemy z V9, jak wysyłam dokument tekstowy w załączniku w mailu, to pojawia się w nim mnóstwo krzaków, tak jakby nie kodowało polskich znaków. Najczęściej podgląd pliku na komputerze jest prawidłowy, po wysłaniu już psuje się cały tekst...

 

Czy może być to jakoś ze sobą powiązane, czy raczej jest to zbieg okoliczności?

[picasso]

Niestety, wygląda na to że system jest poważnie zainfekowany Virut / Vitro = wirusem w wykonywalnych (niszczenie wszystkich plików tego rodzaju). Tu może się kroić format dysku. Takie infekcje nie dość, że są bardzo trudne do usunięcia, to jeszcze po leczeniu mogą zostać uszkodzone pliki, co i tak wymusi format.

 

Od razu zapytam: czy format wchodzi tu w grę? I uwaga: z tego dysku nie wolno Ci skopiować żadnych plików, bo po formacie rozniesiesz infekcję ponownie.

 

 

Czy to możliwe, że któryś wirus albo moje działania w celu ich usunięcia powodują, że wiele dokumentów, przede wszystkim w formacie .txt oraz w.doc ulegają naruszeniu?

Wirus w wykonywalnych to przyczyna. Virut / Vitro niszczy nie tylko klasyczne pliki EXE, ale także inne określone formaty, m.in. jest to właśnie DOC, również PDF, HTML, JPG...

 

 

 

.