damian3681 Opublikowano 24 Marca 2014 Zgłoś Udostępnij Opublikowano 24 Marca 2014 Witam, Proszę o pomoc w pozbyciu się wirusów. Próbowałem już kilku programów antywirusowych bez skutku, każdy niby usuwa jakieś wirusy ale to nic nie pomaga W załączniku przesyłam logi z programu OTL oraz screen uruchomionych procesów. Pozdrawiam Edit: dołączam potrzebne logi oraz raport z programu Loaris Trojan Remover Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... GMER.txtPobieranie informacji ... log z programu Loaris Trojan Remover.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 W systemie działa Bitcoin miner, co wyjaśniałoby silne wykorzystanie zasobów. Prawdopodobnie nabyty z jednego z cracków. A co do Loaris Trojan Remover, to pozbądź się go: - Wątpię w rzetelność produktu. Tylko część wyników wygląda na rzeczywistą. W skanie są pokazane także poprawne obiekty określone jako "szkodliwe". - Crackowany. Takie działanie w kontekście próczy leczenia systemu jest nie na miejscu, w cracku przecież może być dodatkowa "niespodzianka". Dodatkowa uwaga, poniższe pliki to nie są poprawne instalatory tylko śmieci "Asystenci pobierania": KLIK. C:\Users\MEDION\Downloads\Malwarebytes-AntiMalware(13117).exe C:\Users\MEDION\Downloads\Trojan-Remover(13140).exe Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3516936947-172502274-2371734409-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [scrypt] - "C:\Users\MEDION\AppData\Roaming\Scrypt\nircmd.exe" exec hide "C:\Users\MEDION\AppData\Roaming\Scrypt\start.bat" SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP103900FB-B25C-4CAC-AF91-4FA3903D2714&q={searchTerms}&SSPV= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP103900FB-B25C-4CAC-AF91-4FA3903D2714&q={searchTerms}&SSPV= SearchScopes: HKCU - {0949158B-0F43-43A0-B227-F61517808BBD} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3225826&CUI=UN40165870051417721&UM=1 Task: {6D83D0F6-64C4-4AC9-9A56-7763AC710D57} - \BackgroundContainer Startup Task No Task File S3 EverestDriver; \??\C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\kerneld.amd64 [X] R4 gzflt; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Antimalware Engine\2.6.0.0\gzflt.sys [X] C:\Program Files\Common Files\Lavasoft C:\Program Files (x86)\ESET C:\ProgramData\adaware-installer-reboot-required.tmp C:\ProgramData\AVG C:\ProgramData\Conduit C:\ProgramData\Lavasoft C:\Users\MEDION\.android C:\Users\MEDION\daemonprocess.txt C:\Users\MEDION\AppData\Local\cache C:\Users\MEDION\AppData\Local\Conduit C:\Users\MEDION\AppData\Roaming\AVG C:\Users\MEDION\AppData\Roaming\LavasoftStatistics C:\Users\MEDION\AppData\Roaming\Scrypt C:\Users\MEDION\Downloads\Malwarebytes-AntiMalware(13117).exe C:\Users\MEDION\Downloads\Trojan-Remover(13140).exe C:\Users\MEDION\Documents\Mobogenie C:\END Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
damian3681 Opublikowano 4 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 Dziękuję za odpowiedź. Pewnego dnia komputer nie dał się uruchomić i zmuszony byłem zrobić format dysku. Po zainstalowaniu systemu i sterowników dołączonych do komputera problem znowu wystąpił. Po analizie systemu kilkoma programami antywirusowymi(avg, eset, malwarebytes, mse, ad-adware) nie udało się odnaleźć przyczyny problemu. Dopiero program Spyhunter odnalazł i usunął wirusa o którym piszesz, czyli Bitcoin miner. Z opinii na forum o tym programie domyślam się że Spyhunter usunął również niepotrzebnie dużo innych rzeczy. Źródło wirusa program znalazł w jednym ze sterowników do karty sieciowej, nie mam już instalki tego sterownika bo go usunąłem, ani SpyHuntera bo gryzł się z oprogramowaniem AVG. Jeżeli istnieje taka możliwość to prosiłbym o ponowne sprawdzenie logów. Załączam pozdrowienia. Edit: dodano prawidłowe logi z FRST. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 Co do SpyHunter: program tu nie polecany. Był długo na czarnej liście ze względu na praktyki "szantażowania" wynikami skanu. Do dziś program jest natrętnie promowany. Deinstalacja programu nie usunęła wszystkich elementów. Zostały m.in. poniższe pliki rozruchowe. Przed ich usunięciem muszę potwierdzić czy przy starcie systemu widzisz normalne menu Windows czy może coś takiego: KLIK? 2014-04-01 00:41 - 2014-03-31 23:15 - 00008192 _____ () C:\shldr.mbr 2014-04-01 00:41 - 2012-11-02 15:23 - 00285747 _____ () C:\shldr W kwestii infekcji: w zasadzie sytuacja po formacie podobna. Obecny wpis dokładnie tej samej infekcji oraz szczątki adware z instalacji BitTorrent. Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3542818027-3627737236-3176664530-1000\...\Run: [scrypt] - "C:\Users\Damian\AppData\Roaming\Scrypt\nircmd.exe" exec hide "C:\Users\Damian\AppData\Roaming\Scrypt\start.bat" Task: {3995EF85-DCFD-47AD-B916-54FC57D56CB8} - \BackgroundContainer Startup Task No Task File URLSearchHook: HKLM-x32 - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No File URLSearchHook: HKCU - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No File Toolbar: HKLM-x32 - BitTorrentControl_v12 Toolbar - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No File S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 RkHit; \??\C:\Windows\system32\drivers\RKHit.sys [X] C:\Program Files (x86)\BitTorrentControl_v12 C:\Program Files (x86)\Enigma Software Group C:\Program Files\Enigma Software Group C:\Users\Damian\AppData\Roaming\eCyber C:\Users\Damian\AppData\Roaming\Scrypt C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\log C:\sh4_service.log Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też pliki fixlog.txt i log AdwCleaner. . Odnośnik do komentarza
damian3681 Opublikowano 4 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 Poniżej zamieszczam wyniki dezynfekcji i proszę o ewentualne dalsze wskazówki. AdwCleanerS0.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 Zadania wykonane, choć wpis infekcji w starcie nie został znaleziony i już go rzeczwiścienie ma - czy usuwałeś go ręcznie i w jaki sposób? Nie odpowiedziałeś mi jednak na pytanie: picasso napisał(a): Zostały m.in. poniższe pliki rozruchowe. Przed ich usunięciem muszę potwierdzić czy przy starcie systemu widzisz normalne menu Windows czy może coś takiego: KLIK? . Odnośnik do komentarza
damian3681 Opublikowano 4 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 Nie usuwałem tych dwóch plików, a Windows ładuje się normalnie, nie pojawia się okno wyboru systemu. Te dwa pliki z tego co widzę cały czas są. W załączniku screen. Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2014 Oczywiście, że pliki są, gdyż ich nie usuwałam mówiąc wyraźnie, iż muszę potwierdzić brak tego menu SpyHunter przy starcie. W przeciwnym wypadku ich usunięcie mogłoby doprowadzić do niebootowalnego Windows. Skoro potwierdzasz, że Windows nie posiada takiego menu, to usuń te dwa pliki ręcznie. Wszystko wygląda na zrobione, kończ zadania: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
damian3681 Opublikowano 5 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 System po ponownym uruchomieniu działa poprawnie. Dziękuję za pomoc, postaram się odwdzięczyć po wypłacie Załączam pozdrowienia i log z delfix. DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 OK, narzędzia usunięte, ręcznie dokasuj sobie jeszcze GMER. Temat rozwiązany. Zamykam. Dzięki za potencjalną dotację. . Odnośnik do komentarza
Rekomendowane odpowiedzi