damiano94 Opublikowano 18 Maja 2014 Zgłoś Udostępnij Opublikowano 18 Maja 2014 Witam,Program ESET Smart Seciurity wykrył mi wirusa w dzienniku skanowania wyskoaczyła mi taka informacja:Pamięć operacyjna - Win32/Sirefef koń trojański - wybrana akcja zostanie wykonana po zakończeniu skanowania. Niestety nie mogę usunąć tego trojana a, że jestem zielony w tych sprawach proszę o pomoc. W załączniku potrzebne logi. Addition.txt AdwCleanerS1.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Shortcut.txt mbam-log-2014-05-18 (12-35-56).txt Odnośnik do komentarza
picasso Opublikowano 18 Maja 2014 Zgłoś Udostępnij Opublikowano 18 Maja 2014 Raport z FRST przedstawia konkretne miejsce, z którego ładuje się ta infekcja. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-178726868-3365838391-836067975-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\oem\AppData\Local\{6ac2c385-67cc-1eac-dbda-09cfdcfa762c}\n. ATTENTION! ====> ZeroAccess/Alureon? C:\Users\oem\AppData\Local\{6ac2c385-67cc-1eac-dbda-09cfdcfa762c} AppInit_DLLs: D:\PROGRA~1\KASPER~1\x64\sbhook64.dll => D:\PROGRA~1\KASPER~1\x64\sbhook64.dll File Not Found AppInit_DLLs: ,D:\PROGRA~1\KASPER~1\x64\kloehk.dll => D:\PROGRA~1\KASPER~1\x64\kloehk.dll File Not Found Winlogon\Notify\klogon: %SystemRoot%\System32\klogon.dll [X] FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {154599B6-6AF4-4BDB-942E-7166BBF538BA} - System32\Tasks\{E6F38033-62B2-4BCE-8754-01B455421EEB} => Firefox.exe Task: {399A65CD-EA43-409E-9594-37FF95714E78} - System32\Tasks\{6D29904B-7D0D-4A0F-93EC-8D5A7FAE889A} => D:\Gry\Heroes of Might and Magic III - Zlota Edycja\Heroes3.exe Task: {998F1DBE-8A31-4429-9167-72C21C907563} - System32\Tasks\{7791A1B6-F87F-489F-9A71-120692C8368B} => Firefox.exe Task: {A3C14CAC-C485-4E9A-8685-4CCE8B8B47D2} - System32\Tasks\{E197745C-E78C-4FBF-BA22-AA5FE2EE5B2B} => D:\Gry\Heroes of Might and Magic III - Zlota Edycja\Heroes3.exe Task: {D303FCC7-217F-4B4F-B4CD-7D1B888944DD} - System32\Tasks\{44DDAF17-F788-4FF8-B8AB-9859DEB3096B} => D:\Instalki\instalki gier\FIFA 13\Game\fifa13.exe Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Preferencje Google Chrome wyglądaj na naruszone, toteż w przeglądarce: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
damiano94 Opublikowano 18 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2014 Zrobione, dziękuje za pomoc. FSS.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Proszę nie usuwaj załączników, to psucie tematu, a ich dane są istotne do kończenia tematu. Wszystko wykonane z jednym zastrzeżeniem: w skrypcie FRST dawałam na usuwanie wpisy szczątkowe Kasperskiego. Wg fixlog.txt wpisy owe zostały pomyślnie usunięte, ale nowy skan FRST nadal je pokazuje... Kolejna porcja czynności: 1. Poprawki na powyższe + usunięcie kwarantanny FRST zapewne zablokowanej obiektami ZeroAccess. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f CMD: del /q C:\Windows\SysWOW64\sqlite3.dll DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Usuń ręcznie używane narzędzia z D:\Pobierane\naprawa. Popraw narzędziem DelFix. 4. Zainstaluj najnowszy MBAM, bo posługiwałeś się starą wersją Malwarebytes Anti-Malware 1.75.0.1300. Po ściągnięciu baz dla pewności zrób pełny skan. Jeśli coś zostanie wykryte, przedstaw raport, w przeciwnym wypadku jest on zbędny. . Odnośnik do komentarza
damiano94 Opublikowano 24 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2014 Dziękuję bardzo za pomoc.W załączniku przesyłam log. Pozdrawiam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2014 Zgłoś Udostępnij Opublikowano 24 Maja 2014 OK, fixlog potwierdza usunięcie. Przejdź do dalszych czynności. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się