Silol Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Witam Od kilku dni antywirys NOD32 informuje mnie, że na komputerze jest trojan Sirefef.CH. Niestety nie wiem co z tym zrobić. Jak wcześniej czytałem restartowanie komputera i tak nic nie da więc zwracam się z prośbą o pomoc. Z góry dziękuję. PS Czy zamieścić raport z SecurityCheck? Pozdrawiam GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Istotnie, mamy tu rootkita ZeroAccess/Sirefef. Wstępnie uruchom Kaspersky TDSSKiller, wszystkim wynikom przyznaj Skip i tylko raport do oceny zaprezentuj. PS Czy zamieścić raport z SecurityCheck? Nie jest to potrzebne. Widzę dane również w OTL Extras. . Odnośnik do komentarza
Silol Opublikowano 18 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Nie jestem pewien czy o to chodzi, gdyż zgodnie z instrukcją powinienem móc zrestartować komputer, a potem powinien wyświetlić się raport, a tymczasem takiej opcji nie ma, ale załączam to co znalazło się w opcji Report. Kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2011 Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Nie jestem pewien czy o to chodzi, gdyż zgodnie z instrukcją powinienem móc zrestartować komputer, a potem powinien wyświetlić się raport Nie w przypadku, gdy Kaspersky nic nie robi, a temu jest równoważna akcja Skip. Tylko leczenie wymaga restartu. 1. Uruchom Kasperskiego ponownie i dla wyniku Rootkit.Win32.ZAccess.g wybierz akcję Cure. Zresetuj system. Po restarcie uruchom Kasperskiego ponownie i sprawdź czy coś wykrywa. Jeśli nic: 2. Uruchom zgodnie z wytycznymi ComboFix i przedstaw raport wynikowy. . Odnośnik do komentarza
Silol Opublikowano 18 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Zrobiłem tak Kaspersky wyleczył, ale Combofix też coś wykrył. W tym logu jest napisane ze NOD był włączony. Ja go wyłączyłem, ale nie wiedziałem, że NOD włącza się po każdym restarcie systemu i dlatego tam jest napisane, że jest włączony. Czy przez to muszę robić log'a jeszcze raz? log Combofix.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2011 Zgłoś Udostępnij Opublikowano 19 Listopada 2011 Wedle raportu: ComboFix dokończył składniki rootkita, aktualnie widzę od infekcji już tylko jeden pusty folder. Ponadto, masz zainstalowanego śmiecia ConduitEngine w przeglądarkach IE + Firefox. Kolejne kroki do wykonania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files c:\documents and settings\WIN\Ustawienia lokalne\Dane aplikacji\9f01bf4f :Services xsrztoeg :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Przedstaw nowe logi z: OTL z opcji Skanuj oraz AD-Remover z opcji Scan. Dołącz także log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
Silol Opublikowano 19 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2011 Wykonane Ad-Report-SCAN1.txt OTL skan po usuwaniu.Txt 11192011_123955 OTL usuwanie.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2011 Zgłoś Udostępnij Opublikowano 19 Listopada 2011 1. Zamknij przeglądarkę Firefox. Uruchom AD-Remover w trybie Clean, co wyczyści te wtręty sponsoringowe wykryte przez narzędzie. 2. Drobna poprawka na wpisy, których powyższy proces nie ruszy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "XfireXO Customized Web Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 @Alternate Data Stream - 346850 bytes -> C:\WINDOWS\Temp:temp :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\038d56af-afba-40bb-8d92-712b1048af48] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\293c9e7a-b70c-4a30-89d3-9f792c673278] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\dd019259-d31c-4196-84d2-bdc6475a1868] Klik w Wykonaj skrypt. Tym razem pójdzie szybko i bez restartu. 3. Posprzątaj po używanych narzędziach, stosując tę a nie inną kolejność: Odinstaluj AD-Remover. Odinstaluj ComboFix w Start > Uruchom > wklejając komendę "D:\michał\Wszystko\Walka z wirusem\ComboFix.exe" /uninstall W OTL uruchom Sprzątanie. 4. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Przeklej ewentualne wyniki "Detected threats", wyniki innego rodzaju mnie nie interesują. . Odnośnik do komentarza
Silol Opublikowano 20 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2011 Wykrył jednego wirusa, którego usunąłem. Mam pytanie czy ten trojan mógł przenieść się na pen-drive? Gdyż musiałem go użyć kiedy trojan już był na komputerze. Jeśli tak to jak go usunąć nie zarażając z powrotem komputera? Kaspersky scan.txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Mam pytanie czy ten trojan mógł przenieść się na pen-drive? Gdyż musiałem go użyć kiedy trojan już był na komputerze. Jeśli tak to jak go usunąć nie zarażając z powrotem komputera? Nie, to nie jest ten typ. Jeśli chcesz sprawdzić nośnik, zabezpiecz system za pomocą opcji Computer Vaccination w Panda USB Vaccine, a następnie wygeneruj log z USBFix z opcji Listing. Kończymy sprawę: 1. Kasperskiego możesz odinstalować, o ile już tego nie zrobiłeś. 2. Wyczyść foldery Przywracania systemu (to właśnie w nich Kaspersky wykrył zagrożenia): INSTRUKCJE. 3. Dla bezpieczeństwa zmień hasła logowania w serwisach. 4. Zainstalowane oprogramowanie do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{4D359945-633F-4FFC-9E17-A75D2C92D979}" = ESET Smart Security"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 20"{9E35B051-C7EE-47CB-BA43-9A7FFD4E61DE}" = OpenOffice.org 3.1"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Ashampoo FireWall_is1" = Ashampoo FireWall FREE 1.20"ENTERPRISE" = Microsoft Office Enterprise 2007 - Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE. Zakładam, że wszystkie aktualizacje do Windows i Office są zainstalowane. - Dodatkowo, widzę tu na liście zainstalowanych sfatygowaną zaporę Ashampoo, pomijając że słabo widać ślady w logu by to było faktycznie zainstalowane, jeśli to istnieje = wyrzuć. A sam ESET Smart Security nie jest najnowszy i wypada rozważyć aktualizację, w miarę możliwości. . Odnośnik do komentarza
Silol Opublikowano 21 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Chciałem bardzo podziękować za fachową i szybką pomoc. Nie wiem jak to się stało, ale Kaspersky albo sam się odnistalował, albo jest dla mnie nie widoczny. A z tym Ashampoo to miałem same problemy. Prawdopodobnie blokował mi internet zawieszał komputer. Piszę prawdopodobnie bo po prostu nie jestem pewien tego czy to była jego wina, a po odinstalowaniu ustało aczkolwiek jak widać coś z niego zostało. Instalowałem go 2 razy i było cały czas to samo. Czy jest może jakiś inny dobry darmowy Firewall? Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Nie wiem jak to się stało, ale Kaspersky albo sam się odnistalował, albo jest dla mnie nie widoczny. Toteż zaznaczyłam: "o ile już tego nie zrobiłeś". Kaspersky sam się odinstalował, najwyraźniej zamknąłeś jego okno, a to jest równoznaczne z deinstalacją. Tak działa ta wersja Kasperskiego: KLIK A z tym Ashampoo to miałem same problemy. Prawdopodobnie blokował mi internet zawieszał komputer. Piszę prawdopodobnie bo po prostu nie jestem pewien tego czy to była jego wina, a po odinstalowaniu ustało aczkolwiek jak widać coś z niego zostało. Instalowałem go 2 razy i było cały czas to samo. Zapewne był winny. I z powyższego wynika, że go odinstalowałeś, tylko pozostał szczątek na liście. Wykończ go: Start > Uruchom > regedit i skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ashampoo FireWall_is1 Instalowałem go 2 razy i było cały czas to samo. Czy jest może jakiś inny dobry darmowy Firewall? Daruj sobie tę zaporę, to staroć (brak aktualizacji) i nie taka znowóż wysublimowana, zaledwie podstawowa funkcjonalność. Nowoczesne darmowe a dobre jakością zapory (mają elementy HIPS): PrivateFirewall, Online Armor Free, COMODO Firewall. Z drugiej strony ... Posiadasz "ESET Smart Security", to pełny pakiet z zaporą. Czy mam rozumieć, że firewall jest zdeaktywowany? W przeciwnym wypadku nie instaluj żadnego innego firewalla, bo nagrabisz sobie duplikatem funkcji. . Odnośnik do komentarza
Silol Opublikowano 21 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Z drugiej strony ... Posiadasz "ESET Smart Security", to pełny pakiet z zaporą. Czy mam rozumieć, że firewall jest zdeaktywowany? W przeciwnym wypadku nie instaluj żadnego innego firewalla, bo nagrabisz sobie duplikatem funkcji. Szczerze to nie wiedziałem, że on to ma, a teraz już wiem co znaczy aktywowana zapora osobista. Jeszcze raz dziękuję za wszystko. Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 W tej sytuacji jest cały pakiet i nie instaluj nic dodatkowego. Jest całkiem możliwe, że uprzednio to konflikt ESET z Ashampoo doprowadził do opisywanych objawów, ale to nie zmienia faktu, że Ashampoo do lamusa i nie jest to polecana przeze mnie zapora. Temat rozwiązany. Nie widzę dalszych pytań. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi