kasiulek91 Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Witam, Ostatnio mam pewien problem, gdyż co jakiś czas chcąc wejść na jakieś strony w firefoxie zostaje przekierowywana na zupełnie inne strony (zazwyczaj te same). Co jakiś czas Avira krzyczy, że znalazła jakieś malware i daje je do kwarantanny. Tak więc dzisiaj postanowiłam coś z tym zrobić. Po uruchomieniu hijack-this zauważyłam kilka podejrzanych rzeczy i je usunęłam. Po zrestartowaniu komputera zobaczyłam, ze nie tylko te dziwne rzeczy wróciły, ale także system zrobił mi jakieś dziwne kopie niektórych plików. Postanowiłam się więc zwrócić o pomoc do specjalistów. Oto logi z OTL. Z góry dziękuję za wszelką pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Po uruchomieniu hijack-this zauważyłam kilka podejrzanych rzeczy i je usunęłam. Po zrestartowaniu komputera zobaczyłam, ze nie tylko te dziwne rzeczy wróciły, ale także system zrobił mi jakieś dziwne kopie niektórych plików. HijackThis to nie jest dobra aplikacja dla Windows 7 w wersji 64-bit. Program nie ma w ogóle zgodności z 64-bitami, nieprawidłowo przedstawia komponenty natywne. Pozbądź się go. Ponadto, HijackThis ogólnie to słabeusz, nie adresuje połowy istotnych miejsc atakowanych aktualnie przez malware. Prócz infekcji, widzę także szkody. Dziennik zdarzeń wskazuje, że jest skasowana usługa Windows Podstawowy aparat filtrowania (BFE), jestem także przekonana, że nie ma usługi Zapora systemu Windows: Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7003Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7003Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Error - 2012-02-13 18:19:23 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7024Description = Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143. Ponadto, są liczne odpadki po ArcaBit, Dziennik zdarzeń uparcie męczy: [ System Events ]Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi ArcaBit.Core.Configurator z powodu następującego błędu: %%2 Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi ArcaBit Control z powodu następującego błędu: %%2 Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi ArcaBit Backup Service z powodu następującego błędu: %%2 Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi ArcaBit Tasks Service z powodu następującego błędu: %%2 Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi ArcaBit Update Service z powodu następującego błędu: %%2 Error - 2012-02-13 18:18:27 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7001Description = Usługa ArcaBit Main Service zależy od usługi ArcaBit.Core.Configurator, której nie można uruchomić z powodu następującego błędu: %%2 Error - 2012-02-13 18:18:41 | Computer Name = kasiulek-lapek | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: ABTDI Widać i martwe sterowniki ArcaBit: DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndisMP)DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndis) Wpisów tych nie wolno usunąć, dopóki nie zostaną zdjęte komponenty ArcaBit z połączenia, w przeciwnym wypadku padnie sieć. Wstępnie usuwanie infekcji, naprawami innych szkód i eliminacją szczątków ArcaBit zajmę się potem. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-292228670-542819534-2386341042-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-292228670-542819534-2386341042-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64182 FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 64182 FF - prefs.js..network.proxy.type: 1 O4 - HKU\S-1-5-21-292228670-542819534-2386341042-1001..\Run: [AE2.exe] C:\Users\kasiulek\AppData\Roaming\Microsoft\D3F6\AE2.exe () F3:64bit: - HKU\S-1-5-21-292228670-542819534-2386341042-1001 WinNT: Load - (C:\Users\kasiulek\AppData\Roaming\1B474\lvvm.exe) - C:\Users\kasiulek\AppData\Roaming\1B474\lvvm.exe () F3 - HKU\S-1-5-21-292228670-542819534-2386341042-1001 WinNT: Load - (C:\Users\kasiulek\AppData\Roaming\1B474\lvvm.exe) -C:\Users\kasiulek\AppData\Roaming\1B474\lvvm.exe () :Files C:\Users\kasiulek\AppData\Roaming\Microsoft\D3F6 C:\Users\kasiulek\AppData\Roaming\1B474 C:\Users\kasiulek\AppData\Roaming\62A1B C:\Users\kasiulek\AppData\Roaming\Readar_sl.exe C:\ProgramData\TunesHelper.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, automatycznie otworzy się log z wynikami usuwania (jeśli nie, znajdziesz go w katalogu C:\_OTL). 2. Wykonaj komendę sfc /scannow, następnie za pomocą kolejnej komendy automatycznie przefiltruj log do wystąpień znaczników [sR]: KLIK. 3. Logi do oceny: log z usuwania z punktu 1, log z SFC z punktu 2, nowy log z OTL zrobiony opcją Skanuj (Extras po raz drugi już nie potrzebuję) i log z Farbar Service Scanner (zaznacz wszystkie opcje). . Odnośnik do komentarza
kasiulek91 Opublikowano 14 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Dzięki, plik lvvm.exe i inne podobne nie tworzą się już automatycznie i nie ma ich w działających procesach. Załączam logi o które prosiłaś. Po uruchomieniu komendy sfc /scannow nie było żadnych błędów, ale wklejam to co się wygenerowało. A co do hijack'a to jak ostatnio (sto lat temu) miałam problemy z dziwnymi wirusami to wtedy się z tego korzystało i stąd przyzwyczajenie OTL.Txt FSS.txt sfc.txt 02142012_004939.Txt Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2012 Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Zadanie skryptowe pomyślnie wykonane, ale proxy Internet Explorer nadal stoi: IE - HKU\S-1-5-21-292228670-542819534-2386341042-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1IE - HKU\S-1-5-21-292228670-542819534-2386341042-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64182 Zgodnie z moimi podejrzeniami jest również skasowana usługa Zapory, ponadto Centrum zabepieczeń i Windows Defender. Przechodzimy do kolejnych zadań: 1. Usunięcie proxy z Internet Explorer: Opcje internetowe > Połączenia > Ustawienia LAN > wymaż wszystkie wypełnione pola proxy i przestaw na "Automatycznie ..." 2. Odtworzenie usług Windows: Rekonstrukcja usług firewalla: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow już tu wykonany. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Usunięcie odpadków ArcaBit (częściowe): Niezbędny krok to zdjęcie komponentów ArcaBit z połączeń. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej. W oknie połączeń z prawokliku na każde pobierasz Właściwości. W karcie Ogólne sprawdzasz jakich komponentów używa połączenie. Szukaj wpisów w rodzaju ABndis Driver, znalezione podświetl i odinstaluj. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj pozycję ABTDI oraz spełniające warunek ABndis*, podświetl i odinstaluj. 4. Restart systemu. Zgłoś się tu z podsumowaniem akcji oraz nowymi logami: Farbar Service Scanner + Autoruns w formacie TXT. Log z Autoruns przedstawia serwisy w nieco inny sposób niż OTL, chcę zweryfikować czy notuje te martwe usługi ArcaVir niewidoczne w OTL (a Dziennik zdarzeń mówi, że chcą się uruchamiać). . Odnośnik do komentarza
kasiulek91 Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Wydaję mi się, że mam odinstalowany IE. Bynajmniej kiedyś próbowałam to zrobić i teraz nie mogę nigdzie znaleźć przeglądarki. Resztę rzeczy za chwilę zrobię i wstawię logi. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 A coś mi się właśnie wydawało, że bardzo mało wpisów Internet Explorer. Zapewne usunęłaś go poprzez "Włącz lub wyłącz funkcje systemu Windows". To nie jest stricte "deinstalacja" w pełnym znaczeniu tego słowa, Windows chowa dostęp do IE we własnych flakach. OK. Wykonaj pozostałe kroki, a ja podam instrukcje jak usunąć proxy z rejestru. . Odnośnik do komentarza
kasiulek91 Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Co do Rekonstrukcja usług firewalla: w obu przypadkach jest ten sam efekt: "Nazwa SetACL nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne program wykonywalny lub plik wsadowy" Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj pozycję ABTDI oraz spełniające warunek ABndis*, podświetl i odinstaluj. Mam jedynie ArcaBit Network Driver - rozumiem, że odinstalować? Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 "Nazwa SetACL nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne program wykonywalny lub plik wsadowy" Przy założeniu, że plik SetACL.exe został skopiowany do katalogu C:\Windows, to sugeruje problem ze Zmiennymi środowiskowymi. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\ Jeśli jest, ale ma inny ciąg, zedytuj. Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. Mam jedynie ArcaBit Network Driver - rozumiem, że odinstalować? Tak. . Odnośnik do komentarza
kasiulek91 Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Oto i logi. A błąd był dlatego, że byłam w katalogu c:/Windows/system32 i musiałam przejść katalog wyżej, żeby poszło FSS.txt AutoRuns.txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 A błąd był dlatego, że byłam w katalogu c:/Windows/system32 i musiałam przejść katalog wyżej, żeby poszło Ale to nie zmienia tego co mówiłam, a obejść celowo nie podałam (nie naprawią problemu podstawowego). Oczywiście, że przy uszkodzonych Zmiennych środowiskowych Twoja operacja z przejściem w katalog wyżej zadziała, bo tam siedzi SetACL. Jeżeli jednak Zmienne środowiskowe są poprawne, to nie ma znaczenia gdzie jest ustawiona linia komend, nie jest wymagane ani podanie pełnej ścieżki dostępu do pliku, ani ustawianie linii komend na ścieżkę gdzie siedzi narzędzie. W Twoim systemie jest coś nie w porządku, a uszkodzone Zmienne sugerują także inne rzeczy (np. niektóre wyciągi z OTL / Autoruns z "not found" w miejscu gdzie to się nie powinno pokazać). Proszę wykonaj podane wyżej instrukcje tyczące Path. Oto i logi. Do usunięcia są następujące szczątki ArcaBit z poziomu Autoruns: Karta Drivers "HKLM\System\CurrentControlSet\Services" "" "" ""+ "ABFLT" "" "" "File not found: C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys"+ "ABndis" "" "" "File not found: system32\DRIVERS\abndis.sys"+ "ABndisMP" "" "" "File not found: system32\DRIVERS\abndis.sys"+ "ABTDI" "" "" "File not found: C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys" Karta Services "HKLM\System\CurrentControlSet\Services" "" "" ""+ "ABMainSV" "Kontroluje dostęp do plików i dane przesyłane przez sieć" "" "File not found: C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe"+ "ArcaBit.Core.Configurator" "" "" "File not found: C:\Program Files\ArcaBit\Common\arcabit.core.configurator2.exe"+ "ArcaBit.Core.LoggingService" "" "" "File not found: C:\Program Files\ArcaBit\Common\arcabit.core.loggingservice.exe"+ "ArcaRemoteService" "ArcaBit Control Service" "" "File not found: C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe"+ "AVBackup" "ArcaBit packages backup module" "" "File not found: C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe"+ "AVTasks2" "ArcaBit packages tasks module" "" "File not found: C:\Program Files\ArcaBit\Common\ArcaTasksService.exe"+ "AVUpdate" "ArcaBit packages update module" "" "File not found: C:\Program Files\ArcaBit\ArcaUpdate\update.exe" Karta Explorer "HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers" "" "" ""+ "ArcaVirShell" "" "" "File not found: \arcavir\avshell.dll" "HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers" "" "" ""+ "ArcaVirShell" "" "" "File not found: \arcavir\avshell.dll" Dodatkowo, Autoruns nie widzi rozszerzenia w Internet Explorer, które widzi OTL: O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not foundO9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found To załatwię razem z pozostałym proxy. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=- "ProxyServer"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal . Odnośnik do komentarza
kasiulek91 Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Ok wszystko zrobione tak jak pisałaś. Dać jakieś logi? Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Jeżeli Path poprawione i reszta zadań zrobiona, możemy przejść do czynności końcowych: 1. W OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z jego kwarantanną. Funkcja wymaga restartu. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes' Anti-Malware i przedstaw wynikowy log, o ile coś zostanie wykryte. . Odnośnik do komentarza
kasiulek91 Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 oto wyniki z Malawarebytes - to co wyszło usunęłam mbam-log-2012-02-16 (20-51-31).txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Wyniki infekcyjne z tej samej kolekcji. Usunęłaś, czy MBAM ponownie uruchomiony nic nie wykrywa? Jeżeli nie, wyczyść ponownie foldery Przywracania systemu. I zabierz się za aktualizację Windows i aplikacji, wg logów z OTL system nie posiada SP ani najnowszej wersji IE: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) Szczegóły aktualizacyjne: KLIK. . Odnośnik do komentarza
kasiulek91 Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 MBAM już nic nie wykrywa, foldery Przywracania ponownie wyczyściłam, a aktualizacją zajmę się wieczorem Odnośnik do komentarza
Rekomendowane odpowiedzi