tomyclik
(tomyclik)
27 Lipiec 2012 18:44
#1
Napiszę krótko bo to cholerstwo przeszkadza jak tylko może,blokuje mnie co kilka minut i jestem troche przestraszony…Avast pokazuje do tego win32:sirefef-ao oraz win64:sirefef-a …
Próbowałem usunać tradycyjnie Dodaj - Usuń nie dało rady,przywracanie systemu nie działa…do Centrum zabezpieczeń nie mogę się dostać. MalwareBytes jak i wszystkie inne programy nie działają. Ściągnąłem OTL ale nie mogę uruchomić i nie za bardzo wiem jak działa…Pomóżcie!
Atis
(Atis)
27 Lipiec 2012 18:47
#2
Uruchom system w trybie awaryjnym z obsługą sieci.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
tomyclik
(tomyclik)
27 Lipiec 2012 18:52
#3
Dzięki za sybką odp. Już to robię…do zobaczenia - mam nadzieję.
– Dodane 27.07.2012 (Pt) 22:01 –
Niestety problem z kursorem - zawiesza się … i wszystko jest ogromniaste.Czarno to widzę
Macie jakieś pomysły?
wiewi0r
(Dj Wiewior)
27 Lipiec 2012 20:38
#4
Jest coś takiego jak Remover Fake AntyVirus spróbuj tym może pomoże
tomyclik
(tomyclik)
27 Lipiec 2012 21:19
#5
Atis
(Atis)
27 Lipiec 2012 21:31
#6
Edytuj post i logi umieść na wklej.org .
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Pobierz i uruchom SystemLook
Do okna programu wklej:
Kliknij Look i pokaż raport.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
tomyclik
(tomyclik)
27 Lipiec 2012 21:31
#7
OTL : All processes killed
http://wklej.org/id/799136/
SystemLook
http://wklej.org/id/799138/
Farbar Service Scanner Version: 26-07-2012
http://wklej.org/id/799139/
Atis
(Atis)
27 Lipiec 2012 23:03
#8
Wszystkie programy -> akcesoria -> Wiersz polecenia.
Wklej i zatwierdź enterem:
reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_custo … TbId=66019 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019 IE - HKLM…\SearchScopes{80077F3A-FB62-4204-A04C-779238F623FF}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=48 … 41c8232&q={searchTerms} O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…browser.search.selectedEngine: “Web Search” FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=2&src=sp&cf=48fe99d6-6c8f-11e1-8e54-0008741c8232&q= ” :Files C:\WINDOWS\Installer{4986a3a5-e5ed-dd67-d838-35ba25b969aa} C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji{4986a3a5-e5ed-dd67-d838-35ba25b969aa} :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pokaż nowy raport z SystemLook:
tomyclik
(tomyclik)
28 Lipiec 2012 01:26
#9
Trochę to trwało ale zrobione.
Raport z usuwania OTL
http://wklej.org/id/799150/
Nowy raport - OTL
http://wklej.org/id/799154/
Nowy raport SystemLook
http://wklej.org/id/799155/
Atis
(Atis)
28 Lipiec 2012 08:10
#10
Wklej i kliknij Wykonaj skrypt:
:OTL [2009-09-21 12:24:16 | 000,001,329 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml @Alternate Data Stream - 1163 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:YXb2NHsil19WN770J2bKB
Napraw usługi uszkodzone przez trojana.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
tomyclik
(tomyclik)
28 Lipiec 2012 11:45
#11
SecurityCheck txt.
Zrobiłem tak jak napisałeś krok po kroku i wydaje się być OK!
Nie przypuszczałem że dam radę sam to zrobić nawet z Twoją pomocą - należę do tych zielonych:)
ale to już pewne że ten Trojan Zaccess poszedł w stronę światła?
Kaspersky TDSSKiller ,Change parameters - zaznaczyłem wszystko,Scan - pokazuje mi takie info:
Suspicious object, medium risk
Service type: Kernel driver (0 1)
Service start: System (0 1)
File: C:\WINDOWS\system32\DRIVERS\tcpip.sys
MD5: 6a603809f…e313e
Jest w kwarantannie - nie usuwałem…Jest czym się przejmować?
Atis
(Atis)
28 Lipiec 2012 12:03
#12
Jeżeli rzeczywiście skasowałeś systemowy sterownik tcpip.sys to będziesz miał problem.
Po usunięciu tego sterownika nie będziesz miał połączenia sieciowego.
Zmieniłeś domyślne ustawienia przed skanowaniem, a takie wyniki wcale nie oznaczają, że sterownik jest zainfekowany.
U mnie też wykrywa ten i kilka innych sterowników jako podejrzane.
W panelu sterowania odinstaluj:
Java 6 Update 32
Adobe Flash Player 10
Adobe Reader 9
Później zainstaluj:
Service Pack 3
Adobe Reader
Flash Player
Java
Firefox
tomyclik
(tomyclik)
28 Lipiec 2012 12:31
#13
w pomocniku wyszukiwania pokazuje że są te sterowniki ;
tcpip C:\WINDOWS… 351 KB Plik systemowy
tcpip.cys.flg C:\WINDOWS… 351 KB Plik Plik FLG
scanując Kaspersky TDSSKiller normalnie jest OK!
To odinstalować te wszystkie programy? Java,Adobe
a co do Service Pack 3 to kiedyś miałem ale wróciłem do Service Pack 2 jak pamiętam…
adam9870
(adam9870)
28 Lipiec 2012 13:11
#14
Gdybyś usunął systemowe sterowniki tcpip to prawdopodobnie niemiałbyś teraz połączenia z siecią.
Tak jak pisze Atis, odinstalowujesz stare wersje, żeby zainstalować nowe wersje tych programów.
Ok.
Pozdrawiam.
tomyclik
(tomyclik)
28 Lipiec 2012 14:00
#15
Wszystko Działa ! Dzięki Wszystkim za Pomoc =D> w pozbyciu się tego syfu live security platinum firewall ! ale jak to się pobrało na mój PC tego nie wiem #-o
Atis
(Atis)
28 Lipiec 2012 14:20
#16
O co podejrzewasz SecurityCheck?
Jeżeli będziesz miał problem z połączeniem to sam jesteś sobie winny.
Jedyne co mogło wpłynąć na taki problem to TDSSKiller.
Nie używaj programów jeśli nie zasady działania.
Skoro wszystko wykonałeś to nic więcej nie musisz robić.
tomyclik
(tomyclik)
30 Lipiec 2012 16:38
#17
Nie wiem czy mam to zapisać jako wklej.org
Wywaliłem Avasta - Zainstalowałem Comodo Internet Security i Comodo Antywirus pokazał mi to: :o
Malware@#1x5gs74439ul5 C:\Program Files\Vstplugins\MIDISeq!2.0\CK_X_MIX.SEP
Suspicious@#c800emaowgr6 C:\Documents and Settings\Administrator\Moje dokumenty\POBIERANIE\IE7-WindowsXP-x86-plk.exe|Unsfx|update\iereseticons.exe
Malware@#3ju6qtkg8wuux C:\Documents and Settings\Administrator\Moje dokumenty\Gamere War Rock\War_Rock_10182011_G1_Xfire.exe|WarRock.exe
i tak trzymam te wyniki skanowania i nie wiem czy mam to usunąć?
Atis
(Atis)
30 Lipiec 2012 17:49
#18
Instalator IE7 uznał za podejrzany.
Wszystko wygląda na błędy skanera.
Poza tym zawsze możesz plik przeskanować tutaj:
https://www.virustotal.com/
tomyclik
(tomyclik)
30 Lipiec 2012 19:16
#19
wyniki z virustotal.com/ (świetna stronka)
IE7 -Heur.Suspicious - wykrył tylko Comodo - 4 miesiące temu. Detection ratio: 1 / 43
War_Rock_10182011_G1_Xfire za duży plik - 32MB size limit. zapomniałem że mam jeszcze War_Rock
MIDISeq!2.0 Detection ratio: 0 / 42 ok.
To w wynikach skanowania Comodo usuń?
Atis
(Atis)
30 Lipiec 2012 19:28
#20
Tak jak napisałem błąd Comodo.
Jeżeli nie potrzebujesz tych plików to możesz skasować, ale nie są szkodliwe.