Trojan do usunięcia - Vicenor


(Marek Buga) #1

Dzień dobry,

Bardzo proszę osoby które się na tym znają o zerknięcie na mój log combofix. Sam program nie rozwiązał problemu, który szybko powrócił.

 

Nie mogę z zainfekowanego PC dostać się do internetu, więc proszę o info jakie jeszcze logi(jeśli potrzeba) zrobić i wstawić aby można było wyplenić wirusa.

 

CF log: http://wklej.to/pymXN


(Atis) #2

Naciśnij klawisz z logo Windows + R i do okienka Uruchamianie wklej to:

“C:\Users\lukasz\Desktop\ComboFix.exe” /uninstall

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Marek Buga) #3

Dzięki za zainteresowanie.

 

Oto logi:

FRST: http://wklej.to/VeyW0

addition http://wklej.to/99Zmb


(Atis) #4

W panelu sterowania odinstaluj Ask Toolbar, Buzzdock, BuzzSearch, Mobogenie.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Marek Buga) #5

FRST http://wklej.to/aXH9O

 

Dla, hecy to co zrobił mi ADWCLEANER: http://wklej.to/leZpK

 

Jest czysty? :slight_smile:


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM - DefaultScope value is missing.
CHR Extension: (No Name) - C:\Users\lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj [2013-11-30]
CHR HKLM\...\Chrome\Extension: [jhjjdgbhohaallcimgcmakfiobacimkm] - C:\Program Files\BuzzSearch\jhjjdgbhohaallcimgcmakfiobacimkm.crx [2013-11-05]
R1 {ba099a85-e825-4802-83e7-d386a5b4a734}w; C:\Windows\System32\drivers\{ba099a85-e825-4802-83e7-d386a5b4a734}w.sys [52544 2014-07-03] (StdLib)
S3 catchme; \??\C:\Users\lukasz\AppData\Local\Temp\catchme.sys [X]
C:\Windows\System32\drivers\{ba099a85-e825-4802-83e7-d386a5b4a734}w.sys
C:\Users\wangjihua
C:\Users\lukasz\Downloads\SubEditPlayer(12488).exe
C:\AdwCleaner
C:\Users\lukasz\AppData\Roaming\N4pWqzYZCL1z7UbgJi
C:\Users\lukasz\AppData\Roaming\7AB20A0C4D5F7699CBD9F2A3E353BE1F
C:\Users\lukasz\AppData\Local\cache
C:\Users\lukasz\AppData\Local\temp\*.exe
Task: {3F929032-A4AD-4159-A996-7507607EC37B} - System32\Tasks\BonanzaDealsUpdate => C:\Program <==== ATTENTION
Task: {431D31DC-FFBF-4C0E-B684-68BE81ACA657} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-30] (BonanzaDeals) <==== ATTENTION
Task: {8E298E22-3195-455A-BD12-21EE9D07BA16} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-30] (BonanzaDeals) <==== ATTENTION
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Marek Buga) #7

fixlog: http://wklej.to/8irTo

FRST: http://wklej.to/3aPpl


(Atis) #8

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj Adobe Flash Player 12 ActiveX i Java 7 Update 45.

Zainstaluj Java 7 Update 60, Adobe Reader XI 11.0.7, Service Pack 1 (537.8 MB), Internet Explorer 11


(Marek Buga) #9

Po wykonaniu wszystkich cennych zalecenień powinno być już ok?

 

Niestety problem nadal egzystuje. Przeglądrka gubi się gdy dochodzi do połączenia szyfrowanego SSL. Praktycznie przy każdym logowaniu gdziekolwiek jest problem.

 

SP1 nie udało się zainstalować z powodu błędu systemu.

 

Wrzucam logi FRST:

 

addition: http://wklej.to/gOCTI

 

frst http://wklej.to/0fWZf


(Atis) #10

Przecież ponownie zainstalowałeś szkodliwe rozszerzenie BonanzaDeals.

Resetowanie ustawień przeglądarki

Ciekawe w jakim celu pobierasz wirusy:


(Marek Buga) #11

Od momentu jak zajmuję się naprawą nic nie instalowałem oprócz zaleconych programów.

 

Może błędem jest robienie wszystkiego z włączonym internetem?


(Atis) #12

Przecież napisałem, że masz zresetować przeglądarkę


(Marek Buga) #13

Tak też zrobiłem, ale nie pomogło.

Widzę, że Pańska cierpliwość jest na wyczerpaniu, a nie chciałbym przekraczać pewnej granicy. 


(Atis) #14

W ostatnim logu nie widać żadnej infekcji oprócz tego rozszerzenia.

Teraz zauważyłem, że masz ustawioną nieprawidłową datę systemową:

Ustaw prawidłową datę i czas:

http://windows.microsoft.com/pl-pl/windows/set-clock#1TC=windows-7


(Marek Buga) #15

Dziękuję serdecznie za pomoc. Wydaje się że nie ma już problemów.

Jak oprócz podziękowania mógłbym się Panu odwdzięczyć?

 

Pozdrawiam!