Windows 7, trojan efax.com jag


(Kaka') #1

Witam.

Mój brat miał następujący problem ze swoim laptopem (Windows 7). Wczoraj podczas przeglądania Internetu nagle wyskoczyło mu wiele okienek w przeglądarce, które próbował zamknąć (raptownie poklikał bóg wie gdzie). Po całej tej akcji i restarcie system uruchamiał się, jednakże po zalogowaniu na konto użytkownika automatycznie włączała się pusta karta Internet Explorera na pełny ekran o tytule (195.189.227.218). Nie można było okna zminimalizować, jedynie zamknąć przez Alt + F4. Jednakże po zamknięciu dostępna była jedynie tapeta na pulpicie (brak ikonek, żadnej reakcji na klawisze, itd.).

Uruchomiłem Win7 w trybie awaryjnym. W msconfig znalazłem aplikację efax.com odnosząca się do pliku jag406958.exe, który siedział w autostarcie. Wywaliłem go z katalogu i z autostartu (C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup). Z tego co znalazłem na Google, jest to trojan.

Po usunięciu tego pliku, uruchomiłem Windowsa w trybie normalnym. Przeglądarka Internet Explorer nie uruchamia się już na starcie, pulpit wraz z ikonami i paskiem zadań powrócił, itd., ale system działa nadal bardzo wolno, ponadto automatycznie po uruchomieniu wyłącza kompozycję (Aero) z powodu "nieoczekiwanego błędu". Poza tym po około kilku minutach od włączenia systemu (nieważne czy w trybie awaryjnym, czy w normalnym), Windows pluje blusescreenem (różne błędy, najczęściej 0x19 i jakiś problem z (bodajże) win32k.sys).

Bardzo proszę o informacje jakie logi mam przedstawić tutaj na forum, aby móc do końca usunąć całą tę infekcję. Nie ukrywam, że zależy mi na czasie (tzn. mojemu bratu). Piszę w jego imieniu bo on samemu sobie z tym nie poradzi.

Z góry bardzo dziękuję za pomoc.

Pozdrawiam.


(Spandau) #2

Proszę o raporty OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html


(Kaka') #3

Niestety nie jestem w stanie wykonać skanowania za pomocą OTL, gdyż jak uruchamiam program, pojawia się tylko i wyłącznie pole tekstowe (do wprowadzenia własnych opcji skanowania). Poza tym, nic innego nie ma. Żadnych przycisków, nic, a nic. Próbowałem również z wersją *.com i *.scr. Ta sama sytuacja występuje również w trybie awaryjnym.

Maksymalizacja okna, rozszerzanie, etc. nie pomaga. Czyżbym coś przeoczył? Jest jakiś skrót do rozpoczęcia skanowania?

Dodam jeszcze, że plik został ściągnięty poprawnie. Na moim wirtualnym Win7 okienko jest całe (tak jak na screen'ach).

Może wykonać log innym program? Jakim?


(Spandau) #4

Nic nie przeoczyłeś. Proszę pobrać Malwarebytes http://www.dobreprogramy.pl/Malwarebyte ... 13117.html zainstaluj, zaktualizuj. Wykonaj pełne skanowanie, jak program coś wykryje nic nie usuwaj tylko zaprezentuj raport na forum.


(Kaka') #5

Z aktualizacją programu będzie problem, gdyż zauważyłem, że system (na awaryjnym lub normalnym) rzuca BSOD'ami gdy połączę się z Internetem (po kablu, Wifi, modem usb, whatever).


(Spandau) #6

Jesteś pewny że jest to wina wyłącznie infekcji? Co do aktualizacji nie jest to wymóg konieczny, tylko się zastanawiam, czy będziesz w stanie wykonać pełne skanowanie (ono trochę potrwa) a w międzyczasie może, jak piszesz, wyrzucić BSOD'em. Jeśli ze skanuj wyjdą nici, możesz spróbować podać raport OTLPE lub FRST instrukcja http://www.fixitpc.pl/topic/4414-diagno ... h-windows/


(Kaka') #7

Jeszcze dzisiaj rano (jak mówił mi brat), żadnych BSOD'ów nie było. Całe cyrki się zaczęły po tych - jak to nazwał - okienkach przeglądarek. Wcześniej również nie było żadnego problemu z Internetem. Po infekcji brat nie łączył się z Internetem, gdyż w swoim domu korzysta tylko z Internetu po usb od Play'a. Nie łączył się, gdyż nie miał jak - cały czas otwierało mu się okno Internet Explorera i na tym stawało (nic innego nie mógł zrobić). W momencie jak pousuwałem te dziwne pliki, okienko już nie wyskakiwało, dlatego teraz można już normalnie uruchomić niektóre programy, tudzież połączyć się z siecią.

Dlatego te BSOD'y obwiniam również infekcją. Póki co wykonuję skanowanie przez Malwarebytes, bez połączenia z Internetem. Na razie żadnego blue screena. Jak wykona skanowanie, podam szczegóły tutaj. Jeżeli coś się posypie, zrobię skan OTLPE lub FRST (tak jak podałeś).

// EDIT

Ok, więc tak. Malwarebytes wywalał się kilka razy podczas skanowania ("Run-time error '6': overflow). Tak więc tego logu przedstawić nie mogę. Przedstawiam za to log z OTLPE zgodnie z instrukcją na podanej stronie: http://wklej.org/id/706285/

Czekam na dalsze wskazówki.

Z góry dzięki.


(Spandau) #8

Wygląda mi na próbę zainstalowania MCAfee pomimo, że jest już jeden antywirus Avast co może być powodem problemów

Jeśli tak, uruchom normalnie komputer odinstaluj antywirusa MCAfee przez Panel sterownia następnie dodatkowo do odinstalowania pozostałości użyj McAfee Consumer Products Removal tool zgodnie z instrukcją http://service.mcafee.com/FAQDocument.aspx?id=TS100507

Odinstaluj następujące Toolbary

Następnie spróbuj uruchomić OTL jak się uda W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Kaka') #9

Co do MCAfee. Brat faktycznie miał go zainstalowane w momencie kupienia laptopa. Powiedział mi, że po kilkudziesięciu dniach usunął go i zainstalował Avasta. W Dodaj/Usuń programy nie było McAfee SecurityCenter, tylko McAfee Site Advisor (czy coś w tym stylu). Wywaliłem go. Toolbary usunąłem.

Niestety nadal nie jestem w stanie podać logu z OTL - powód ten sam co poprzednio: puste okienko. Poza tym narzędzie od mcafee (MCPR.exe) również nie działa, wyświetla puste okienka.

Windows Aero działa teraz poprawnie, jednakże dalej system się sypie przy jakiejkolwiek próbie podłączenia do Internetu.

W takim wypadku jak mam dalej postąpić? Skorzystać znowu z OTLPE z podanymi wyżej skryptami?


(Spandau) #10

Tak będziemy usuwać przy pomocy OTLPE

Wklej do notatnika:

Plik zapisz pod nazwą FIX.txt Nagraj go na przykład na pendrive

Podłącz ten pendrive do komputera. Wystartuj ponownie ten komputer z płyty OTLPE

Uruchom program OTLPE zgodnie z instrukcją. Klikasz w Run Fix/Wykonaj skrypt. Zostaniesz poinformowany o braku skryptu i wtedy podasz ścieżkę do pliku o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, zachowasz go i zaprezentujesz później na forum.

Następnie spróbuj teraz uruchomić normalnie system, i spróbuj uruchomić OTL jak się uda klikasz Skanuj pokaż nowy raport OTL.txt na forum


(Kaka') #11

Log z usuwania za pomocą OTLPE: http://wklej.org/id/706362/

Windows nie wywala się już w momencie połączenia się z Internetem, jednakże:

1) podczas uruchamiania Firefoksa z dostępem do Internetu następuje blue screen (nonpaged area),

2) opera nie wczytuje praktycznie każdej strony,

3) Internet Explorer wczytuje nieliczne strony, większość raczej nie (wywala błąd: "Program przestał działać poprawnie z powodu wystąpienia problemu." i na tym koniec),

4) nie działa taskmgr ("Został wyłączony przez administratora"),

5) do tego dochodzą wcześniej wspomniane problemy z okienkiem np.: OTL (teraz zauważyłem, że niektóre okna innych programów również "dziwnie wyglądają", np.: Firefoksa, jakby zniekształcone, niepełne).

// EDIT

Z 4 udało mi się samemu poradzić. Nie mogę jednak rozwiązać problemu z przeglądarkami. Nawet ponowna instalacja nie pomaga. Usuwałem również pamięć podręczną.

Czy ta infekcja została usunięta czy nadal siedzi w systemie?

// EDIT

Może jeszcze raz przypomnę, że na początku infekcji usunąłem wpis w rejestrze, który w poleceniu miał podane:

Ten plik również wtedy usunąłem.

// EDIT

Zrobiłem dodatkowe skanowanie za pomocą OTLPE:

1) z domyślnymi ustawieniami: http://wklej.org/id/706489/

2) z ustawieniami dostępnymi tutaj na forum (w temacie przyklejonym):

// EDIT

Kurcze, nie mam pojęcia co jest z tym systemem. Przeglądarki dalej nie działają, nawet po reinstalacji, bez wyrzucania konkretnych błędów. W OTL puste okno, również przy próbie instalacji wielu innych programów.

Wykonałem pełne skanowanie Avastem - nie wykrył nic.

Szybkie skanowanie Malwarebytes również nic nie wykryło.

Udało mi się zaktualizować bazę danych Malwarebytes i wykonać nim pełne skanowanie - również 0 zagrożeń.


(Spandau) #12

Tak jak myślałem. Zanim przejdziemy do dalszych kroków sprawdźmy jeszcze sektor MBR itp na obecność rootkitów. Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jeśli program coś wykryje proszę wybrać opcje Skip


(Kaka') #13

3 wykrycia. http://www.fotosik.pl/pokaz_obrazek/09e ... 46bc0.html Wybrałem Skip, wedle zaleceń.


(Spandau) #14

To jest w porządku.

Czy na pewno odinstalowałeś McAfee SiteAdvisor bo widać go w raporcie OTLPE?

Do OTLPE wklej taki skrypt (jak to robić podałem w poście powyżej)

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Run/Fix Wykonaj skrypt. raport pokażesz na forum

Proszę na próbę odinstalować Avasta i zobacz czy coś uległo zmianie.

Proszę pokaż raport BlueScreenWiev instrukcja szukanie-przyczyny-bsod-pomoca-bluescreenview-t376739.html


(Kaka') #15

Tak, McAfee SiteAdvisor został usunięty (nie ma go w Dodaj/Usuń Programy).

Log z usuwania przez OTLPE: http://wklej.org/id/706736/

Za chwilę wrzucę info o BSOD'ach i sprawdzę tego Avasta.

Czy powyższy log jest OK?


(Spandau) #16

Jeśli pytasz czy widać w nim jakąś poważną aktywną infekcje to odpowiedź brzmi Nie co potwierdzają skanery Avast oraz Malwarebytes, które nic nie wykryły. Sprawdź czy działa teraz rejestr? Co do McAfee to jednak jest on nadal będziemy usuwać później


(Kaka') #17

BlueScreenWiev znalazł dwa pliki zrzutu:

1) http://wklej.org/id/706740/

2) http://wklej.org/id/706741/

Co masz na myśli mówiąc czy rejestr działa? Jeżeli chodzi o regedit.exe to z jego działaniem nie było i nie ma problemu.

// EDIT

Po odinstalowaniu Avasta sytuacja się nie zmieniła. Nadal przeglądarki żadne nie działają, wiele okien jest pustych.


(Spandau) #18

Moja pomyłka miałem na myśli Menadżera Zadań TaskMgr

Tak tutaj wygląda to na problem sprzętowy, sterownikowy a nie infekcji

Zobacz kod błędu i zalecone rozwiązanie do niego http://www.hotfix.pl/bledy-systemu-wind ... od-a11.htm Sprawdź najpierw dysk na obecność błędów HDTune Proszę sprawdzić dysk na obecność błędów HDTune http://www.dobreprogramy.pl/HD-Tune,Pro ... 12177.html odczyt Smart oraz ErrorScan Niech sprawdzi te odczyty ktoś kto się na tym zna.


(Kaka') #19

Hmm, krótko reasumując, aktualne problemy z przeglądarkami czy instalatorami (puste okna) obwiniasz najprawdopodobniej problemem sprzętowym, a nie samą infekcją? To byłby dość dziwny zbieg okoliczności - akurat po infekcji zaczęło się wszystko sypać.

Logi z HD Tune wrzucę niedługo, przeanalizuję je. Tak samo z problemami z bsodami.


(Spandau) #20

Wiem że to dziwne, do kompletu brakuje właściwie raportu Gmera na obecność rootkitów instrukcja jak prawidłowo wykonać skan Gmerem http://www.fixitpc.pl/topic/60-diagnost ... u-rootkit/ W raporcie OTL nic nie ma - oprócz szczątków po kasperskim toolbarach, McAfee itp. Avast oraz Malwarebytyes także nic nie wykrywały (tak napisałeś) Możesz oczywiście wykonać dodatkowo skan DrWebem Dr.WEB CureIt! kto wie, ale ja bazując na wynikach BlueScreenview twierdze, że to co się dzieje nie musi pochodzić od infekcji a np dysku

lub nieaktualnych sterowników http://windows7forums.com/blue-screen-d ... eader.html