logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Win XP, fałszywy Avast, niedziałający facebook po raz drugi

Slimok1 02 Lis 2011 23:50 2822 16
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 10094791
    Slimok1
    Poziom 9  
    Posty: 8
    witam, trafiłem tutaj po długim poszukiwaniu i posiadam identyczny problem co kolega w pierwszym poście, czy wystarczy, że postąpię wg późniejszych wskazówek, czy również mam wklejać logi z OTL ?

    Proszę o wyrozumiałość dla nowicjusza i jeśli postąpiłem, w którymś momencie niezgodnie z regulaminem to z góry przepraszam ;)
  • REKLAMA
  • #2 10094862
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    Zrob skan przy pomocy mbam oraz cureit i daj oba logi z OTL w zalaczniku.
  • #3 10095014
    Slimok1
    Poziom 9  
    Posty: 8
    a więc sytuacja przedstawia się następująco:

    1.Logi z OTL'a przed skanowaniem (OTL & Extras)

    2.Skanowanie:
    -Eset - znaleziono ponad 30 syfów z czego przy końcu się zawiesił
    -Mbam - znaleziono taką sama ilość robaków - większość usunięta, 3 zostawione w kwarantannie
    -Cureit - znalezione dokładnie te same 3 i usunięte

    3.Ponowne skanowanie OTL i nowe logi: (OTL1, Extras1)

    Nie wiem czy to istotne, ale w menu start nadal pozostaje skrót do felernego Avast! Free Antivirus, którego ścieżka wygląda tak: C:\WINDOWS\update.tray-7-0-Ink..
    Załączniki:
    • OTL1.Txt (72.08 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Extras1.Txt (58.29 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • OTL.Txt (75.71 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Extras.Txt (58.03 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • #4 10095089
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    Uzyj: http://www.bezpieczenstwosystemow.pl/index.php?topic=8226.0 usun infekcje i daj log z niego.

    Odinstaluj:
    Winamp Toolbar
    pdfforge Toolbar v4.5
    50 FREE MP3s +1 Free Audiobook!

    Do aktualizacji:
    Java(TM) 6 Update 18
    Adobe Reader 8 - Polish

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    IE - HKU\S-1-5-21-861567501-1035525444-839522115-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    IE - HKU\S-1-5-21-861567501-1035525444-839522115-1003\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\InprocServer32 File not found
    FF - prefs.js..extensions.enabledItems: pdfforge(_at_)mybrowserbar.com:4.5
    FF - prefs.js..extensions.enabledItems: wtxpcom(_at_)mybrowserbar.com:4.5
    O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
    O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    O3 - HKU\S-1-5-21-861567501-1035525444-839522115-1003\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    OO8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
    O33 - MountPoints2\{608d3822-04cd-11e1-81ca-000e2ef8e09b}\Shell\AutoRun\command - "" = I:\person/noname.exe
    O33 - MountPoints2\{608d3822-04cd-11e1-81ca-000e2ef8e09b}\Shell\Explore\command - "" = I:\person/noname.exe
    O33 - MountPoints2\{608d3822-04cd-11e1-81ca-000e2ef8e09b}\Shell\Open\command - "" = I:\person/noname.exe
    O33 - MountPoints2\{b28ace64-97e1-11df-8918-000e2ef8e09b}\Shell - "" = AutoRun
    O33 - MountPoints2\{b28ace64-97e1-11df-8918-000e2ef8e09b}\Shell\AutoRun\command - "" = K:\setup\rsrc\Autorun.exe
    O33 - MountPoints2\{b28ace64-97e1-11df-8918-000e2ef8e09b}\Shell\dinstall\command - "" = K:\Directx\dxsetup.exe
    O33 - MountPoints2\{b4e64ad4-0578-11e1-9c7f-000e2ef8e09b}\Shell\AutoRun\command - "" = I:\nijetebi/dosebe.exe
    O33 - MountPoints2\{b4e64ad4-0578-11e1-9c7f-000e2ef8e09b}\Shell\Explore\command - "" = I:\nijetebi/dosebe.exe
    O33 - MountPoints2\{b4e64ad4-0578-11e1-9c7f-000e2ef8e09b}\Shell\Open\command - "" = I:\nijetebi/dosebe.exe
    O33 - MountPoints2\{f4d3bb4e-0574-11e1-81cf-000e2ef8e09b}\Shell\AutoRun\command - "" = H:\person/noname.exe
    O33 - MountPoints2\{f4d3bb4e-0574-11e1-81cf-000e2ef8e09b}\Shell\Explore\command - "" = H:\person/noname.exe
    O33 - MountPoints2\{f4d3bb4e-0574-11e1-81cf-000e2ef8e09b}\Shell\Open\command - "" = H:\person/noname.exe
    O33 - MountPoints2\{f4d3bb52-0574-11e1-81cf-000e2ef8e09b}\Shell\AutoRun\command - "" = I:\nijetebi/dosebe.exe
    O33 - MountPoints2\{f4d3bb52-0574-11e1-81cf-000e2ef8e09b}\Shell\Explore\command - "" = I:\nijetebi/dosebe.exe
    O33 - MountPoints2\{f4d3bb52-0574-11e1-81cf-000e2ef8e09b}\Shell\Open\command - "" = I:\nijetebi/dosebe.exe
    [2011-11-01 17:47:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
    [2011-11-01 17:47:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
    [2011-11-01 17:42:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.3
    [2011-11-01 17:41:14 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\496c5b71
    [2011-11-01 17:41:13 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
    [2011-11-01 17:40:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
    [2011-11-01 17:40:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
    [2011-11-01 17:38:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
    [2011-11-01 17:37:35 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
    [2011-11-01 17:37:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
    [2011-11-01 17:37:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
    [2011-11-02 17:10:42 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
    [2011-11-02 17:10:42 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
    [2011-11-02 17:10:42 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
    [2011-11-02 17:10:41 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
    [2011-11-01 20:54:37 | 000,000,000 | ---- | M] () -- C:\WINDOWS\1901816905
    [2011-11-01 17:43:04 | 000,000,135 | ---- | M] () -- C:\WINDOWS\info1
    [2011-11-01 17:40:50 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
    [2011-11-01 17:39:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
    [2011-11-01 17:47:51 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
    [2011-11-01 17:47:51 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
    [2011-11-01 17:47:49 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
    [2011-11-01 17:41:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\1901816905
    [2011-11-01 17:40:51 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
    [2011-11-01 17:40:50 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
    [2011-11-01 17:40:50 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
    [2011-11-01 17:40:29 | 000,000,135 | ---- | C] () -- C:\WINDOWS\info1
    [2011-11-01 17:39:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok

    :Commands
    [resethosts]
    [emptytemp]


    Na koniec daj log z combofix oraz nowy log z OTL.
  • REKLAMA
  • #5 10095103
    wlw_wl
    Poziom 38  
    Posty: 4327
    Pomógł: 208
    Ocena: 148
    Dorzuciłbym jeszcze

    :Commands
    [resethosts]

    bo zdaje się, że nawet loopback'a tam nie ma.
  • #6 10096733
    Slimok1
    Poziom 9  
    Posty: 8
    a więc, kontynuując:

    ad1. Przy użyciu: Webroot AntiZeroAccess, rozpoczęło się skanowanie, zaraz na początku wykazało zainfekowany plik, następnie w trakcie znalazło jeszcze 3 bądź 4 pliki 'error' (nie pojawiło się żadne żądanie potwierdzenia usunięcia zainfekowanych plików), po czym ukazał się wynik końcowy: your system is not infected by ZeroAccess/Max++ Rootkit!. Co więcej nie ukazał sie żaden log z tego programu tak jak to rzekomo powinno się ukazać wg opisu.

    ad2. usunąłem podane programy

    ad3.zaktualizowałem adobe reader'a do wersji 10.1
    zaktualizowałem Jave do wersji Java(TM) 6 Update 29

    ad4. wykonałem podany skrypt w OTL'u

    ad5.combofix: wszedłem na strone http://cybertrash.pl/images/tata/ComboFix.html podaną na: https://www.elektroda.pl/rtvforum/topic1044160,.html ściagnałem plik, uruchomiłem, program w pierwszej kolejności pluł się o brak możliwości utworzenia kopii zapasowej bądź coś w tym stylu, poczym po mojej akceptacji, pobrał i zainstalował brakującą aplikacje systemu, nastąpił reset, po wznowieniu systemu rozpoczęło się skanowanie, program wyrzygał, że oprogramowanie Avast.. jest włączone i że mam je wyłączyć, lecz system był nieaktywny a w procesach avasta nie było, jedyną opcją było naciśnięcie 'ok' na okienku combofixa, pojawił się 'error-brak jakiegokolwiek komunikatu odnosnie tego co to za error- jedyna mozliwa opcja: 'ok'' nacisnalem, combofix dokonczyl dzialanie, reset, log (plik w zalaczniku: combofix)

    Po zakonczeniu skanowania combofixem chcialem go usunac tak jak jest to opisane na podanej stronie ale uzywajac: uruchom:ComboFix/u wyskoczyl komunikat ze nie odnaleziono programu w systemie.
    ad6. skanowanie OTL i logi (pliki w zalaczniku)
    Załączniki:
    • OTL.Txt (64.78 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Extras.Txt (55.69 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • ComboFix.txt (16.65 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #7 10096892
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    Log z AntiZeroAccess powinien sie utworzyc w katalogu programu, sprawdzales czy go tam nie ma? W kazdym razie uzyj go jeszcze raz.
    Daj tez log z: http://support.kaspersky.com/viruses/solutions?qid=208280684 na koniec daj nowy log z combofix.

    Usun w FF te dwa dodatki:
    FF - prefs.js..extensions.enabledItems: pdfforge(_at_)mybrowserbar.com:4.5
    FF - prefs.js..extensions.enabledItems: wtxpcom(_at_)mybrowserbar.com:4.5
  • #8 10096959
    Slimok1
    Poziom 9  
    Posty: 8
    FF? możesz sprecyzować, tj. jaśniej
  • REKLAMA
  • #9 10096961
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    FireFox.
  • #10 10096985
    Slimok1
    Poziom 9  
    Posty: 8
    gdzie znajde te pliki?

    logi dodane, z AZA był rzeczywiście w folderze programu, mój błąd..

    podanych do usunięcia dodatków nie usunąłem ponieważ nie wiem gdzie ich szukać, w folderze mozilli ich nie ma a samej przeglądarce w dodatkach też ich nie widać.

    Ponadto, przy ponownym uzyciu combofixa znow na samym poczatku wykryl mi działającego avasta, którego nie widać rzekomo w procesach.
    Załączniki:
    • ComboFix.txt (14.32 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • AntiZeroAccess_Log.txt (3.17 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • TDSSKiller.2.6.15.0_03.11.2011_18.10.37_log.txt (48.62 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #11 10097106
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    W takim razie usun je przy pomocy OTL, tylko zmien w skrypcie (malpa) na @.

    :OTL
    FF - prefs.js..extensions.enabledItems: pdfforge(malpa)mybrowserbar.com:4.5
    FF - prefs.js..extensions.enabledItems: wtxpcom(malpa)mybrowserbar.com:4.5


    Dlaczego w AntiZeroAccess nie wybrales usuniecia infekcji?

    W TDSSKiller, powinienes wybrac naprawe tego sterownika:
    18:12:12.0656 3828 dtscsi ( LockedFile.Multi.Generic ) - skipped by user
    18:12:12.0656 3828 dtscsi ( LockedFile.Multi.Generic ) - User select action: Skip

    Daj nowy log z AntiZeroAccess z usuwania infekcji oraz nowy log z TDSSKiller.
  • #12 10097378
    Slimok1
    Poziom 9  
    Posty: 8
    podaje logi:

    W AntiZeroAccess taka sama sytuacja.. nie wybralem usuniecia infekcji poniewaz zaden taki komunikat się nie pojawił, a jedyne co można było zrobić to nacisnąć 'any key' żeby zamknąć program..

    Wklejam też .jpgi z postępu skanowania.
    Załączniki:
    • TDSSKiller.2.6.15.0_03.11.2011_19.30.41_log.txt (48.52 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • AntiZeroAccess_Log.txt (1.06 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Win XP, fałszywy Avast, niedziałający facebook po raz drugi AZAend.JPG (163.59 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Win XP, fałszywy Avast, niedziałający facebook po raz drugi AZA.JPG (161.9 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #13 10097479
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    Czy AntiZeroAccess nadal wyswietla: 19:20:47 - CheckSystem - Warning! Disk class driver is INFECTED. ?
  • #14 10097511
    Slimok1
    Poziom 9  
    Posty: 8
    w tej chwili zrobilem skan, wszystko mrugnelo na zielono i nie wyswietla juz nic w tym stylu
  • Pomocny post
    #15 10097560
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17159
    Ocena: 10419
    W takim razie wyglada na to, ze juz jest wszystko ok.

    Wybierz w OTL Sprzatanie.

    Sciagnij tez OTC, ktory przy okazji usunie combofix, bo nie wiem czy OTL tez go usuwa.
  • #16 10097608
    Slimok1
    Poziom 9  
    Posty: 8
    skąd go mogę pobrać, jakiś sprawdzony link..?
    jesli to wszystko to rozumiem, że teraz można zainstalować ponownie tego nieszczęsnego avasta?

    I ponownie jesli to wszystko to dzięki Ci wielkie dobry człowieku :)
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Użytkownik zgłosił problem z systemem Windows XP, fałszywym oprogramowaniem Avast oraz niedziałającym Facebookiem. W odpowiedzi na pytania, uczestnicy dyskusji zalecili wykonanie skanów przy użyciu programów takich jak Malwarebytes (mbam), CureIt oraz OTL, a także usunięcie zainfekowanych plików i aktualizację oprogramowania. Użytkownik przesłał logi z OTL oraz wyniki skanowania, które wykazały obecność złośliwego oprogramowania. Po kilku próbach usunięcia infekcji, w tym użyciu ComboFix i AntiZeroAccess, problem został rozwiązany, a użytkownik mógł ponownie zainstalować Avast.
Wygenerowane przez model językowy.
REKLAMA