Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus Win32.Jeefo - Jak się tego pozbyć?

tomasz33p 29 Sty 2017 01:02 447 3
  • #1 29 Sty 2017 01:02
    tomasz33p
    Poziom 2  

    Witam. Mam problem z tym oto wirusem. Pierwszy raz spotykam się z czymś takim, więc nie potrafię sobie z tym poradzić czytając inne tematy, ponieważ użytkownicy, którzy sobie z tym poradzili mieli pomoc na ich własne logi. Ten syf podpina się pod wszystkie pliki .exe, przez co pełno programów nie działa a teraz to się rozwinęło, że nawet przycisk start nie reaguje. Mam windows 10. Dołączam logi z OTL, GMER i FRST

    0 3
  • #2 29 Sty 2017 01:32
    Kolobos
    Spec od komputerów

    Uzyj https://www.elektroda.pl/rtvforum/download.php?id=100021 skanuj pare razy az nie bedzie niczego wykrywal.

    Odinstaluj:
    Advanced SystemCare 10
    Driver Booster 4.1
    ESET Online Scanner v3
    IObit Malware Fighter 4
    mks_vir Skaner Online
    Spybot - Search & Destroy

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {0732F1F7-8E80-4B51-991E-BD29BB748DC2} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\Scheduler.exe [2016-11-08] (IObit)
    Task: {091C362C-65F9-47C9-B961-9EE0DD7C48E7} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku <==== UWAGA
    Task: {278FF93D-464C-4FB6-B3CF-E61493549AE0} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe [2017-01-28] ()
    Task: {2CD7E0B8-4F34-4C37-B6DD-258DAF2DADBF} - System32\Tasks\{B8295BBE-2606-4397-BBCA-2C84C6E56A27} => pcalua.exe -a "C:\Program Files (x86)\GTX Box Team\Harry Potter i Komnata Tajemnic\Support\Harry Potter II_uninst.exe" -d "C:\Program Files (x86)\GTX Box Team\Harry Potter i Komnata Tajemnic\Support"
    Task: {2DE549DF-BB81-4CA1-9931-4C2B3323346B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {31DFF3B9-3B82-4E01-A896-23BA33439784} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
    Task: {36CC3AC1-06DF-4E38-9D85-098353EB1894} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {4806CB43-74E9-432F-BA09-F083D924A1D5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {4A3269DB-C9CC-4319-A36F-6A36C238339F} - System32\Tasks\{2FA67F42-E286-47C2-BBCC-171097EAF62E} => pcalua.exe -a "C:\Users\Tomasz\Desktop\Download\SILENT HILL KOLEKCJA\SILENT HILL I\Silent Hill [PL]\settings.exe" -d "C:\Users\Tomasz\Desktop\Download\SILENT HILL KOLEKCJA\SILENT HILL I\Silent Hill [PL]"
    Task: {55062CAC-C075-4F87-86C0-752C4833E173} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {6651F7F8-80AF-4FE5-B9A1-493204246280} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {72F2E7B0-28C4-461D-B987-A11256BD2079} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2015-06-16] (Safer-Networking Ltd.)
    Task: {7FE10044-ADE9-4304-8FD1-E4F02AEA8AAF} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2015-06-16] (Safer-Networking Ltd.)
    Task: {8C3919A1-81F3-47A9-BBA3-F968DD49954B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA




    Task: {904B7120-DDC4-43FD-BB33-4D134B51FD80} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {95890FE0-E08A-4162-B53A-4D78A7C0FE39} - System32\Tasks\ASC10_SkipUac_Tomasz => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe [2016-12-27] (IObit)
    Task: {9A218408-920F-40C7-A990-CECE9718201E} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2015-06-16] (Safer-Networking Ltd.)
    Task: {9A91C627-A9BB-47D8-8603-96100958B7EA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {AE7BA3C9-23B6-4EB9-AAA5-65E62FF60255} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {B29C13D5-E192-4BFA-B67E-8C0CDA202668} - System32\Tasks\{F9E282BA-9D44-432F-8484-8A0E6042AAE3} => pcalua.exe -a C:\Users\Tomasz\Desktop\Downloads\dsj21.exe -d C:\Users\Tomasz\Desktop\Downloads
    Task: {B4FF0737-9802-4894-84B9-7E0C77FC365D} - System32\Tasks\Driver Booster SkipUAC (Tomasz) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe [2016-11-14] (IObit)
    Task: {CACE74B1-0424-442C-89B3-BCC601641E26} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {D8365DD3-495F-42CB-9D38-89556C1D8063} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
    Task: {DEED8D5F-7380-48A1-9FD8-84BF727FBAFF} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
    Task: {E27CFD31-BB42-471A-A068-6689D092CECC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {F8EDD1EF-AE72-47C4-B0DC-8B045CA87500} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKU\S-1-5-21-1232848785-3652974546-173234838-1000\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2017-01-28] (Safer-Networking Ltd.)
    HKU\S-1-5-21-1232848785-3652974546-173234838-1000\...\Run: [Advanced SystemCare 10] => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe [2913568 2016-12-16] (IObit)
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1232848785-3652974546-173234838-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    Toolbar: HKLM-x32 - Brak nazwy - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - Brak pliku
    FF user.js: detected! => C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\yel54oyt.default\user.js [2017-01-12]
    R2 AdvancedSystemCareService10; C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe [462624 2016-12-12] (IObit)
    U3 ugwoipod; C:\Users\Tomasz\AppData\Local\Temp\ugwoipod.sys [56584 2017-01-28] (GMER) [Brak podpisu cyfrowego]
    U3 idsvc; Brak ImagePath
    2017-01-29 00:15 - 2017-01-29 00:17 - 00017649 _____ C:\Users\Tomasz\Desktop\GMER.txt
    2017-01-28 22:32 - 2017-01-28 22:32 - 00122478 _____ C:\Users\Tomasz\Desktop\Extras.Txt
    2017-01-28 22:31 - 2017-01-28 22:31 - 00244330 _____ C:\Users\Tomasz\Desktop\OTL.Txt
    2017-01-28 19:51 - 2017-01-28 19:51 - 00000000 ____D C:\ProgramData\Arcabit
    2017-01-28 18:12 - 2017-01-28 18:12 - 00000000 ____D C:\ProgramData\mks_vir
    2017-01-28 18:12 - 2017-01-28 18:12 - 00000000 ____D C:\Program Files\mks_vir_online
    2017-01-28 20:36 - 2015-03-15 06:03 - 00000000 ____D C:\AdwCleaner
    2016-03-23 23:37 - 2016-03-23 23:39 - 0025600 ___SH () C:\Users\Tomasz\AppData\Roaming\Thumbs.db
    2015-04-09 15:59 - 2015-04-09 16:00 - 0004762 _____ () C:\Users\Tomasz\AppData\Local\Temp-log.txt
    2015-07-01 15:50 - 2015-07-01 15:50 - 0000000 _____ () C:\Users\Tomasz\AppData\Local\Temp.dat
    EmptyTemp:

    W FRST wybierz Napraw.


    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #3 29 Sty 2017 02:13
    tomasz33p
    Poziom 2  

    Użyłem już tego jeefogui wcześniej, wykryło mi ponad 600 zainfekowanych, ale przerwałem żeby zrobić te skany. Mam nadzieję że skończy się tylko na przeinstalowaniu programów, bo niektórzy pisali, że musieli format.
    Teraz pokazuje mi 48 zainfekowanych pilków, ale jak klikam żeby "zdezynfekował" to po skończonym skanie pisze : FIles deleted 0 i poniżej że te pliki wykryte nie mogą być zdezynfekowne.
    Hmm, pisze, że nie jestem zalogowany jako administator, ale jestem; nie ma też opcji uruchomienia jako administator. Klikam- właściwości-zabezpieczenia-edytuj-Administatorzy. ale nie pomaga

    0
  • #4 29 Sty 2017 02:22
    Kolobos
    Spec od komputerów

    Skanuj w trybie awaryjnym, a co do cureit to mozesz uzyc livecd/usb zeby miec pewnosc, ze nic nie zostalo. Wystarczy jeden zainfekowany plik i bedziesz musial wszystko skanowac od poczatku.

    0