Witam, przy włączaniu komputera mam bsod z komunikatem Driver not less or equal, wczoraj przez przypadek uruchomiłem obcy plik .exe i odrazu system wykrył niebezpieczny plik. Przesyłam logi i prosze o sprawdzenie jak usunąć ew. szkodnika. -->>
http://wklej.to/HeKIE
Logi - Wirus Jeefo i rootkit ZeroAcces
Rozpoczęty przez
gibu
, 28 11 2011 13:46
-
Temat jest zamknięty
5 odpowiedzi w tym temacie
#2
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 28 11 2011 - 15:43
Masz co najmniej trzy infekcje, w tym dwie baaaaaaaaardzo szkodliwe: wirus JEEFO oraz Bootkit ZeroAcces!
Zaczniemy od JEEFO, bo jeśli nie uda się wyleczyć wszystkich zrażonych plików *.exe, to będziesz musiał sformatować dysk.
Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.fixitpc.pl/index.php?/topic/102-plyty-startowe-ze-skanerami/
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) użyj Jefoogui >http://www.sophos.com/support/cleaners/jeefogui.com
2) Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.zshare.net/download/9616910131b8e01d/
3) użyj KVRT >http://www.bezpieczenstwosystemow.pl/index.php?topic=3198.0
4) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) potem daj tu wszystkie raporty z tych usuwań/leczenia, albo dokładnie napisz, co było leczone, co wykryte, co usunięte
6) daj log z ComboFixa >/Archiwalny-Combofix-t35201/
7) daj log z Webroot AntiZeroAccess
8) daj log z TDSSKiller
9) daj nowy log z OTL
to tyle na początek ...
.
Zaczniemy od JEEFO, bo jeśli nie uda się wyleczyć wszystkich zrażonych plików *.exe, to będziesz musiał sformatować dysk.
Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.fixitpc.pl/index.php?/topic/102-plyty-startowe-ze-skanerami/
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) użyj Jefoogui >http://www.sophos.com/support/cleaners/jeefogui.com
2) Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.zshare.net/download/9616910131b8e01d/
3) użyj KVRT >http://www.bezpieczenstwosystemow.pl/index.php?topic=3198.0
4) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) potem daj tu wszystkie raporty z tych usuwań/leczenia, albo dokładnie napisz, co było leczone, co wykryte, co usunięte
6) daj log z ComboFixa >/Archiwalny-Combofix-t35201/
7) daj log z Webroot AntiZeroAccess
8) daj log z TDSSKiller
9) daj nowy log z OTL
to tyle na początek ...
.
Użytkownik ordynat edytował ten post 28 11 2011 - 15:49
#3
gibu
-
-
- 12 postów
Początkujący
Napisano 28 11 2011 - 19:54
Na początku wielkie dzięki Ordynat za profesjonalną pomoc.
1. Jefoogui - nie wykrył nic
2. Dr. Web - mielił 2 godziny , nic nie znalazł choć na końcu zadał pytanie "Systemy operacyjne z rodziny windows używają pliku HOSTS do mapowania nazw hostów na adres ip...(..) Czy chce przywrócić domyślny plik HOSTS"
-kliknąłem TAK
3.KVRT - zrobił 3 skany , za każdym razem wykrywał coś (ZeroAccess Rootkit i coś jeszcze), niby coś usunął i za 3 razem już nie wykrył nic
Combo fix po pierwszym uruchomieniu wykrył "You are infected with Rootkit Zero Accees, it has inserted itself..."
Usunął po czym uruchomił się ponownie i dokończył skanowanie (już komputer uruchomil się bez bsoda w trybie normalnym a nie awaryjnym
Log z Combofix : http://wklej.to/gbwRe
Log z WEBROOT AZA : http://wklej.to/K7XMt (jakiś 1 error)
TDSS Killer: znalazł tylko jeden podejrzany element "Locked file.MultiGeneric, service: sptd) dałem "skip" bo nie chce mieszać
Log z OTL: http://wklej.to/MS2hN
btw. pozostał mi jakiś dziwny toolbar w przeglądarce :/
1. Jefoogui - nie wykrył nic
2. Dr. Web - mielił 2 godziny , nic nie znalazł choć na końcu zadał pytanie "Systemy operacyjne z rodziny windows używają pliku HOSTS do mapowania nazw hostów na adres ip...(..) Czy chce przywrócić domyślny plik HOSTS"
-kliknąłem TAK
3.KVRT - zrobił 3 skany , za każdym razem wykrywał coś (ZeroAccess Rootkit i coś jeszcze), niby coś usunął i za 3 razem już nie wykrył nic
Combo fix po pierwszym uruchomieniu wykrył "You are infected with Rootkit Zero Accees, it has inserted itself..."
Usunął po czym uruchomił się ponownie i dokończył skanowanie (już komputer uruchomil się bez bsoda w trybie normalnym a nie awaryjnym
Log z Combofix : http://wklej.to/gbwRe
Log z WEBROOT AZA : http://wklej.to/K7XMt (jakiś 1 error)
TDSS Killer: znalazł tylko jeden podejrzany element "Locked file.MultiGeneric, service: sptd) dałem "skip" bo nie chce mieszać
Log z OTL: http://wklej.to/MS2hN
btw. pozostał mi jakiś dziwny toolbar w przeglądarce :/
#4
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 28 11 2011 - 20:47
Sytuacja jest dobra. Z ZeroAcces pozostał do usunięcia tylko jeden obiekt.
ComboFix naprawił już szkody wyrządzone przez ZeroAcces.
Użyj >Ad-Remover i kliknij w nim Clean (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
ComboFix naprawił już szkody wyrządzone przez ZeroAcces.
Pewnie Ci chodzi o "startsear.ch"? To się instaluje razem z jakimś programem - nie pamiętam jakim.pozostał mi jakiś dziwny toolbar w przeglądarce :/
Użyj >Ad-Remover i kliknij w nim Clean (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
[2011-11-27 23:58:58 | 000,000,000 | -HSD | C] -- C:\Users\Maciek\AppData\Local\7d458ac6
CHR - default_search_provider: search_url = http://startsear.ch/?aff=1&src=sp&cf=73353580-1798-11e1-a80f-003005e1cb68&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=73353580-1798-11e1-a80f-003005e1cb68
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=73353580-1798-11e1-a80f-003005e1cb68
:Commands
[emptyflash]
[emptytemp]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
#5
gibu
-
-
- 12 postów
Początkujący
Napisano 28 11 2011 - 22:34
Ad Remover - http://wklej.to/uLift
OTL1 - http://wklej.to/qs0aD
OTL2 - http://wklej.to/FlIL0
toolbar jest nadal, nazywa się "wibiya"
hahah ten toolbar to chyba forumowy jakiś macie wbudowany a ja się nie skapnąłem
OTL1 - http://wklej.to/qs0aD
OTL2 - http://wklej.to/FlIL0
toolbar jest nadal, nazywa się "wibiya"
hahah
ten toolbar to chyba forumowy jakiś macie wbudowany a ja się nie skapnąłem
#6
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 28 11 2011 - 22:42
Możliwe. Tylko dlaczego u mnie nie ma takiego toolbaru, mimo iż też jestem czasami na tym Forum?ten toolbar to chyba forumowy jakiś macie wbudowany
OK, infekcji już nie ma.
Kroki końcowe:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie ComboFix i TDSSKiller.
KVRT - przed odinstalowaniem trzeba w nim wyłączyć samoochronę.
Dr.Web - usuwa się tak jak każdy inny plik - ręcznie.
EDIT:
Rzeczywiście, u mnie też się pojawia Wibya na dole strony.
Widocznie tak musi być .
.
Użytkownik ordynat edytował ten post 28 11 2011 - 22:49
Użytkownicy przeglądający ten temat: 1
0 użytkowników, 1 gości, 0 anonimowych
