Facebookovy vir na Windows7 Proffesional

[kie604]

Zdravím, dostal se mi do opravy notebook napadeny facebookovym virem, ktery maze instalovany antivir v tomto pripade Avast a zobrazuje podvrzenou hlasku Enhanced Protection Mode. Ani po nekolikerem pokusu o obnovu je vse pri starem. Po jakemkoliv pokusu o odstraneni Trojana se system restartuje pres nouzovy rezim. Vygeneroval jsem log s pomoci RSIT loggeru dle pokynu. Prosim o pomoc s resenim.

log.zip

RSIT log z napadeneho systemu.

(9.47 KiB) Staženo 50 x

[chodnik74]

Dobrý den

Pokud nepůjde normálně,tak pracujte v nouzovém režimu ( při startu pc mačkejte F8)


Stáhněte program exeHelper.com

• Spuste program jako správce(pravým klikem myši spustit jako správce )
• Program vytvoří log exehelperlog.txt a ten sem vložte

Stáhněte program RogueKiller

• Spuste program
• Stiskněte klávesu 2,3,4 a enter
• Objeví se vám log a ten sem vložte

Malwarebytes' Anti-Malware

• Stáhneme,nainstalujeme a spustíme(pokud si nevíte rady jak,klikněte ZDE)
• Vybereme Úplná kontrola a klikneme na tlačítko Prohledat
• Program provede kontrolu počítače a na konci se vám objeví hláska,že bylo skenování dokončeno,tak potvrdíme tlačítkem OK
• Objeví se vám log,který mi sem vložte
• NIC NEMAZAT!!Program mívá občas falešné detekce,takže mazat budeme až po konzultaci

-Pokud se bude jednat o neznámé položky,tak můžete smazat,aby jste neskenoval znovu kdybych tu nebyl zrovna

[kie604]

Postupne,
exeHelper.com - 1 log
RogueKiller.exe - 3 logy
Malwarebytes' Anti-Malware - 1 log, nalezeno 39 infikovanych souboru, v prubehu scanu zablokovano nekolik pokusu o kontakt na podezdrelou IP adresu procesem svchost.

[chodnik74]

Výborně nalezené položky MBAM smazat

Co ten nelegální NERO Mrkněte na pravidla fora v mém podpisu Navíc crackem a keygenem si do pc dostanete havěť


Pokračujeme dále..



Program nepoužívejte bez doporučení Rádce a pozorně se řiďte následujících pokynu,protože program netoleruje chyby a může dojít k úplnému poškození systému!!

• Stáhneme si Combofix
• Program uložíme nejlépe na Plochu
• Vypneme všechny rezidentní štíty.Jak antiviru,tak antispywaru a firewallu
• Vypneme všechny běžící aplikace (ICQ,prohlížeč,programy) a necháme pouze Combofix
• Spustíme Combofix.exe s administrátorským oprávněním
  U Windows XP se přihlásíme pod účtem správce
  Ve Windows 7 a Vista klikněte pravým tlačítkem myši na Combofix.exe a dejte ,,Spustit jako správce,,)
• Hned po startu programu na vás vyskočí licenční podmínky,tak potvrdíme tlačítkemANO
• Pokud vám Combofix nabídne instalaci Konzoly pro zotavení,tak souhlaste a nechte nainstalovat(zde je potřeba aktivní připojení na internet)
• Pokračujte dle pokynů programu a během skenování na nic neklikejte,na pc nepracujte(ICQ,jiné aplikace,internet..).Nechte počítač v klidu.
• Celý sken tvá mezi 5-15 min,ale pokud je v PC hodně havěti,tak se čas může lišit.
• Po skončení skenování(případném restartu počítače) se vám zobrazí log z Combofixu,který mi vložte sem(Kdyby se log nezobrazil,tak jej najdete zde: C:\ComboFix.txt
• (Pokud si nevíte rady s kterýmkoliv z výše uvedených kroků,tak se ptejte nebo mrkněte na detailnější návod včetně obrázků http://www.bleepingcomputer.com/combofi ... t-combofix )

[kie604]

Výborně nalezené položky MBAM smazat

Smazano do karanteny MBAM vcetne hlasenych pokusu o spusteni (obvykle nakazenych svchost) procesu z ruznych slozek.

Co ten nelegální NERO Mrkněte na pravidla fora v mém podpisu Navíc crackem a keygenem si do pc dostanete havěť

To neni samozrejme moje "prace", jak jsem psal v uvodu, notebook jsem dostal k oprave od kamaradky... Vyhrady predam.

Pokračujeme dále..



Program nepoužívejte bez doporučení Rádce a pozorně se řiďte následujících pokynu,protože program netoleruje chyby a může dojít k úplnému poškození systému!!

• Stáhneme si Combofix
• Program uložíme nejlépe na Plochu
• Vypneme všechny rezidentní štíty.Jak antiviru,tak antispywaru a firewallu
• Vypneme všechny běžící aplikace (ICQ,prohlížeč,programy) a necháme pouze Combofix
• Spustíme Combofix.exe s administrátorským oprávněním
  U Windows XP se přihlásíme pod účtem správce
  Ve Windows 7 a Vista klikněte pravým tlačítkem myši na Combofix.exe a dejte ,,Spustit jako správce,,)
• Hned po startu programu na vás vyskočí licenční podmínky,tak potvrdíme tlačítkemANO
• Pokud vám Combofix nabídne instalaci Konzoly pro zotavení,tak souhlaste a nechte nainstalovat(zde je potřeba aktivní připojení na internet)
• Pokračujte dle pokynů programu a během skenování na nic neklikejte,na pc nepracujte(ICQ,jiné aplikace,internet..).Nechte počítač v klidu.
• Celý sken tvá mezi 5-15 min,ale pokud je v PC hodně havěti,tak se čas může lišit.
• Po skončení skenování(případném restartu počítače) se vám zobrazí log z Combofixu,který mi vložte sem(Kdyby se log nezobrazil,tak jej najdete zde: C:\ComboFix.txt
• (Pokud si nevíte rady s kterýmkoliv z výše uvedených kroků,tak se ptejte nebo mrkněte na detailnější návod včetně obrázků http://www.bleepingcomputer.com/combofi ... t-combofix )

Po killnuti vsech bezicich aplikaci (vcetne MBAM, doufam), scan spusten, zatim bezi cca 10 minut ale v okne se neobjevuje popis jednotlivych fazi. Nezmenily se ani hodiny, jen se kratce refreshla Plocha. Zatim jen blika kurzor za uvodnim textem o vyhledavani souboru. Je to v poradku?

Diky

[kie604]

Nechal jsem to tak dlouho, jak to jen slo, bez vysledku. Pak mi notebook usnul. Po probuzeni a killnuti puvodnich procesu jsem ComboFix spustil znova s temer okamzitou odezvou. Vysledek je v prilozenem logu. System nechtel restart. Predpokladam, ze by to mohlo byt vse. Pokusim se instalovat nejake security reseni, tentokrat bych dal Comodo Internet Security v plne verzi.
Diky za pomoc.

ComboFix.zip

(4.67 KiB) Staženo 37 x

[chodnik74]

Doporučoval bych na konec Avast ale až bude PC čistý

Odinstalujte Ask.com toolbar


Pokud by to dělalo problémy v normálním režimu,tak spuste pc v nouzovém režimu ( při startu pc mačkejte F8) a proveďte celou akci v nouzáku

Otevřeme si Poznámkový blok

• (stiskneme klávesovou kombinaci WIN+R a napíšeme ,,notepad,, bez úvozovek a dáme enter)
• Vložíme do něj následující script:

  Kód: Vybrat vše

  
  KillAll::
  
  Folder::
  c:\users\Markis\AppData\Local\temp
  c:\users\Default\AppData\Local\temp
  c:\windows\update.tray-5-0
  c:\windows\update.tray-5-0-lnk
  c:\windows\ufa
  c:\windows\av_ico
  c:\windows\update.tray-7-0-lnk
  c:\windows\update.tray-7-0
  c:\program files\Ask.com\
  
  Driver::
  hdzqyejd
  
  File::
  c:\windows\system32\drivers\hdzqyejd.sys
  c:\windows\unrar.exe
  
  Registry::
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
  "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
  [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
  [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
  [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
  [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
  "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
  [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
  [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
  [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
  [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "UpdateLBPShortCut"=-
  "UpdateP2GoShortCut"=-
  "UpdatePPShortCut"=-
  "UpdatePSTShortCut"=-
  "IgfxTray"=-
  "Persistence"=-
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADSMTray]
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Camera ScreenSaver]
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Screen Saver Protector]
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
  [HKEY_LOCAL_MACHINE\software\microsoft\security center]
  "FirewallOverride"=dword:00000000
  "DisableThumbnailCache"=dword:00000000
  
  RegLock::
  [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
  [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
  [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
  [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
  
  Reboot::
  

• Soubor uložíme na Plochu jako CFScript.txt
• Poté tento soubor uchopíme levým tlačítkem myši a přetáhneme na ikonu Combofixu a upustíme
  
  
• Poté Combofix provede všechny operace a udělá nový log,který sem vložte

[kie604]

Scan a vymaz v ComboFix probehl, po restartu hlasena chyba pri spusteni jakekoliv aplikace ze zastupce na Plose nebo ve Start menu. Po dalsim restartu vse OK. Prikladam vygenerovany log.
Co se tyce instalace Avast, moc mu uz neverim, byl instalovany prave pri utoku a zrejme nezafungoval dostatecne aktivne.

[chodnik74]

Tenhle vir odpálil každý AV,jak eset,tak Avast,takže mu to nemějte za zlé

Otevřeme si Poznámkový blok

• (stiskneme klávesovou kombinaci WIN+R a napíšeme ,,notepad,, bez úvozovek a dáme enter)
• Vložíme do něj následující script:

  Kód: Vybrat vše

  KillAll::
  
  Firefox::
  FF - ProfilePath - c:\users\Markis\AppData\Roaming\Mozilla\Firefox\Profiles\v8p7g45p.default\
  FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNzfb010YYcz_ZNzfb014&ptb=97B20125-23D5-4E12-8BF4-DCB07DAD6DF1&psa=&ind=2011010205&ptnrS=ZNzfb010YYcz_ZNzfb014&si=&st=kwd&n=77dd949d&searchfor=
  
  Driver::
  ICQ Service
  
  Reboot::
  

• Soubor uložíme na Plochu jako CFScript.txt
• Poté tento soubor uchopíme levým tlačítkem myši a přetáhneme na ikonu Combofixu a upustíme
  
  
• Poté Combofix provede všechny operace a udělá nový log,který sem vložte

Mrkneme,zda už není havěť v pc...


Malwarebytes' Anti-Malware

• Stáhneme,nainstalujeme a spustíme(pokud si nevíte rady jak,klikněte ZDE)
• Vybereme Úplná kontrola a klikneme na tlačítko Prohledat
• Program provede kontrolu počítače a na konci se vám objeví hláska,že bylo skenování dokončeno,tak potvrdíme tlačítkem OK
• Objeví se vám log,který mi sem vložte
• NIC NEMAZAT!!Program mívá občas falešné detekce,takže mazat budeme až po konzultaci

Ještě dočistíme od používaných programů:

Stiskněte klávesovou kombinaci WIN+R( nebo start-spustit ),čímž se vám otevře okno pro zadání příkazu pro spuštění a zkopírujte a vložte sem následujíci text: Combofix /Uninstall a dejte enter

OTC

• Spustíme,zmáčkneme CleanUp a potvrdíme YES Program uklidí a následně restartuje

T-Cleaner

• Spustíme,zmáčkneme klávesu A a potvrdíme ENTER(některé antiviry mohou detekovat utilitu jako vir-jedá se o falešný poplach,proto IGNOROVAT nebo dočasně vypnout antivir )
• po použití T-Cleaner smažte

TFC

• Stáhneme a spustíme program
• Klikneme na Start a potvrdíme OK
• Program začne uklízet,poté restartuje pc
• po použití program smažte

Údržba PC:

1)Čištění dočasných složek + neplatné registry
Ccleaner

• Stáhneme a nainstalujeme program
• Spustíme program
• ČISTIČ
  Windows zde necháme vše jak je (pokud používáme IE,tak odškrkneme jeho položky) a zaškrkneme položky Start Menu zástupci a Zástupci na ploše
  Aplikace - necháme jak je,ale pokud používáme nějaký prohlížeč (Google chrome,Firefox,Opera..) tak odškrkneme jeho položky
  >Stiskeneme tlačítko Analyzovat a poté Spustit Cleaner
• Registry
  >Stiskneme tlačítko Hledej problémy,program začne hledat neplatné registry..podé zvolíme Opravit vybrané problémy..
  >Program se zeptá,zda chceme vytvořit zálohu registrů,zvolíme ano a uložíme si někde zálohu(kdyby byli po opravení registru s něčím problémy,tak zálohu obnovíme tak,že spustíme uloženou zálohu a potvrdíme ano),dále zvolíme Opravit všechny problémy a Zavřít
  >opakujte dokud nebude registr bez problémů
• Program používáme 1x 14dní (záleží na používání pc,můžeme i jednou týdně)

2)Defragmentace disku
Defraggler

• Stáhneme a nainstalujeme program
• Spustíme program
• Vybereme disk ( C:,D:..prostě který používáme)
• Pokud je ve sloupci Fragmentace více než 5% dejte Defragmentovat
• Proveďte se všemi používanými disky
• Provádíme 1x za měsíc

3)Aktualizace programů
FileHippo.com Update Checker

• Stáhneme a nainstalujeme program(Při instalaci odškrkneme volbu Run at Startup )
• Spustíme program
• Program vyhledá nainstalované programy v PC a zjistí dostupné aktualizace
• Poté se vám otevře internetová stránka,kde budou nabídnuté aplikace k aktualizování
  >X Updates Detected..to jsou dostupné aktualizace..
  > klikneme na zelenou šipečku a stáhneme program,poté nainstalujeme jeho aktuální verzi
  > X Beta Updates Detected..tyto aktualizace nestahujte,jedná se o betaverze,které jsou ve vývoji a jsou nestabilní
• Provádíme 1x za 14 dní nebo jednou za měsíc

Jak se chová PC + nový RSIT

[kie604]

Vsechny kroky provedeny, bohuzel po ulozeni logu z ComboFixu a presunu do slozky rsit s ostatnimi logy, doslo k naslednemu vymazu cele slozky jednim z cleanup programu spoustenych v dalsich krocich. Mam ale dojem, ze bylo "cisto". Zustal mi jen log z MBAM, ktery prikladam vcetne s konecnym RSIT logem. NB se chova slusne, doinstaloval jsem uspesne antivirak. V kazdem pripade diky za fundovanou pomoc s titmto problemem. Byla to poradna "mrcha"

[chodnik74]

Výborně jen k tomu RSIT..dal jste mi info.txt,potřebuji obsah log.txt takže ještě RSIT pro jistotu znovu

[kie604]

Omlouvam se, chybka. V priloze je spravny log. Jeste jednou díky.

[chodnik74]

Aktualizace Service Pack 1
Odinstalovat ICQ toolbar a všechny nepotřebné toolbary
Dále bych vypnul ochranu v reálném čase u MBAM


Spustíme si HijackThis

Kód: Vybrat vše

C:\Program Files\trend micro\Markis.exe

(Pokud nenajdeme nebo nemáme,tak stáhneme ZDE )

• Dále klikneme na tlačítko Do a system scan only
• Najdeme a označíme následující položky:
  

  Kód: Vybrat vše

  R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
  R3 - URLSearchHook: (no name) -  - (no file)
  
  

• klikneme na položku Fix checked a potvrdíme tlačítkem Ano

Restart pc a jak se pc chová