Problem z Win32:ZAccess-PB Trojan

[benek666]

Witam prawdopodobnie zainfekowałem system trojanem, Malwarebytes Anti-Malware wykrywa go ale nie usuwa,
po restarcie komputera trojan znowu wraca.
Przesyłam wszystkie logi i proszę o pomoc .


Dostępne tylko dla zarejestrowanych użytkowników - Log z Malware
Dostępne tylko dla zarejestrowanych użytkowników -OTL
Dostępne tylko dla zarejestrowanych użytkowników - OTL Extras
Dostępne tylko dla zarejestrowanych użytkowników - TDSSKiller


Zrobiłem wszystkie zalecenia od XMana, przeskanowałem Anti-Malware w zwykłej wersji,pojawił się ten sam trojan co w tytule, po usunięciu znowu zrobiłem pełne skanowanie niestety trojan znowu wrócił oto log
Dostępne tylko dla zarejestrowanych użytkowników Spybot niestety nie wykrywa tego trojana

Oto kolejne logi RogueKiller oczywiście wykrył od razu ZAccess
AdwCleaner - Dostępne tylko dla zarejestrowanych użytkowników
RogueKiller - Dostępne tylko dla zarejestrowanych użytkowników
Farbar Service Scanner - Dostępne tylko dla zarejestrowanych użytkowników

Następny log z RogueKiller już po usunięciu i restarcie nie wykrywa trojana
Dostępne tylko dla zarejestrowanych użytkowników

Kolejne logi
OTL po usunięciu - Dostępne tylko dla zarejestrowanych użytkowników
Nowy log OTL - Dostępne tylko dla zarejestrowanych użytkowników
OTl Extras - Dostępne tylko dla zarejestrowanych użytkowników

Na koniec pełny skan Malwarebytes Anti-Malware - Dostępne tylko dla zarejestrowanych użytkowników
Wygląda na to ze trojana już niema.

Nie EDYTUJ tylko Szybka odpowiedź --> Podgląd --> Wyślij.
XMan.

[XMan]

Malwarebytes Anti-Malware (PRO) 1.75.0.1300

Wersja PRO - odinstaluj.

Przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

kliknij aby powiększyć:
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Continue to the media

Przeczyść komputer programem Eusing Free Registry Cleaner.
(dokładniej czyści rejestr)
Wybierasz język / language / Polish.
Przewiń --> Skanuj rejestr --> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Przeskanuj komputer programem Dostępne tylko dla zarejestrowanych użytkowników
Pełne skanowanie
(nie instaluj wersji PRO tylko Freeware)
Usuń zainfekowane pliki.
Po skanowaniu wrzuć z niego raport.

Spybot nie usuwa

Czekaj za sprawdzeniem logów przez fachowców z tego działu...

[filutka78]

Czekaj za sprawdzeniem logów przez fachowców z tego działu...

A w czasie tego oczekiwania użyj AdwCleaner Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

W logach nic nie wskazuje na istnienie ZeroAcces, ale, na wszelki wypadek:
1) Użyj >>Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na obrazek po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

2) Zrób log z Farbar Service Scanner >Dostępne tylko dla zarejestrowanych użytkowników (do skanowania zaznacz wszystko).

F.

[kominekl]

ADWCleaner.

Naciśnij w nim przycisk Odinstaluj.

"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}" = YTD Video Downloader 4.0
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"Advanced Renamer_is1" = Advanced Renamer
"Driver Cleaner" = Driver Cleaner 3
"MozillaMaintenanceService" = Mozilla Maintenance Service
"ReNamer_is1" = ReNamer
"UnityWebPlayer" = Unity Web Player

Odinstaluj to + SpyBot + nie używane gry, oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3815508559-95027061-2828025268-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3815508559-95027061-2828025268-1000\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3815508559-95027061-2828025268-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3815508559-95027061-2828025268-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3815508559-95027061-2828025268-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-3815508559-95027061-2828025268-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "delta-homes"
FF - prefs.js..browser.search.order.1: "delta-homes"
FF - prefs.js..browser.search.selectedEngine: "delta-homes"
FF - prefs.js..browser.startup.homepage: "http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD2000JS-60NCB1_WD-WCANL165136751367&ts=1373012988"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: D:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=2.1.4: D:\Program Files (x86)\Battlelog Web Plugins\2.1.4\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: D:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: D:\Users\mRn\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: D:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: F:\Program Files (x86)\Ubisoft\Trials Evolution Gold Edition\datapack\orbit\npuplaypc.dll File not found
[2013-05-31 21:03:17 | 000,699,920 | ---- | M] () (No name found) -- D:\Users\mRn\AppData\Roaming\mozilla\firefox\profiles\0u9clwqm.default\extensions\jid1-qQSMEVsYTOjgYA@jetpack.xpi
[2013-08-18 10:46:52 | 000,590,000 | ---- | M] () (No name found) -- D:\Users\mRn\AppData\Roaming\mozilla\firefox\profiles\0u9clwqm.default\extensions\uriloader@pdf.js.xpi
[2013-08-27 10:46:51 | 000,282,174 | ---- | M] () (No name found) -- D:\Users\mRn\AppData\Roaming\mozilla\firefox\profiles\0u9clwqm.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
[2013-08-01 12:14:37 | 000,824,302 | ---- | M] () (No name found) -- D:\Users\mRn\AppData\Roaming\mozilla\firefox\profiles\0u9clwqm.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013-08-03 13:07:16 | 000,275,449 | ---- | M] () (No name found) -- D:\Users\mRn\AppData\Roaming\mozilla\firefox\profiles\0u9clwqm.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi
O4 - HKU\S-1-5-21-3815508559-95027061-2828025268-1000..\Run: [Google Update] Reg Error: Value error. File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3815508559-95027061-2828025268-1014..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2013-08-31 13:14:51 | 000,027,256 | ---- | C] (Symantec Corporation) -- D:\Windows\SysNative\drivers\FixZeroAccess.sys
[2013-08-23 11:28:45 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
[2013-08-23 11:28:43 | 000,000,000 | ---D | C] -- D:\ProgramData\Spybot - Search & Destroy
[2013-08-23 11:28:43 | 000,000,000 | ---D | C] -- D:\Program Files (x86)\Spybot - Search & Destroy
[2013-08-23 11:19:39 | 000,000,000 | ---D | C] -- D:\Users\mRn\AppData\Roaming\SUPERAntiSpyware.com
[2013-08-23 11:18:22 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
[2013-08-23 11:18:20 | 000,000,000 | ---D | C] -- D:\ProgramData\SUPERAntiSpyware.com
[2013-08-23 11:18:20 | 000,000,000 | ---D | C] -- D:\Program Files\SUPERAntiSpyware
[2013-08-29 09:15:08 | 000,000,074 | ---- | M] () -- D:\Users\mRn\Desktop\Product activation info.url
[2013-08-29 09:10:25 | 000,696,320 | ---- | M] () -- D:\Users\mRn\AppData\Roaming\PtNsdDoHjcsNcs.exe
[2013-04-24 11:45:57 | 000,000,000 | ---D | M] -- D:\Users\mRn\AppData\Roaming\337
[2013-04-07 14:56:09 | 000,000,000 | ---D | M] -- D:\Users\mRn\AppData\Roaming\Unity
@Alternate Data Stream - 181 bytes -> D:\ProgramData\Temp:EAD001CC

:Files
D:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.