Rozwiązany: trojany - prośba o pomoc

[BlackBerry2012]

Ponieważ jestem nowym użytkownikiem oraz jest to mój pierwszy temat założony na tym forum, na wstępie chciałbym z Wszystkimi gorąco się przywitać. Mój problem polega na tym, że mój komputer został zainfekowany (jak się później okazało) przez kilka trojanów. Oczywiście próbowałem szukać informacji jak sobie z nimi poradzić, zarówno w sieci jak i na forum, jednak zanim podejmę się jakiegoś poważniejszego działania, może ktoś mi podpowie, co w ogóle w takim przypadku najlepiej zrobić. Trochę obawiam się samemu cokolwiek naprawiać ponieważ nie znam się na takich rzeczach i nie chciałbym uszkodzić komputera. Jeżeli założyłem temat w nieodpowiednim miejscu lub popełniłem jakąś inną gafę, z góry serdecznie przepraszam.

Zaczęło się od tego, że podczas normalnej pracy przy komputerze, McAfee zaczął wyświetlać informację, że "wykryto obiekt koń trojański, który został zablokowany i że nie trzeba podejmować żadnych działań". Jednak komunikat ten pojawiał się w kilkunastosekundowych odstępach, co mnie mocno zaniepokoiło. Jakież było moje zdziwienie, gdy po ponownym uruchomieniu komputera pojawił się obraz "POLITIA" z informacją, że policja hiszpańska znalazła na moim komputerze materiały z pornografią dziecięcą i że mam kupić na stacji benzynowej kartę Telefonica i zapłacić mandat 100 euro, bo inaczej trafie za kratki! Zorientowałem się, że to jakiś przekręt bo żadnych takich materiałów na komputerze nie miałem, ani nigdy na takie strony nie wchodziłem. Pomimo tego, że komputer został zablokowany, udało mi się jakoś włączyć pełne skanowanie McAfee?m, jednak niestety nic ono nie znalazło.

Zdesperowany zacząłem szukać pomocy w internecie z drugiego komputera i zrobiłem tak: Uruchomiłem komputer w trybie awaryjnym, w Akcesoriach/Uruchom wpisałem "msconfig" i wyłączyłem element startowy o nazwie 94945798 nieznanego producenta.

Po restarcie strona policji już się nie włączyła, ale zauważyłem, że praktycznie wszystkie pliki na dysku D mają zmienioną nazwę: przykładowo plik "drzewo.jpg" ma teraz nazwę "locked-drzewo.jpg.yyzp", a "trawa.jpg" nazywa się "locked-trawa.jpg.fmpm". Dysk C ucierpiał w mniejszym stopniu, ale też kilka plików jest uszkodzonych.

Następną rzeczą jaką zrobiłem, było odinstalowanie McAfee i zainstalowanie Kaspersky?ego. I tutaj duże uznanie dla tego antywirusa, znalazł i usunął kilka trojanów. Aktualnie sytuacja wygląda tak, że mam następujące trojany, bo momimo tego, że wyświetlają się jako usunięte, to i tak widać ich aktywność (chyba, że się mylę), bo co jakiś czas pojawia się komunikat, że istnieją nieprzetworzone obiekty i nie da się ich usunąć, tyko trzeba ignorować:

Backdoor.Win32.ZAccess.mbg usunięty

Backdoor.Win64.ZAccess.bn usunięty

Backdoor.Win64.ZAccess.bm usunięty

Trojan-Downloader.JS.Expack.rz usunięty

Trojan-Downloader.JS.Expack.rz (ten sam) usunięty

oraz HEUR:Trojan.Win.32.Generic poddany kwarantannie

Chciałbym zaznaczyć, że zainstalowałem jeszcze Malvarebytes Anti-Malvare oraz HitmanPro36 ale nic one nie znalzły.

Mam w związku z tym kilka pytań.

1. Czy jest możliwe, aby odzyskać uszkodzone pliki? (Niestety nie mam kopii)
   
2. Czy jest sens robić całkowite przywracanie kopii zapasowej progamem Samsung Recovery Solutions4 (informacja z programu: Całkowite przywracanie powoduje nadpisanie całego dysku C obrazem kopii zapasowej w celu pełnego przywrócenia kopii zapasowej) czy i tak nic to nie da.
   
3. Czy trzeba robić format, czy może lepiej warto samemu ręcznie spróbować usunąć te trojany?
   
4. Czy może nie jest to już zagrożeniem i można tak to zostawić.
   

Mój system to Windows7 64 bitowy.

Będę wdzięczny za wszelką pomoc.

[[Ekspert] Hakken]

Witam w urojonym dziale zajmowania się szkodnikami.

Po pierwsze, nie miej zainstalowanych kilku antywirusów jednocześnie - zwiększa to ryzyko infekcji komputera, spowalnia działanie i generalnie jest niekorzystne.

Po drugie, zmień antywirusa, McAfee jest złe, najlepsze darmowe antywirusy to Microsoft Security Essentials, Comodo i Avast.

Kaspersky jest dobrym antywirusem.

Co do problemu: czy jedyne pozostałości po wirusie, to zmiana nazw plików ?

Dodatkowo, wrzuć logi z OTL - instrukcja tutaj: http://forum.cdaction.pl/index.php?showtopic=56765entry1083870

[BlackBerry2012]

Zaintalowany miałem tylko McAfee, którgo odinstalowałem, aby zainstalować Kaspersky'ego. Malvarebytes Anti-Malvare zainstalowałem tylko na jedno przeskanowanie i zaraz po tym odinstalowałem, a HitmanPro36 nie trzeba było instalować.

Pliki zostały tak uszkodzone, że po zmianie ich nazwy na pierwotną nie można ich otworzyć. Nie zmienił się natomiast ich rozmiar.

Oprócz tego straciły mi się kontakty ze Skype, GG, kopia telofonu Nokia. Innych zmian nie zauważyłem, wszystko działa.

Poniżej logi z OTL:

http://wklej.org/id/772613/ OTL

http://wklej.org/id/772619/ Extras

[[Ekspert] Hakken]

Użyj tego programu: http://support.kaspersky.com/faq/?qid=208286527

[Sevard]

W logach z OTL nie widzę już aktywnych infekcji (choć zbyt dokładnie nie sprawdzałem, a i niestety dla tego zagrożenia trzeba nieco zmodyfikować ustawienia skanowania). Problem z tymi wirusami jest taki, że potrafią one mieszać w usługach systemowych itp. a nie za bardzo mam czas, by dokładnie analizować co mogło zostać zepsute itp.

Tak dla pewności udaj się na jedno z for zajmujących się zwalczaniem malware (np. na polskie fixitpc.pl), żeby tam sprawdzili dokładnie, czy coś jeszcze nie ostało i czy system nie ucierpiał. Z zaszyfrowanymi plikami powinno poradzić sobie narzędzie podlinkowane przez Hakkena.

[edyta]

Jednak infekcję widać, ale czasu brak.

[BlackBerry2012]

Pobrałem ten program, który mi podałeś Hakken w linku i po jego uruchomieniu rzeczywiście wszystko wróciło do poprzedniego stanu (pliki zostały odszyfrowane) . Ogromnie jestem Ci za to wdzięczny, bo raczej sam bym tego nie wynalazł, należy Ci się browar.

Wydaje mi się, że program ten utworzył katalog o nazwie SystemSoftware, który zajmuje 3,3GB i zawiera w kilkudziesięciu katalogach skompresowane pliki. Nie wiem czy mogę go wykasować, czy na razie zostawić.

Wykonałem również pełne skanowanie "Kaspersky?m", który usunął kilka zagrożeń lecz trzy są w dalszym ciągu aktywne (uaktywniają się po połączeniu z internetem i pojawia się komunikat: "istnieją nieprzetworzone obiekty") i nie można ich usunąć, są to:

Backdoor.Win32.ZAccess.mbg

Backdoor.Win64.ZAccess.bn

Backdoor.Win64.ZAccess.bm

Nie wiem czy mogę w tym przypadku swobodnie korzystac z internetu (np. logowanie na konto bankowe, płatności kartą kredytową itp.), czy jest to niebezpieczne?

Czy uważasz, że Comodo, Microsoft security Essential czy Avast są lepsze od płatnego McAfee? Czytałem gdzieś, że dobry jest jeszcze Ashampoo.

Sevard również Tobie dzięki za poradę.

[[Ekspert] Hakken]

Uwarzam, że McAfee to kit jakich mało i to, co wymieniłeś jest lepsze.

Niestety, ZeroAcces to złośliwa i groźna infekcja, a ja nie mam aktualnie czasu żeby się nią zająć, a zająć się nią trzeba natychmiast.

W związaku z tym, załóż wątek na jednym ze specjalistycznych serwisów do zwalczania malware. Od siebie polecam geekstogo.com, wiem z doświadczenia, że tamtejsza szkółka jest świetna, a pomoc jest fachowa.

[BlackBerry2012]

Wielkie dzięki za pomoc, te pliki były dla mnie, jak to się mówi "bezcenne"

Ciąg dalszy na fixitpc.pl http://www.fixitpc.pl/topic/8953-trojan-zero-access/

Temat chyba do zamknięcia

[MikaelDorren]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.