bialy437 Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Witam, Bardzo proszę o pomoc, na dysku zewnętrznym i pendrivach zamiast normalnych folderów są skróty. Wiem, że to sprawka wirusa, bo czytałem o tym i posłużyłem się ComboFix zgodnie z instrukcją. Na każdej partycji jest folder : RECYCLER. Wirus pewnie dobrze Państwu znany także pewnie nie będzie problemu. Z góry dziękuję za pomoc Pozdrawiam ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Temat założony w złym dziale, przenoszę do diagnostyki infekcji. Na temat używania ComboFix: KLIK. Użycie niepotrzebne i brak pożądanych skutków. Zasady działu jakie tu raporty są obowiązkowe: KLIK. Tak więc dostarcz te obowiązkowe raporty plus dodatkowo USBFix z opcji Listing. Na każdej partycji jest folder : RECYCLER. I zawsze będzie, nawet po usunięciu folder zostanie odtworzony na wszystkich dyskach, bo to Kosz dysków (prawdziwy, to co na Pulpicie to tylko wirtualny skrót). Tu nie rzecz w obecności folderu jako takiego tylko jego zawartości. . Odnośnik do komentarza
bialy437 Opublikowano 14 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2013 Tylko ten plik mi się pojawił więc jakie jeszcze? Gdzie mogę je znaleźć? Odnośnik do komentarza
picasso Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Podałeś mi tylko log z ComboFix, którego nie powinieneś w ogóle był uruchamiać. Ja z kolei podałam zasady działu, które mówią jakie raporty się tu dostarcza. Czytałeś to w ogóle? Nie sądzę, bo mówisz o konkretnym pliku. Ty masz przeczytać w zasadach jakie logi tu się dostarcza, wejść do opisu narzędzia OTL i zrobić logi, poza tym jak mówiłam zrobić log dodatkowy z USBFix. . Odnośnik do komentarza
bialy437 Opublikowano 15 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2013 przepraszam. Już poprawiam sie checkup.txt GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 Posty połączone, nadwyżka logów usunięta. A gdzie USBFix z opcji Listing? Odnośnik do komentarza
bialy437 Opublikowano 15 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2013 oto on UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 Zarówno uruchomienie ComboFix jak i GMER wykonałeś w złych warunkach, przy czynnym Alcoholu i aż trzech sterownikach emulacji (te najstarsze blokują także systemowy sterownik atapi.sys, dlatego ComboFix zgłasza, że nie może uzyskać doń dostępu). Nie wykonałeś tego ogłoszenia: KLIK. DRV - [2012-08-22 18:46:58 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)DRV - [2008-04-13 23:10:32 | 000,096,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\atapi.sys -- (atapi)DRV - [2004-04-30 08:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\a347bus.sys -- (a347bus)DRV - [2004-04-30 08:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\a347scsi.sys -- (a347scsi) Windows jest zainfekowany (ukryty wpis startowy Qmrcrs.exe), dlatego wszystkie urządzenia są infekowane przez skróty: catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by GmerRootkit scan 2013-03-14 18:17 skanowanie ukrytych plików ... ..c:\documents and settings\Bia\Dane aplikacji\Qmrcrs.exe 147264 bytes executable 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\Bia\Dane aplikacji\Qmrcrs.exe" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. BlitzBlank utworzy na dysku C log. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [GEST] = File not found O4 - HKU\S-1-5-21-1659004503-2077806209-1801674531-1004..\Run: [Qmrcrs] C:\Documents and Settings\Bia\Dane aplikacji\Qmrcrs.exe File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1659004503-2077806209-1801674531-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1659004503-2077806209-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Bia\USTAWI~1\Temp\catchme.sys -- (catchme) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files K:\*.lnk L:\*.lnk M:\*.lnk N:\*.lnk O:\*.lnk rd /s /q C:\RECYCLER /C rd /s /q D:\RECYCLER /C rd /s /q E:\RECYCLER /C rd /s /q F:\RECYCLER /C rd /s /q G:\RECYCLER /C rd /s /q K:\$RECYCLE.BIN /C rd /s /q K:\RECYCLER /C rd /s /q L:\$RECYCLE.BIN /C rd /s /q L:\RECYCLER /C rd /s /q M:\RECYCLER /C rd /s /q N:\$RECYCLE.BIN /C rd /s /q N:\RECYCLER /C rd /s /q O:\$RECYCLE.BIN /C rd /s /q O:\Recycled /C rd /s /q O:\RECYCLER /C attrib /d /s -s -h K:\* /C attrib /d /s -s -h L:\* /C attrib /d /s -s -h M:\* /C attrib /d /s -s -h N:\* /C attrib /d /s -s -h O:\* /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i USBFix z opcji Listing. Załącz zawartość raportu BlitzBlank, krótki = wklej do posta. Dołącz log z usuwania OTL utworzony w punkcie 2. . Odnośnik do komentarza
bialy437 Opublikowano 15 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2013 BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\bia\dane aplikacji\qmrcrs.exe", destinationFile = "(null)", replaceWithDummy = 0 skrótów nie mam już na dysku. dziękuję ślicznie UsbFix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 Nie podałeś raportu z usuwania OTL, ale w sumie to już omińmy, gdyż po aktualnych logach widać zmiany. Wprawdzie urządzenia zostały oczyszczone z infekcji LNK, ale teraz nastąpiły nowe okropne zmiany: pojawiła się kolejna infekcja autorun.inf egzekwująca okropnego wirusa Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach! Wirus został zainstalowany w systemie, aktywnie działa i zaraża pliki. To jest mega infekcja i może skończyć się formatem. 1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany tyle razy, aż zwróci zero zainfekowanych). 2. Pobierz Sality_RegKeys. Z paczki ruchom plik SafeBootWinXP.reg, potwierdż import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- :Files autorun.inf /alldrives C:\opyjra.exe D:\yhfux.exe E:\npuvph.pif F:\bmwyn.pif G:\vlemp.exe K:\cutn.pif L:\kxhw.exe N:\lovul.pif O:\lcmyc.exe netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Zrób nowy log OTL z opcji Skanuj + USBFix z opcji Listing. Podsumuj co robił SalityKiller. . Odnośnik do komentarza
bialy437 Opublikowano 16 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2013 Wyniki z SalityKiller: infected files : 856 infected process : 6 infected theards : 70 cured files : 856 will be cured on reboot: 0 executed registry scripts: 1 i tu dane z olt po restarcie systemu: All processes killed ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\\""|"@SYS:DoesNotExist" /E : value set successfully! Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\\EnableLUA not found. ========== FILES ========== File move failed. C:\autorun.inf scheduled to be moved on reboot. File move failed. D:\autorun.inf scheduled to be moved on reboot. File move failed. E:\autorun.inf scheduled to be moved on reboot. File move failed. F:\autorun.inf scheduled to be moved on reboot. File move failed. G:\autorun.inf scheduled to be moved on reboot. File move failed. K:\autorun.inf scheduled to be moved on reboot. File move failed. L:\autorun.inf scheduled to be moved on reboot. File move failed. M:\AUTORUN.INF scheduled to be moved on reboot. File move failed. N:\autorun.inf scheduled to be moved on reboot. File move failed. O:\autorun.inf scheduled to be moved on reboot. C:\opyjra.exe moved successfully. D:\yhfux.exe moved successfully. E:\npuvph.pif moved successfully. F:\bmwyn.pif moved successfully. G:\vlemp.exe moved successfully. File\Folder K:\cutn.pif not found. File\Folder L:\kxhw.exe not found. File\Folder N:\lovul.pif not found. File\Folder O:\lcmyc.exe not found. < netsh firewall reset /C > Ok. E:\Downloads\cmd.bat deleted successfully. E:\Downloads\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Bia ->Temp folder emptied: 1328297 bytes ->Temporary Internet Files folder emptied: 372817 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 15565243 bytes ->Google Chrome cache emptied: 32478497 bytes ->Flash cache emptied: 497 bytes User: CURRENT_USER User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 22048768 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1662807 bytes RecycleBin emptied: 548877 bytes Total Files Cleaned = 71,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 03162013_152031 Files\Folders moved on Reboot... C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. E:\autorun.inf moved successfully. F:\autorun.inf moved successfully. G:\autorun.inf moved successfully. K:\autorun.inf moved successfully. L:\autorun.inf moved successfully. File\Folder M:\AUTORUN.INF not found! N:\autorun.inf moved successfully. O:\autorun.inf moved successfully. C:\WINDOWS\temp\Perflib_Perfdata_7d8.dat moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... OTL.Txt UsbFix.txt Odnośnik do komentarza
diox Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 Powtarzałeś skanowanie SalityKiller'em aż będzie 0 wykrytych? Sality roznosi się cały czas i nie może zostać ani jeden zarażony plik. . Odnośnik do komentarza
bialy437 Opublikowano 16 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2013 raz tylko robiłem ;/ Odnośnik do komentarza
diox Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 Masz powtarzać skan SalityKiller aż do skutku, kiedy nie wykryje żadnych zarażonych plików. Kiedy on nic nie wykryje, użyj jeszcze rmsality . Potem zobacz, czy uruchamia się Tryb awaryjny. . Odnośnik do komentarza
bialy437 Opublikowano 17 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2013 prawie 1,5 dnia skanowało i teraz pokazało 3 zainfekowane ale nie można było usunąć, więc zaznaczyłem w programie i usunęło. po skanowaniu nic nie było. Tryb awaryjny się otwiera bez problemu Nodem skanowałem to jeszcze wykryło 98 plików. program wyleczył to (podobno) OTL.Txt UsbFix.txt Odnośnik do komentarza
Rekomendowane odpowiedzi