Red Opublikowano 5 Stycznia 2014 Zgłoś Udostępnij Opublikowano 5 Stycznia 2014 Witam Pobralem gre i odpalilem ja poprzez .exe nagle wyskoczylo mi http://www.tinypic.pl/wkh2umgbbmde + w procesach mam dziwne procesy typu bcasdas.exe http://www.tinypic.pl/66r9nrc30w9q Obecnie robie skany wrzuce je jak tylko skoncze Nie restartowalem jeszcze komputera tzn caly czas ,,niby mam odblokowana kontrole ,, jeden skan - ,, nie masz uprawnien do wysylania tego typu plikow,, wiec daje ss http://www.tinypic.pl/psshxm57frtl Results of screen317's Security Check version 0.99.78 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 11 ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update.`````````Anti-malware/Other Utilities Check:````````` Java 7 Update 45 Adobe Flash Player 11.9.900.170 Mozilla Firefox (26.0) Google Chrome 31.0.1650.57 Google Chrome 31.0.1650.63 ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive E: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2014 Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 jeden skan - "nie masz uprawnien do wysylania tego typu plikow" Próbujesz wstawiać format *.LOG, a załączniki dopuszczają tylko *.TXT. W instrukcji GMER było wyraźnie powiedziane, by skopiować treść do Notatnika i zapisać jako nowy plik. By doczepić brakujący plik, należy zmienić mu rozszerzenie na *.TXT (ręcznie lub zapisać po prostu w nowym pliku). Niestety, te procesy w Temp autoryzujące się w Zaporze oraz ukryte pliki autorun.inf + kubx.exe na wszystkich dyskach to niedobre wieści. To jest wirus Sality, który atakuje wszystkie wykonywalne na wszystkich dyskach i zwykle kończy się formatem przygoda z nim (nawet po leczeniu). Tu tylko częściowo się upiekło, tzn. system jest 64-bitowy, czyli zachodzi tylko niszczenie plików 32-bitowych (systemu i programów). Na teraz: 1. Uruchom SalityKiller. Jeden przebieg nie wystarczy, skan musi być powtarzany, dopóki narzędzie nie zgłosi zero zainfekowanych. 2. Uruchom TFC - Temp Cleaner. 3. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mobilegeni daemon] - E:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKCU\...\Run: [ChomikBox] - E:\Program Files (x86)\ChomikBox\chomikbox.exe HKCU\...\Run: [NextLive] - E:\Windows\SysWOW64\rundll32.exe "E:\Users\PanIWladca\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l MountPoints2: {46b2235c-8181-11e2-98c8-001fd03e32e0} - G:\FXRoute.exe StartMenuInternet: IEXPLORE.EXE - E:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin-x32: @live.heroesandgenerals.com/npretox - E:\Program Files (x86)\Heroes & Generals\live\npretox-1.0.6.1\npretoxlive-1.0.6.1.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - E:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S3 EagleX64; \??\E:\Windows\system32\drivers\EagleX64.sys [x] S3 X6va015; \??\E:\Windows\SysWOW64\Drivers\X6va015 [x] S3 xhunter1; \??\E:\Windows\xhunter1.sys [x] E:\Program Files (x86)\Mobogenie E:\Users\PanIWladca\.android E:\Users\PanIWladca\daemonprocess.txt E:\Users\PanIWladca\AppData\Local\cache E:\Users\PanIWladca\AppData\Local\genienext E:\Users\PanIWladca\AppData\Local\Mobogenie E:\Users\PanIWladca\AppData\Roaming\newnext.me E:\Users\PanIWladca\Pictures\Documents\Mobogenie Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowe logi: FRST (bez Addition) oraz USBFix z opcji Listing. Podsumuj co robił SalityKiller, jakie statystyki (ile zniszczonych plików). . Odnośnik do komentarza
Red Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 dodaje FRST.txt Fixlog.txt UsbFix Listing 1 PANIWLADCA1.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Nie podałeś jakie statystyki były widzialne w SalityKiller. Procesy Sality z Temp ustąpiły, co wskazuje, że infekcja nie jest czynna. Jedakże to nie oznacza jeszcze końca zmagań. SalityKiller to zbyt wąska specjalizacja i jest wymagany pełny skan antywirusowy wszystkich dysków. Ponadto, po Sality mogą być trwałe nieusuwalne uszkodzenia plików wymagające wymiany plików poprawnymi. Jeśli pełny skan wykryje gdzieś Sality, wyrzucać. Jeśli jakiś program odmówi uruchomienia (np. błędy "Visual C++), musi być przeinstalowany od zera. Co do raportów, zostały do usunięcia pliki Sality leżące w root wszystkich dysków oraz szczątki adware Mobogenie. I nie przymierzaj się do uruchomienia D:\livevdo-plugin.exe = LiveVDO to wątpliwa wtyczka video i ładuje adware. 1. Otwórz Notatnik i wklej w nim: HKU\Gość\...\Run: [NextLive] - E:\Windows\SysWOW64\rundll32.exe "E:\Users\PanIWladca\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l E:\Users\PanIWladca\AppData\Roaming\newnext.me C:\autorun.inf C:\oenfox.pif D:\autorun.inf D:\xnuqqd.pif E:\autorun.inf E:\kubx.exe CMD: rd /s /q C:\$RECYCLE.BIN CMD: rd /s /q C:\Qoobox CMD: rd /s /q C:\RECYCLER CMD: rd /s /q D:\$RECYCLE.BIN CMD: rd /s /q D:\RECYCLER CMD: rd /s /q E:\$Recycle.Bin CMD: rd /s /q E:\RECYCLER CMD: rd /s /q E:\_OTL Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Gdy potwierdzę jego zawartość, przez SHIFT+DEL skasujesz folder E:\FRST i przejdziesz do: 2. Wykonaj kompleksowy skan wszystkich dysków za pomocą Kaspersky Virus Removal Tool. Domyślnie jest wdrażany tylko skan ekspresowy, należy wejść do konfiguracji skanera i zaznaczyć wszystko do skanu. Skan możesz podzielić, tzn. skanować po jednym dysku na raz i zapisywać raporty z wynikami. . Odnośnik do komentarza
Red Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 next Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Ponawiam pytanie o statystyki SalityKiller, co tam się pokazało, jaki zakres szkód. Co do skryptu, wykonany za wyjątkiem opornych folderów po niepoprawnie odinstalowanym kiedyś używanym ComboFix i Kosza z dysku E: ========= rd /s /q C:\Qoobox ========= C:\Qoobox\BackEnv - Odmowa dostępu. ========= rd /s /q E:\$Recycle.Bin ========= E:\$Recycle.Bin\S-1-5-~1\$RPKGPND\LEAGUE~1\RADS\projects\LOL_GA~1\FILEAR~1\000~1.43 - Katalog nie jest pusty. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Qoobox RemoveDirectory: E:\$Recycle.Bin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Red Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 co do sality moge gdzies logi odszukac? lecz z tego co widzialem sporo programow bylo uszkodzonych Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Nie, SalityKiller zapisuje raport tylko, gdy zostaje uruchomiony ze stosownym przełącznikiem (np. E:\salitykiller.exe -v -l E:\log.txt). Oba oporne foldery pomyślnie skanowane. Toteż przez SHIFT+DEL wykończ główny folder E:\FRST i przejdź do kompleksowego skanu Kasperskym. . Odnośnik do komentarza
Red Opublikowano 10 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 niestety nie mogę doszukac sie tego raportu, zaczynam skanowac Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 Przecież mówię: raportu nie ma, raport powstałby, gdyby SalityKiller był uruchomiony przez komendę z parametrem robienia raportu. Teraz jest już za późno, nowy log nie pokaże tego co było leczone wcześniej. Odnośnik do komentarza
Red Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Dziekuje Ci za pomoc lecz musze przeinstalowac system z powodu bledow Visual C++ Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Skoro tu jest planowany format i reinstalacja, to uwaga, tu jest multum dysków: ==================== Drives ================================ Drive c: () (Fixed) (Total:97.66 GB) (Free:16.16 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: () (Fixed) (Total:97.66 GB) (Free:29.63 GB) NTFS Drive e: () (Fixed) (Total:102.77 GB) (Free:6.87 GB) NTFS Sality atakuje wszystkie, musisz więc przed reinstalacją systemu i tak wykonać pełny skan wszystkich dysków po kolei i wyurzucać wszystkie pliki wykryte jako geny Sality, gdyż po reinstalacji systemu możesz omyłkowo zarazić nowy system uruchamiając jakiś plik z innej partycji i wszystko pójdzie na marne. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się