Problem z wirusem

[CYgan125]

Wcześniejszy temat na pclab, gdzie nie użyłem podanego tam skryptu:

 

http://forum.pclab.pl/topic/957926-Problem-z-wirusem/page__p__12503653&?do=findComment&comment=12503653

 

 

Pierwszy skan przed użyciem skryptu z otl:

http://www.wklej.org/id/1341355/

 

Nowy skan: 

http://wklej.org/id/1342023/

 

I raport po resecie gdy użyłęm skryptu: 

http://wklej.org/id/1342022/

[picasso]

CYgan125, proszę dostosuj się do tutejszych zasad działu: KLIK. OTL to narzędzie nierozwijane, pozbawione określonych skanów i tu podrzędne. Obowiązkowo podaje się tu nie tylko OTL, ale i FRST oraz GMER. Proszę dodać brakujące raporty.

 

I uściślij jakie masz problemy. Konkrety proszę: co widzisz, co się dzieje etc.

 

 

 

.

[CYgan125]

Problem na początku wyglądał tak że w procesach pojawiał się nacl64 coś takiego. Następnie na dysku c powstał folder(ukryty) pod dziwną nazwą(ciąg cyfr i liczb) znajdował się tam ten plik nacl64. Kolejny błąd jest następujący w wszystkich grach, aplikacjach drastycznie spadła ilość FPSów np. w fifie 14 z 400 do 40-80. Podczas wprowadzania tego skryptu został usunięty ten folder lecz FPS dalej mały.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

Kolejny błąd jest następujący w wszystkich grach, aplikacjach drastycznie spadła ilość FPSów np. w fifie 14 z 400 do 40-80. Podczas wprowadzania tego skryptu został usunięty ten folder lecz FPS dalej mały.

1. To co było usuwane na tamtym forum to infekcja MSIL/Injector.CPM. Należy doczyścić szczątki po niej, a także naprawić szkody przez nią wyrządzone. Infekcja wyłącza Harmonogram zadań i padają wszystkie taski uruchamiane tą metodą. Ponadto, infekcja resetuje uprawnienia obiektów do których uzyskuje się dostęp, a dzieje się to w dość losowy sposób, zakres szkód tu jest nieznany. Mogą być zablokowane w C:\Program files i C:\ProgramData różne ścieżki. Osobna sprawa to źródło infekcji: ta infekcja na forum tutaj pojawiła się w kontekście cracków (przykłady z crackami do gier i CCleaner), coś takiego ostatnio musiałeś uruchomić, pozbądź się wszystkich podejrzanych paczek.

 

 

2. Infekcja MSIL/Injector.CPM nie jest już czynna, więc spadki FPS mają inną przyczynę. Ale jest tu druga infekcja, fałszywe "ATI/AMD" pod przykrywką wpisu AtiDriverStart:

 

HKU\S-1-5-21-3098141968-229038557-363801865-1000\...\Run: [AtiDriverStart] => C:\Users\User\AppData\Local\ATI Technologies\atidxx.exe [55296 2014-04-19] ()
 

2014-04-19 22:45 - 2014-04-20 20:25 - 00000000 ____D () C:\Users\User\AppData\Local\ATI Technologies

2014-04-19 22:45 - 2014-04-19 22:45 - 00000000 ____D () C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0
 

---- Processes - GMER 2.1 ----
 

Process C:\Users\User\AppData\Local\ATI Technologies\atiedxx.exe (*** suspicious ***) @ C:\Users\User\AppData\Local\ATI Technologies\atiedxx.exe [2516] (AMD External Events Driver Modul/ATI Technologie)(2014-04-19 20:45:46) 0000000000400000

 

Folder został wygenerowany świeżo i w tym samym czasie co "PlagueInc 1.0" (ten folder ma zresztą same puste wpisy). Materiały dodatkowe:

- Skan z herdprotect.com wykazujący, że plik w tym dokładnie położeniu jest złośliwy: KLIK.

- Przypadki z innych forów, że wpis powoduje potworne obciążenie zasobów: KLIK / KLIK.

 

 

Poprawne procesy AMD to:

 

==================== Processes (Whitelisted) =================
 

(AMD) C:\Windows\system32\atiesrxx.exe

(AMD) C:\Windows\system32\atieclxx.exe
 

SRV:64bit: - [2012-07-28 04:09:44 | 000,239,616 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)

 

 

3. Dodatkowa uwaga. Na poprzednim forum zostało usunięte przy udziale OTL prawidłowe rozszerzenie Google Chrome i to na chama (ta metoda usuwania jest niepoprawna, to nie czyści pliku Preferences i zostawia rozszerzenie na liście "zainstalowanych"):

 

CHR - Extension: Ti\u00EBsto = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnmeobddjkkgkglnogihcaejaleikhdh\2_0\
 

All processes killed

========== OTL ==========

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnmeobddjkkgkglnogihcaejaleikhdh\2_0 folder moved successfully.

 

Podejrzewam, że się błędnie zasugerowano nazwą. Ti\u00EBsto = Tiësto. Plik Preferences Google Chrome zapisuje znaki Unicode w postaci kodów im odpowiadających. Tutaj jest kod \u00EB odpowiadający znakowi ë. OTL przedstawia to na żywca jak w pliku Preferences, natomiast FRST powinien pokazać nazwę wyświetlaną jaką widać w menedżerze rozszerzeń, bowiem FRST prowadzi konwersję kodów (co zresztą sama zgłosiłam).

 

 

 

---

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(ATI Technologies) C:\Users\User\AppData\Local\ATI Technologies\atiedxx.exe
HKU\S-1-5-21-3098141968-229038557-363801865-1000\...\Run: [AtiDriverStart] => C:\Users\User\AppData\Local\ATI Technologies\atidxx.exe [55296 2014-04-19] ()
HKU\S-1-5-21-3098141968-229038557-363801865-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\392817338.exe 
Task: {11E4BA1E-59F0-4A27-8223-0AE98A321B8E} - \{E7337222-747A-44CD-BA7E-BAF9F25E7E1D} No Task File 
Task: {18032311-6995-483F-8B85-E42550C5C93C} - \{0C64A4FC-0D46-4937-81B4-B71CBEDEB4FB} No Task File 
Task: {4CB7ED37-3D1C-42F2-93DC-00492ECFB055} - \{54EDE931-AB67-4F46-96AF-AC0B14CCD3B5} No Task File 
Task: {5B96CC2D-860C-409B-8168-63A7135398F8} - \{C45D4A54-9CA4-4FDE-A4BA-91382D5F0E37} No Task File 
Task: {869899EC-72B0-44A7-AF60-494016505014} - \{D81C0DEA-A951-4347-BEE1-AD6D7C2468C8} No Task File 
Task: {A6185F89-0E3D-43AA-A45D-3DEE116F8C21} - \{D8AF5BB8-CD94-4879-A10A-3E0AAE08E3A6} No Task File 
Task: {A8882957-A3F3-4746-9015-33DC352C7319} - \{080BCE72-370C-4326-8D70-A2BE76F0892E} No Task File 
Task: {B14D15C8-EACB-4ED1-9DDC-A026135E6CCE} - \{EF44F163-E82D-4809-AD16-FBF62EA82CA1} No Task File 
Task: {BFB8ABE8-351E-470E-8A9C-8415A0FBDEA6} - \{BCC3C208-398B-4B30-B999-DE781116554A} No Task File 
Task: {C74F3CB9-F7E7-4019-BA5A-935287EE3F17} - \{3AC2773F-78C0-497C-9B7C-7E3547A21A64} No Task File 
Task: {D49D3981-BB94-4E34-A3CB-39842AE21409} - \{C9082508-2C83-420D-B103-56E549FE6046} No Task File 
Task: {DA26440A-8572-4919-9B1E-88C69D5BE96A} - \{D34ABC04-B7FD-4309-ACA9-B325B7C6F4AC} No Task File 
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S3 XFDriver64; \??\D:\Program\Xfire2\XFDriver64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\18svema1.default\user.js
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
Folder: C:\Users\User\AppData\Local\ATI Technologies
C:\Users\User\AppData\Local\ATI Technologies
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0
Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BitGuard" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Configuration" /f
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: rd /s /q C:\_OTL
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót Internet Explorer został błędnie naprawiony (utrata specjalnego atrybutu), prawdopodobnie mieszał kiedyś używany AdwCleaner:

 

Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. W Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

- Zainstaluj ponownie rozszerzenie Tiësto.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz jakąś poprawę.

 

 

 

 

.

[CYgan125]

FPS już spada wielkie dzięki. To już koniec?

Fixlog.txt

FRST.txt

[picasso]

Wszystko pomyślnie wykonane (w tym Google Chrome wygląda już poprawnie), ale to jeszcze nie koniec działań.

 

1. Uruchom TFC - Temp Cleaner.

 

2. Usuń używane narzędzia za pomocą DelFix. Ręcznie dokasuj z Pobieranych plik 8f2u218c.exe (GMER) oraz Shortcut.txt.

 

3. Zrób pełny skan za pomocą Malwarebytes Anti-Malware. Jeśli coś zostanie wykryte, przedstaw raport.

 

 

 

.