smod3r Opublikowano 28 Maja 2014 Zgłoś Udostępnij Opublikowano 28 Maja 2014 Witam, Przez moją głupotę wszedłem do wirasa przesłanego do mnie w wiadomości na facebooku. Teraz wirus jest rozsyłany do moich znajomych w wiadomościach. Przeskanowałem system programem AVG oraz Anti-Malware. Chcę mieć pewność czy to świństwo dalej jest na moim dysko czy udało mi się go pozbyć. Może pomocny będzie fakt, że po komendzie msconfig w oknie uruchamiane jest nieznany plik "AAAAA...." który nie zniknął po przeskanowaniu komputera. Posiadam64-bitowy system operacyjny. Przesyłam skany OTL, FRST oraz GMER: Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2014 Zgłoś Udostępnij Opublikowano 28 Maja 2014 Skan z GMER zrobiłeś w złych warunkach, przy czynnym emulatorze SPTD: KLIK. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381440 2014-03-03] (Duplex Secure Ltd.) U3 anvgoisi; C:\Windows\System32\Drivers\anvgoisi.sys [0 ] (Intel Corporation) Uwagi na temat używanych skanerów: - SpyHunter to wątpliwy program, który silnie się reklamuje, by go zainstalować, a po instalacji się okazuje, że usuwanie wyników jest płatne. - Spybot Search and Destroy to przestarzały program. - MBAM i Spybota pobierałeś z portali a nie stron domowych. Poniższe pliki to nie są instalatory zasadnicze. Czym to grozi: KLIK. C:\Users\Adaś\Downloads\Malwarebytes-AntiMalware(13117).exe C:\Users\Adaś\Downloads\Spybot-Search-Destroy(12546).exe Może pomocny będzie fakt, że po komendzie msconfig w oknie uruchamiane jest nieznany plik "AAAAA...." który nie zniknął po przeskanowaniu komputera. To nowa infekcja, co dopiero w innym temacie ją widziałam. Infekcja ładuje się via strumienie NTFS: ==================== Alternate Data Streams (whitelisted) ========= AlternateDataStreams: C:\Temp:list3 AlternateDataStreams: C:\Temp:pid1 AlternateDataStreams: C:\Temp:pid2 AlternateDataStreams: C:\Temp:rnd.dat Wyłączanie wpisu w msconfig nie powoduje jego usunięcia, tylko nieaktywność wpisu. Z tym, że tu jest dziwna sprawa, skan FRST nie wykazuje, by ten wpis był widoczny w msconfig: ==================== Disabled items from MSCONFIG ============== MSCONFIG\startupreg: 331BigDog => C:\Program Files (x86)\USB Camera\VM331STI.EXE Czy na pewno "AAAAA...." jest nadal widoczne w msconfig? I to "AAAAA...." to nie jedyny problem, jest tu także w starcie uruchamiany infekcyjny plik skryptu. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2066428769-1742790634-616578676-1000\...\Run: [zyrhxgyrtk] => wscript.exe //B "C:\Users\Adaś\AppData\Roaming\zyrhxgyrtk..vbs" Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF user.js: detected! => C:\Users\Adaś\AppData\Roaming\Mozilla\Firefox\Profiles\5j5b6fbs.default\user.js FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Temp C:\Program Files\Enigma Software Group C:\Program Files (x86)\AVG SafeGuard toolbar C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\WiseEnhance C:\ProgramData\AVG Security Toolbar C:\ProgramData\Spybot - Search & Destroy C:\Users\Adaś\AppData\Roaming\zyrhxgyrtk..vbs C:\Users\Adaś\AppData\Roaming\ESET C:\Users\Adaś\Downloads\Malwarebytes-AntiMalware(13117).exe C:\Users\Adaś\Downloads\Spybot-Search-Destroy(12546).exe C:\Users\Adaś\Downloads\SpyHunter-Installer.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\System32\Tasks\Safer-Networking Reg: reg query "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig" /s Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
smod3r Opublikowano 28 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2014 Wykonałem wszystkie czynności. Plik AAAA.. nadal występuje w msconfig. Wcześniej wszedłem przez komende regedit do rejestru i tam usunąłem ten wpis. Może przez to nie pokazuje go w skanie. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2014 Zgłoś Udostępnij Opublikowano 28 Maja 2014 Czy ustąpił problem z Facebook? Jeśli chodzi o wpis wyłączony w msconfig (czyli już nieczynny), to już wiem w czym problem. Ten wpis "AAAAA...." spowodował błąd skanu FRST i w logu Addition nie pokazał się ani ten wpis ani żaden kolejny po nim występujący. Zgłosiłam to autorowi. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. Wpis z msconfig powinien się ulotnić. 2. Mała drobnostka w Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń wszystkie wystąpienia adresu mysearch.avg.com oraz nadwyżkowe google (zostaw tylko jeden z adresów). 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
smod3r Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 Wirus już się nie rozsyła, ale wpis w msconfig pozostał. Dziwnie wygląda pole "polecenie" w tym wpisie, gdzie wszędzie jest ścieżka dostępu, to w "AAAA..." jest podana cyfra 1. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 Ja wiem jak ten wpis wygląda. Jeśli chodzi o jego usuwanie, to są tu jakieś cuda. Komenda Reg traktuje nazwę klucza jako nieprawidłową. Spróbuj innej metody: Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. . Odnośnik do komentarza
smod3r Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 Super, wpisu już nie ma Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 OK. Poproszę Cię jeszcze o przesłanie mi kopii rejestru z tym wpisem. Zapakuj do ZIP plik C:\FRST\Hives\SOFTWARE, shostuj gdzieś i podlinkuj. Odnośnik do komentarza
smod3r Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 Dziękuje za pomoc. Link do spakowanego SOFTWARE. Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 Dzięki za plik, link usuwam z posta. Faktycznie, oglądając kopię rejestru ten klucz w ogóle nie jest widoczny w regedit, info o nim pokazują inne narzędzia. I skończyliśmy z tym kluczem. Lecimy dalej: 1. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt. Po jego potwierdzeniu przejdź do: 2. Przez SHIFT+DEL (omija Kosz) usuń foldery: C:\ProgramData\Malwarebytes C:\ProgramData\Norton C:\Users\Adaś\Downloads\frst Popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Java i Internet Explorer: KLIK. Stan obecny: Internet Explorer Version 10 ==================== Installed Programs ====================== Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) Java SE Development Kit 7 Update 51 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0170510}) (Version: 1.7.0.510 - Oracle) . Odnośnik do komentarza
smod3r Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 Wykonałem wszystkie operacje. Przesyłam raport DelFix DelFix.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 OK, zadanie wykonane. Jeszcze dokasuj sobie ręcznie GMER. To tyle. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się