szymonek760 Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 Hej, mam wielki problem! Wirus Sality zaatakował mój PC, w tej chwili skanuje komputer różnymi programami i jednocześnie zrobiłem logi, proszę o pomoc! FRST: frst.txt http://pastebin.com/raw.php?i=D5jFuS4j Additional.txt http://pastebin.com/raw.php?i=6u9daV5C Shortucts.txt http://pastebin.com/raw.php?i=neFHszpW dalsze logi podam później, system teraz skanuje Kaspersky SalityKillerem, Dr.Web CureIT, OTL oraz GMER Odnośnik do komentarza
picasso Opublikowano 29 Maja 2014 Zgłoś Udostępnij Opublikowano 29 Maja 2014 szymonek760, od razu mówię, iż przy dużym zakresie infekcji (obecnie statystyki nieznane) najlepsze rozwiązanie to format, nawet jeśli infekcja zostanie pomyślnie powstrzymana. Sality to wirus plików wykonywalnych, pustoszy pliki Windows i programów na wszystkich dostępnych dyskach, a leczenie może skutkować trwałym uskodzeniem plików. Ilość napraw do wykonania po leczeniu infekcji może przekroczyć możliwości czasowe i techniczne oraz podważyć zasadność ciężkiej roboty. Ponadto, jest tu Windows w następującym stanie aktualizacji (a raczej ... bez aktualizacji): Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polish Internet Explorer Version 9 Na razie nie otrzymasz żadnych dodatkowych instrukcji, bo logi (w których zresztą nie widać elementów Sality) i skrypty tu nic nie pomogą, jest konieczny skan antywirusowy. Skanujesz obecnie SalityKiller i Dr. Web - ale dlaczego oba uruchomione równocześnie? nie utrudniaj im - więc czekam na wyniki. Skany mają być powtarzane tyle razy, aż otrzymasz zwroty "zero zainfekowanych". Dodatkowa uwaga, są aż trzy partycji, wszystkie muszą być przeskanowane: ==================== Drives ================================ Drive c: () (Fixed) (Total:48.83 GB) (Free:4.11 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (Szymon) (Fixed) (Total:86.39 GB) (Free:85.36 GB) NTFS Drive e: (Paulina) (Fixed) (Total:97.65 GB) (Free:46.37 GB) NTFS . Odnośnik do komentarza
szymonek760 Opublikowano 29 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2014 (edytowane) Infekcja została uruchomiona gdzieś tak o 13, bo zaczęły się alerty od windowsowego firewalla, od razu przeskanowałem zawirusowany plik na virustotal.com i rzeczywiście miał tą infekcje, SalityKiller wyleczył 15 zainfekowanych plików, a Dr.Web wykrył tylko sweetima, jeszcze raz skanuje SalityKillerem i czekam na wynik z GMER, w logach można zauważyć ślady ComboFixa, ale to nie ja uruchamiałem ComboFixa, tylko informatyk kiedyś pc naprawiał Logi z OTL: OTL.txt http://pastebin.com/raw.php?i=F7vB8CNC Extras.txt http://pastebin.com/raw.php?i=z4cdxTkg @Edit Wychodzi na to, że system bardzo szybko zacząłem ratować, i SalityKiller nie wykrywa żadnej infekcji, zero informacji o zaporze oraz żadne .exe nie tworzą się w katalogu temp :-D ! Ale na wszelki wypadek będę co jakiś czas monitorować PC. Czy coś mam jeszcze na wszelki wypadek zrobić? :-) Edytowane 29 Maja 2014 przez szymonek760 Odnośnik do komentarza
picasso Opublikowano 31 Maja 2014 Zgłoś Udostępnij Opublikowano 31 Maja 2014 Nadal brak GMER. Skoro zakres szkód wygląda na "minimalny", a sytuacja na opanowaną, to zajmę się usunięciem pozostałych śmieci / wpisów pustych i martwych skrótów programów: 1. Uruchom TFC - Temp Cleaner. 2. Jest tu zdefektowna niepoprawnie odinstalowana Panda Cloud Antivirus. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Panda Cloud Antivirus > Dalej. - Uruchom firmowy usuwacz Panda Cloud Antivirus Uninstaller. 3. Otwórz Notatnik i wklej w nim: AppInit_DLLs: ä¨ => ä¨ File Not Found Task: {23B44D02-EACC-4C70-8202-0DAA9B3E7AF9} - System32\Tasks\RegClean Pro => C:\Program Files\RegClean Pro\RegCleanPro.exe Task: {349672CB-7678-42A9-870B-7F696BF21E2A} - \BrowserDefendert No Task File Task: {48C9BEC1-9D68-45BD-9C88-8E1535B04201} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {9522F753-8D58-4CCD-9EE5-5CDEBBB2CB36} - System32\Tasks\EPUpdater => C:\Users\ADMINI~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe HKU\S-1-5-21-234371888-3948212710-2272451499-1000\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun HKU\S-1-5-21-234371888-3948212710-2272451499-1000\...\Run: [AQQ] => C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe HKU\S-1-5-21-234371888-3948212710-2272451499-1001\...\Run: [AQQ] => C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe Startup: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk GroupPolicyUsers\S-1-5-21-234371888-3948212710-2272451499-1006\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-234371888-3948212710-2272451499-1001\User: Group Policy restriction detected CHR Extension: (Free Lunch Design TB) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfkghimahkenmlpdjngbjnjcnijklbpi [2013-11-10] CHR HKLM\...\Chrome\Extension: [aicancafipiklohohmoognddncljhkio] - C:\Users\Administrator\AppData\Local\CRE\aicancafipiklohohmoognddncljhkio.crx [2013-11-10] CHR HKLM\...\Chrome\Extension: [jfkghimahkenmlpdjngbjnjcnijklbpi] - C:\Users\Administrator\AppData\Local\CRE\jfkghimahkenmlpdjngbjnjcnijklbpi.crx [2013-03-02] CHR HKCU\...\Chrome\Extension: [aicancafipiklohohmoognddncljhkio] - C:\Users\Administrator\AppData\Local\CRE\aicancafipiklohohmoognddncljhkio.crx [2013-03-02] CHR HKCU\...\Chrome\Extension: [jfkghimahkenmlpdjngbjnjcnijklbpi] - C:\Users\Administrator\AppData\Local\CRE\jfkghimahkenmlpdjngbjnjcnijklbpi.crx [2013-03-02] ProxyServer: 37.59.49.163:3128 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=120613_ctrl&babsrc=SP_ss&mntrId=407DC83A35C928B4 SearchScopes: HKCU - {7486E92E-F7B5-4751-887A-C9C3AFA785CB} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3282722&CUI=UN10528078262793127 FF Plugin: @videolan.org/vlc,version=2.0.2 - C:\Program Files\VideoLAN\VLC\npvlc.dll No File C:\Program Files\Mozilla Firefox\extensions FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 S3 catchme; \??\C:\Users\ADMINI~1\AppData\Local\Temp\catchme.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tlen.pl C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Exodus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BEST C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor C:\Users\Administrator\AppData\Local\CRE C:\Users\Administrator\AppData\Roaming\Systweak C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Internet Security.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Gadu-Gadu.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk C:\Users\Administrator\AppData\Local\GG\Application.old C:\Users\Paulina\Desktop\Miranda IM.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup C:\Users\Szymon\Links\SkyDrive.lnk C:\Users\Szymon\Desktop\AQQ.lnk C:\Users\Szymon\Desktop\Counter-Strike 1.6 LH 2012.lnk C:\Users\Szymon\Desktop\CyberGhost VPN.lnk C:\Users\Szymon\Desktop\Fraps.lnk C:\Users\Szymon\Desktop\Gadu-Gadu.lnk C:\Users\Szymon\Desktop\IVONA MiniReader.lnk C:\Users\Szymon\Desktop\IVONA Reader.lnk C:\Users\Szymon\Desktop\Miranda IM.lnk C:\Users\Szymon\Desktop\Mozilla Thunderbird.lnk C:\Users\Szymon\Desktop\muzo.lnk C:\Users\Szymon\Desktop\Portal 2.lnk C:\Users\Szymon\Desktop\Psi+.lnk C:\Users\Szymon\Desktop\SlimDrivers.lnk C:\Users\Szymon\Desktop\Virtual CloneDrive.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\AQQ.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fraps C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\SendTo\AQQ.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\SendTo\IVONA Reader.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Thunderbird.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom AQQ.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Fraps.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\VMware Player.lnk C:\Windows\PEV.exe C:\Windows\MBR.exe C:\Windows\sed.exe C:\Windows\grep.exe C:\Windows\zip.exe C:\Windows\System32\dmwu.exe C:\Windows\System32\ImHttpComm.dll C:\Windows\System32\drivers\sfi.dat RemoveDirectory: D:\Autorun.inf RemoveDirectory: E:\Autorun.inf Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia będą do deinstalacji. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Delta Search i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 7. Wygląda na to, że są tu aż trzy konta (Administrator, Paulina i Szymon). Logi bieżące zostały wykonane z poziomu Administrator. Loguj się na każde konto po kolei i na każdym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
szymonek760 Opublikowano 2 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2014 (edytowane) 1. Wykonano 2. Wykonano 3. http://pastebin.com/raw.php?i=erd1NMk6 4. Wykonano 5. Wykonano 6. http://pastebin.com/raw.php?i=a7PBVzMg 7. Niestety nie mam dostępu do kont Paulina oraz Szymon. Konto Paulina posiada hasło a konto Szymon nie istnieje (było usuwane) Edit: Zainstalowałem antywiurs avast i zero zagrożeń jak narazie. Edytowane 2 Czerwca 2014 przez szymonek760 Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się