zelgawis2 Opublikowano 11 Września 2014 Zgłoś Udostępnij Opublikowano 11 Września 2014 Witam W menedzerze zadan niektóre procesy mają spację przed rozszerzeniem .exe przykład na screenie "DLMSession .exe"(screen: http://screenshooter.net/2984020/dabmsam ). Wsród nich były takie programy jak Spotify, Chrome czy uTorrent, które wczesniej spacji nie posiadały. Podejrzewam że to są zawirusowane pliki. na pulpicie ikonki właśnie Spotify, chrome czy uTorrent są bardzo dziwne, a dwuklik na nie nie powoduje włączenia aplikacji(screen: http://screenshooter.net/2984020/owrljwj). W prawym dolnynm rogu na pasku zadan widnieje bardzo dzwina ikonka a'la Inernet Explorer - (http://screenshooter.net/2984020/irfskmx), po najechaniu myszką pokazuje nazwę "SearchProtect". Ten program znajduje się w folderze SupTab - próbowałem go usunąć, ale się nie da z powodu odmowy dostępu. Co jakiś czas sama włącza się przeglądarka Internet Explorer, której nie widać "na monitorze" - działa jakby w tle, ale słychać w głośnikach "kliknięcia" przechodzenia na inne strony, a w menedzerze zadan pojawiają się 3 procesy iexplore.exe... ponadto pojawiają się dziwne procesów po starcie systemu typu a213gh31251.exe. Skanu OTLem nie udało mi się zrobić, ponieważ skanowanie się zacina w momencie pokazanym na screenie: http://screenshooter.net/2984020/qstbdyi . Czekałem ponad 30 minut i nic się nie ruszyło.. Chyba, że mam zaczekać dłużej? Próba wykonania skana za pomocą GMER dwukrotnie się nie udała, ponieważ po jakimś czascie(prawie godzinie) gmer się wyłącza sam z siebie - wtedy też pojawia się dźwięk "klikania" na IE i pojawiają się procesy iexplore.exe i jeden jakiś dziwny, którego nazwy niestety nie zapamiętałem, zaczynała się na e, coś w stylu: "elo1gnb.exe" znalazłem ten program, który się pojawiał na liście procesów zaraz po wyłączaniu się GMERa. Ma taką samą ikonę co Chrome, Spotify i uTorrent: http://screenshooter.net/2984020/coiqaxt Jedyne co udało mi się wykonać przez prawie 3h to skany z FRST, które zamieszczam w załączniku. Z góry dziękuję za pomoc. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2014 Zgłoś Udostępnij Opublikowano 11 Września 2014 W menedzerze zadan niektóre procesy mają spację przed rozszerzeniem .exe przykład na screenie "DLMSession .exe" To infekcja plików wykonywalnych, wszystkich które uruchamiają się w starcie. Ponadto w systemie działa adware. Wstępnie: przejdź w Tryb awaryjny Windows i uruchom ComboFix. Dostarcz wynikowy log. . Odnośnik do komentarza
zelgawis2 Opublikowano 11 Września 2014 Autor Zgłoś Udostępnij Opublikowano 11 Września 2014 Wziąłem się za robotę zaraz po przeczytaniu Twojego posta, czyli 3h temu. Niestety nie udało mi się wygenerować logu z ComboFix.. Za pierwszym razem po przeskanowaniu(50 etapów) zaczęły się w konsoli pojawiać komunikaty o usnięciu danych plików(było ich kilkadziesiąt) oraz następnie o usunięciu kilku folderów i... cisza. ComboFix jakby stanął w miejscu(kiedyś już go używałem i wszystko przebiegało płynnie, max kilka minut między poszczególnymi etapami trzeba było czekać) - wyszedłem więc do sklepu, a kiedy wróciłem po godzinie comboFix wciąż był na tym samym etapie, czyli pokazane były komunikaty o tym co zostało usnięte i nic dalej się nie działo. (W C:\Qoobox\Quarantine mam te pliki, które były pokazane w konsoli jako usunięte ) Włączyłem więc ponownie tryb awaryjny windows i uruchomiłem ComboFix - znów nie udało mi się uzyskać logów.. CF przeszedł przez 50 etapów skanowania(przez jakieś 20-25 min), a następnie przez ponad godzinę nic się nie działo, znów stanął w miejscu(tym razem nieco wcześniej niż za 1 razem) - straciłem cierpliwość Tereaz uruchomiłem system normalnie i w menedżerze zadań znów widziałem proces uTorrent .exe Edit: Zaraz po napisaniu tego posta wyskoczyło mi okieno z InternetExplorer z jakąś dziwną stroną i pop-upami w stylu "wygrałeś iphone 5". proces elo1gnb znów się pojawił http://screenshooter.net/2984020/qsyetwi Odnośnik do komentarza
picasso Opublikowano 11 Września 2014 Zgłoś Udostępnij Opublikowano 11 Września 2014 Poproszę o nowy zestaw raportów z FRST. Spróbuj też ponowić skan GMER. Wszystkie raporty zrób z poziomu Trybu awaryjnego Windows. Odnośnik do komentarza
zelgawis2 Opublikowano 12 Września 2014 Autor Zgłoś Udostępnij Opublikowano 12 Września 2014 skanowanie w GMER włączyłem wczoraj na normalnym trybie jeszcze przed pojawieniem się Twojego posta - nie chciałem zaczynać od nowa z racji, że strasznie długo się to robi. skan z FRST już w trybie awaryjnym przeprowadziłem. logi w załącznikach. Shortcut.txt FRST.txt Addition.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2014 Zgłoś Udostępnij Opublikowano 13 Września 2014 Wygląda na to, że ComboFix wywalił ze startu wszystkie zainfekowane pliki poprawnych aplikacji, gdyż obecnie prawie żaden wpis nie ma wykrytego pliku na dysku. W związku z tym usunę za pomocą FRST całe klucze Run oraz adware, ale to nie załatwi sprawy infekcji do końca, należy potem zrobić pełny skan antywirusowy i wyrzucić wszystkie zainfekowane pliki, a poszkodowane aplikacje przeinstalować. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-06] (globalUpdate) [File not signed] S2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [715656 2014-09-02] (Cherished Technololgy LIMITED) S2 Update innoApp; "C:\Program Files\innoApp\updateinnoApp.exe" [X] S2 Util innoApp; "C:\Program Files\innoApp\bin\utilinnoApp.exe" [X] R1 {3c3ae2b4-4a36-40c4-a356-ffc1820b7ece}t; C:\WINDOWS\System32\drivers\{3c3ae2b4-4a36-40c4-a356-ffc1820b7ece}t.sys [55096 2014-09-06] (StdLib) S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [X] HKLM\...99B7938DA9E4}\LocalServer32: [Default-wmiprvse] Task: C:\WINDOWS\Tasks\af2b85a3-771c-43ef-84ac-f4e258b85f62-1.job => C:\Program Files\TheHDvid-Codec V10\TheHDvid-Codec V10-codedownloader.exe Task: C:\WINDOWS\Tasks\af2b85a3-771c-43ef-84ac-f4e258b85f62-11.job => C:\Program Files\TheHDvid-Codec V10\af2b85a3-771c-43ef-84ac-f4e258b85f62-11.exe Task: C:\WINDOWS\Tasks\af2b85a3-771c-43ef-84ac-f4e258b85f62-2.job => C:\Program Files\TheHDvid-Codec V10\af2b85a3-771c-43ef-84ac-f4e258b85f62-2.exe Task: C:\WINDOWS\Tasks\af2b85a3-771c-43ef-84ac-f4e258b85f62-5.job => C:\Program Files\TheHDvid-Codec V10\af2b85a3-771c-43ef-84ac-f4e258b85f62-5.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409657388&from=ild&uid=ST3160815AS_6RX7VYXG&q={searchTerms} BHO: TheHDvid-Codec V10 -> {11111111-1111-1111-1111-110611331115} -> C:\Program Files\TheHDvid-Codec V10\TheHDvid-Codec V10-bho.dll (home) CHR HKLM\...\Chrome\Extension: [fohlobpjdcjjcnpdpfjcdfofgkoaemjc] - C:\Documents and Settings\Administrator\Dane aplikacji\Chrome_manager\src.crx [2012-09-11] CHR HKLM\...\Chrome\Extension: [gbdabnfmdemcjjadpkpjibhhacggangd] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx [2012-09-11] CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2012-09-11] CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-02] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" ShortcutWithArgument: C:\Documents and Settings\Administrator\Pulpit\Nieużywane skróty pulpitu\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.22apple.com/?utm_source=b&utm_medium=bnl&ref=bnl&uid=ST3160815AS_6RX7VYXG®=1363115145 C:\feeddl.dat C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Dane aplikacji\support@mozilla.com C:\Documents and Settings\Administrator\Dane aplikacji\VOPackage C:\Documents and Settings\Administrator\Dane aplikacji\uTorrent\uTorrent*.exe C:\Documents and Settings\Administrator\Menu Start\Programy\LSHunter.TV C:\Documents and Settings\Administrator\Menu Start\Programy\VOPackage C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\TheFreeHD-Sport TV V10 C:\Documents and Settings\All Users\Dane aplikacji\*.dat C:\Documents and Settings\All Users\Dane aplikacji\eSafe C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Program Files\globalUpdate C:\Program Files\innoApp C:\Program Files\LSHunter.TV C:\Program Files\Mozilla Firefox C:\Program Files\predm C:\Program Files\sizlsearch C:\Program Files\TheHDvid-Codec V10 C:\Program Files\QuickTime\qttask*.exe c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\{3c3ae2b4-4a36-40c4-a356-ffc1820b7ece}t.sys C:\Windows\Tasks\*.job Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TheHDvid-Codec V10" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper (fałszywka od adware DealPly) > Dalej. 3. W Google Chrome w Rozszerzeniach odmontuj adware Quick start. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
zelgawis2 Opublikowano 13 Września 2014 Autor Zgłoś Udostępnij Opublikowano 13 Września 2014 W google chrome nie znalazłem rozszerzenia Quick Start. Reszta zrobiona. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2014 Zgłoś Udostępnij Opublikowano 15 Września 2014 Zadania w większości wykonane. Przed uruchomieniem ogólnych skanów dodatkowe czynności: 1. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log. 2. Otwórz Notatnik i wklej w nim: Reg: req query HKLM\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} /s HKLM\...\Run: [] => [X] RemoveDirectory: C:\Documents and Settings\Administrator\Dane aplikacji\Chrome_manager DeleteQuarantine: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, czekaj cierpliwie do komunikatu końcowego. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
zelgawis2 Opublikowano 15 Września 2014 Autor Zgłoś Udostępnij Opublikowano 15 Września 2014 Wszystko zrobiłem, dołączam logi. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2014 Zgłoś Udostępnij Opublikowano 15 Września 2014 ComboFix na pewno się odinstalował? Fixlog kończy się na tej komendzie, brak znacznika EOF. Ponadto, są ślady uszkodzenia Zmiennych środowiskowych: ========= req query HKLM\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} /s ========= Nazwa 'req' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy. Poproszę o nowe dane. Otwórz Notatnik i wklej w nim: CMD: C:\Windows\system32\reg.exe query HKLM\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} /s CMD: SET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. . Odnośnik do komentarza
zelgawis2 Opublikowano 15 Września 2014 Autor Zgłoś Udostępnij Opublikowano 15 Września 2014 Jak poprzednio kilkałem "Fix" to pojawiło mi się okienko odinstalowywania ComboFixa i pod koniec wyskoczyło okienko że odinstalowano pomyślnie, kliknąłem "OK" i tyle. Jak sprawdzić czy CF został całkowicie odinstalowany? na pulpicie już go nie ma, a folder na dysku C wygląda tak: http://screenshooter.net/2984020/ifgaqco fixlog taki już był, nie wiem dlaczego jest ucięty - nic nie dotykałem tylko do razu wrzuciłem na forum. W załączniku kolejny. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2014 Zgłoś Udostępnij Opublikowano 17 Września 2014 Tylko pytałam, sądzę że ComboFix jest odinstalowany w sposób dostateczny, a odpadkowy folder ręcznie skasuj przez SHIFT+DEL (omija Kosz). Zmienne niby wyglądają poprawnie. Na razie to zostawiam, może potem zalecę i tak ich nadpisanie. Przejdź do dalszych czynności, bo sprawa infekcji nie jest rozwiązana do końca: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool. Domyślnie program wykonuje skan ekspresowy, w opcjach zaznacz skan całego dysku. Jeśli jakieś infekcje zostaną znalezione, przeklej wyniki do oceny. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się