prwojt Opublikowano 28 Września 2014 Zgłoś Udostępnij Opublikowano 28 Września 2014 Witam, Od kilku dni zmagam się z infekcją komputera, zaczęło się od wirusa TR/Crypt.ZPACK.94577, którego wykrył program Avira Free Antivirus. Następnie zaczeło wyskakiwać coraz więcej powiadomień z Aviry o kolejnych trojanach gdyby to było przydatne dokładną histroię detekcji z Aviry wklejam w dodatkowym załączniku (AVIRAquarantaene). Następnie zaczeły wyskakiwać błędy przy uruchomieniu systemu i w autostarcie zaczeły pojawiać się podjerzane procesy - min: YtjcPack, Vinyudotnidi, answworks. Próbowałem je usuwać własnymi siłami min z rejestru (regedit) metodą chałupniczą po prostu znajdowałem te lokalizacje gdzie były te procesy i usuwałem daną ścieżkę (mea culpa). Po dniu przerwy jednak problem cyklicznie powracał, gdy występowały niechciane procesy to odnotwałem większe obciążenie Procesora CPU w menadżeże zadań. Używałem też programu, który kiedyś był polecany na forum - Malwareantybites (versja 2.0.2.1012 z najnowszym update) oraz innych jak TDSsKiller (źródło kaspersky.com), RougeKillerx64 (źródło: adlice.com), Adw Cleaner (wydawca: Bleeping Computer, wersja pliku 3.3.1.0, wersja produktu 3.3.8.1.) Obecnie widocznych objawów - autostart w "Informacjach o systemie" oraz "Narzędzia Administracyjne/Konfiguracja Systemu" jest czysty, obciążenie Procesora CPU czy wyskakujących okienek po uruchomieniu systemu nie ma, natomiast chyba jeszcze nie do końca udało się usunąć wirusa w związku z tym uprzejmie proszę o pomoc w usunięciu wirusów. Załączam logi w załącznikach. Pozdrawiam, P Addition.txt FRST.txt Shortcut.txt OTL.Txt Extras.Txt GMER_LOG_28.09.2014.txt AVIRAquarantaene.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 W systemie działa infekcja Sathurbot ładowana metodą ShellIconOverlayIdentifiers, Avira nie potrafi tego w pełni wykryć ani usunąć. Ponadto, w Firefox jest podejrzane rozszerzenie DynamicRenderer Class o unikatowym GUID (jedyny wynik na Google to Twój temat) i będę sprawdzać to dokładniej. Uwaga na przyszłość: używałeś wątpliwy skaner SpyHunter, z daleka od niego. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Policies\Explorer: [Run] "C:\Users\Pozioma\AppData\Roaming\Microsoft\Windows\IEUpdate\netbtugc.exe" ShellIconOverlayIdentifiers: 1SecureIconsProvider -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Program Files\Enigma Software Group C:\ProgramData\Microsoft\Secure C:\ProgramData\Windows Genuine Advantage C:\Users\Pozioma\AppData\Local\YtjcPack C:\Users\Pozioma\AppData\Roaming\Qoviys C:\Users\Pozioma\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Pozioma\Downloads\iexplorer.exe.exe C:\Users\Pozioma\Downloads\SpyHunter-installer.exe C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP C:\Windows\system32\Drivers\TrueSight.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\Users\Pozioma\AppData\Roaming\Mozilla\Firefox\Profiles\pfijyol4.default\Extensions\{99E3C1FC-AEB7-077F-6DEF-7629C05B0AA5}\install.rdf CMD: type C:\Users\Pozioma\AppData\Roaming\Mozilla\Firefox\Profiles\pfijyol4.default\searchplugins\avira-safesearch.xml CMD: type C:\Users\Pozioma\AppData\Roaming\Mozilla\Firefox\Profiles\pfijyol4.default\searchplugins\search.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). . Odnośnik do komentarza
prwojt Opublikowano 29 Września 2014 Autor Zgłoś Udostępnij Opublikowano 29 Września 2014 Przesyłam logi w załączniku. Niestety to jakaś bestia i wirus pozostał w systemie widzę, że plik - C:\Users\Pozioma\AppData\Roaming\Feviewo\beoklay.exe jest w języku rosyjskim napisany, staram się nie używać póki co internetu i korzystam tylko żeby przeczytać czy jest odpowiedź na forum. Proszę o dalszą pomoc w zwalczaniu infekcji. Pozdrawiam, P. Fixlog.txt FRST.txt AdwCleanerLOG_23.09.2014.txt QuarantineADWCleaner.txt AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerS0.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 Owszem, nowe obiekty są w logu, ale one powstały zanim przeprowadziłeś usuwanie FRST, więc pewnie zostały dociągnięte przez aktywną infekcję w tle. Zadawałam do usuwania tylko to co było widać w poprzednim logu. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [Giyqsagy] => C:\Users\Pozioma\AppData\Roaming\Feviewo\beoklay.exe [311404 2014-08-28] (ON Technology Corp) HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [YkzjPack] => C:\Users\Pozioma\AppData\Local\YkzjPack\tmpD829.exe [110592 2014-09-29] (Copyright © 1996-2013 VideoLAN and VLC Authors) HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [YtjcPack] => regsvr32.exe HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [Answworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pozioma\AppData\Local\YkzjPack\tsUtilServices.dll FF Extension: DynamicRenderer Class - C:\Users\Pozioma\AppData\Roaming\Mozilla\Firefox\Profiles\pfijyol4.default\Extensions\{99E3C1FC-AEB7-077F-6DEF-7629C05B0AA5} [2014-09-20] C:\Users\Pozioma\AppData\Local\YkzjPack C:\Users\Pozioma\AppData\Roaming\Feviewo C:\Windows\Tasks\Security Center Update - *.job C:\Windows\System32\Tasks\Security Center Update - * HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\74502215.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\74502215.sys => ""="Driver" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Prewencyjnie kompleksowo wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Avira Browser Safety i FireFTP będą do reinstalacji. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, gdyż na bank są szkodniki także w Harmonogramie zadań (ruszyłam to tylko częściowo powyższym skryptem). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
prwojt Opublikowano 30 Września 2014 Autor Zgłoś Udostępnij Opublikowano 30 Września 2014 Przeszedłem wszystkie kroki i wygląda że jest już dobrze, w załączeniu przesyłam logi z prośbą o sprawdzenie. Pozdrawiam, P Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2014 Zgłoś Udostępnij Opublikowano 1 Października 2014 Chyba antywirus coś grzebał, gdyż FRST przetwarzając skrypt nie wszystko znalazł, ponadto jeszcze jeden wpis został przemigrowany via msconfig. Nowy log nie pokazuje już nic podejrzanego. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Giyqsagy RemoveDirectory: C:\Users\Pozioma\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W systemie jest zainstalowany Malwarebytes Anti-Malware. Upewnij się, że baza jest zaktualizowana i wykonaj jeszcze dodatkowy skan. Gdyby coś zostało wykryte, przedstaw raport. . Odnośnik do komentarza
prwojt Opublikowano 1 Października 2014 Autor Zgłoś Udostępnij Opublikowano 1 Października 2014 Wykonałem skrypt fixlist.txt, Malwarebytes nic nie wykrył. Dziękuję za pomoc. Pozdrawiam, P Odnośnik do komentarza
picasso Opublikowano 2 Października 2014 Zgłoś Udostępnij Opublikowano 2 Października 2014 Nie pokazałeś wynikowego fixlog.txt. Zakładam, że wszystko w środku było oznaczone jako przetworzone. Końcowe kroki: 1. Usuń D:\LOGI\FRST. Zastosuj też DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starą wtyczkę dla IE: Adobe Flash Player 11 ActiveX. . Odnośnik do komentarza
prwojt Opublikowano 8 Października 2014 Autor Zgłoś Udostępnij Opublikowano 8 Października 2014 Wszystko zroobione zgodnie z instrukcją. Jeszcze raz dziękuję za pomoc i pozdrawiam, P Odnośnik do komentarza
Rekomendowane odpowiedzi