mordulec194 Opublikowano 8 Stycznia 2011 Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 Witam. Chciał bym prosić o sprawdzenie logów. Uprzedzam że komputer jest ..jakby to powiedzieć..zawalony wirusami których nie mogę usunąć avastami, nodami i innymi komercyjnymi metodami. Aktualnie mam na komputerze zainstalowane i zaktualizowane 3 skanery: Malwarebytes' Anti-Malware, Ad-aware, Super Anti Spyware. Wczoraj usunąłem, znaczy podjąłem próbę usunięcia 45 wirusów wykrytych przez ten pierwszy ale wątpie żeby sobie z nimi poradził. Objawy które bardzo mnie irytują to min: wyłączenie Menadżera zadań (robi to jakiś autorun bo kilka sekund po włączeniu komputera i załadowaniu systemu można go uruchomić) oraz okrutne zamulenie łącza. Inną sprawą która mi aż tak nie wadzi jest np. wyskakujący komunikat o wyłączeniu przez administratora możliwości zmiany wpisów rejestru czy jakoś tak. Mam wrażenie że w tej mojej puszce zagnieździło się całe robactwo jakie kiedykolwiek stąpało po internecie. Wklejam logi z GMER'a i OTL'a. Combo fixa nie tykam po tym jak kiedyś usunął to czego nie powinien i winda nawet ruszyć nie chciała;) Dodam, że Nod32 nie wykrywał ani jednego najmniejszego trojana podczas gdy Malwarebytes' Anti-Malware doszukiwał się kilkunastu. Nie wiem czy jest sens instalowania z powrotem Noda i smart security? Oto logi OTL'a: OTL.Txt Extras.Txt oraz GMER: 8 styczeń 2011.txt Odnośnik do komentarza
Landuss Opublikowano 8 Stycznia 2011 Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 Sytuacja jest nieciekawa bowiem jest tu infekcja wirusem Sality, który zaraża wszystkie plik wykonywalne .exe na dysku twardym. Dowodem, że to Sality jest poniższa usługa w logu OTL: [color=#E56717]========== Driver Services (SafeList) ==========[/color] DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\fqjgln.sys -- (amsint32) Infekcja przeniesiona została przez media przenośne np. pendrive. Wstępnie spróbujemy to leczyć. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :Files autorun.inf /alldrives :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\jnirdupp.sys -- (jnirdupp) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\fqjgln.sys -- (amsint32) O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found O4 - HKU\S-1-5-21-1993962763-706699826-682003330-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Zastosuj szczepionkę SalityKiller: KLIK. 3. Napraw Tryb awaryjny za pomocą Sality_RegKeys.zip: KLIK 4. Wykonaj nowe logi z OTL + GMER oraz log z USBFix z opcji Listing. Daj też znać co pokazał SalityKiller. Odnośnik do komentarza
mordulec194 Opublikowano 8 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 A więc: -skrypt wykonałem -szczepionka chyba poprawnie się zainstallowała bo żadnych kritikal errorów nie było aczkolwiek sama się wyłączyła po mignięciu w oknie kilkunastu/kilkudziesięciu wierszy... -naprawa trybu awaryjnego... tu już jest problem wyskakuje error "edycja rejestru została wyłączona przez administratora sieci". Liczę że coś zdziałamy:) -następnego punktu nie robiłem bo uznałem za konieczne wcześniejszej naprawy trybu awaryjnego. Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2011 Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 -naprawa trybu awaryjnego... tu już jest problem wyskakuje error "edycja rejestru została wyłączona przez administratora sieci". Liczę że coś zdziałamy:) Problem w tym, że szczepionka SalityKiller sama usuwa tę blokadę. Obecność tego komunikatu po użyciu narzędzia to niedobra wróżba, wskazująca że niestety wirus nie został zatrzymany i ponownie wprowadził blokadę (a jej ręczne usuwanie mija się z celem, bo to natychmiast wróci przy czynnym wirusie). Skorzystaj ponownie z SalityKiller. Dopóki będzie notował jakiekolwiek zainfekowane pliki, sprawa jest zupełnie nierozwiązana i kieruje myśli na formatowanie dysku. Odnośnik do komentarza
mordulec194 Opublikowano 8 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 Okej chyba są postępy, mieanowicie: -uruchomiłem szczepionkę i tym razem się nie wyłączyła samoczynnie tylko skanowała cały dysk C wyświetlając wsztstkie pliki .exe z informacją że sa zakażone po czym się wyłączył. Ciekawą sprawa jest to że w trakcie działania szczepionki (skanowania) wirus się zawiesza i menadżer zadań zadziałał. Idąc tym tropem włączyłem jeszcze raz szczepionkę i w czasie gdy ona skanowała włączyłem to coś co miało naprawić tryb awaryjny i niby się udało. -nie bede lepiej anulował drugiego skanu SatilityKiller'em tylko poczekam i dam znać o wynikach bo nie jestem pewien czy po skanowaniu ??ona sama się automatycznie zamyka?? Edit, pytanie. Nie do końca chyba rozumiem działanie szczepionki. Ona ma usunąć tego wirusa, czy go zdezaktywować..jak to ma zadziałać? Przepraszam ale zawsze w takim przypadku, gdy coś się działo z komputerem, oddawałem go do informatyka który go czyścił i kasował 30zł więc postanowiłem wziąć się za to samemu. Odnośnik do komentarza
Landuss Opublikowano 8 Stycznia 2011 Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 Szczepionka ma wyleczyć zarażone pliki.exe o ile jest to możliwe. Przy czym nie jest powiedziane, ze to się powiedzie bo to trudna infekcja. Czekamy aż wykonasz dalsze punkty i wkleisz nowe wymagane logi abyśmy mogli przejść dalej i zobaczyć na czym stoimy. Odnośnik do komentarza
mordulec194 Opublikowano 8 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 SalityKiller usunął jeden plik lub coś w rejestrze (niestety nie wiem bo screen się nie zapisał). Wyświetliło chyba wszystkie .exe (o zgrozo) zarażone z dopiskiem ...cured co mnie bardzo cieszy. Menadżer zadań działa a wpisy w rejestrze też nie są już ograniczone przez "administratora". dodatkowo security check: Results of screen317's Security Check version 0.99.8 Windows XP Service Pack 3 Internet Explorer 6 Out of date! `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Ad-Aware Malwarebytes' Anti-Malware Java 6 Update 21 Out of date Java installed! Adobe Flash Player 10.1.53.64 Adobe Reader 7.0 Out of date Adobe Reader installed! Mozilla Firefox (3.5.16) Firefox Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent Ad-Aware AAWService.exe Ad-Aware AAWTray.exe ``````````End of Log```````````` 8sty2011.txt GMER log 8sty2011.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 8 Stycznia 2011 Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 Sytuacja uległa poprawie, ale jeszcze nie do końca bo wróciła infekcja z mediów przenośnych. Montuj kolejny skrypt do OTL: :Services amsint32 :Files C:\crln.exe autorun.inf /alldrives veorcb.exe /alldrives RECYCLER /alldrives jnsx.pif /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Wykonujesz to samo co poprzednio i wklejasz nowe logi z OTL i USBFix do oceny. Odnośnik do komentarza
mordulec194 Opublikowano 8 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2011 Wykonałem skrypt w OTL'u, oto log który pokazał się po restarcie komputera po zakończeniu wykonywania skryptu: log drugiego skryptu.txt SalityKiller wyleczył jeden plik zarażony wirusem. Uruchomiłem naprawianie trybu awaryjnego. Logi z OTL'a: OTL.Txt Extras.Txt Oraz USB Fix: 8sty2011 po2skrypcie.txt Odnośnik do komentarza
Landuss Opublikowano 9 Stycznia 2011 Zgłoś Udostępnij Opublikowano 9 Stycznia 2011 Sytuacja wygląda na opanowaną. Wykonaj poniższe czynności: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Junior\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL 3. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 "Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16) Szczegóły w tym temacie: INSTRUKCJE. Odnośnik do komentarza
mordulec194 Opublikowano 9 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2011 Zaktualizowałem wszytko. Wklejam loga z Security check'a: Results of screen317's Security Check version 0.99.8 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Ad-Aware Malwarebytes' Anti-Malware Java 6 Update 23 Adobe Flash Player 10.1.53.64 Adobe Reader X Mozilla Firefox (3.6.13) ```````````````````````````````` Process Check: objlist.exe by Laurent Ad-Aware AAWService.exe Ad-Aware AAWTray.exe ``````````End of Log```````````` No i moje uprzejme zapytanie odnośnie dalszych wirusów bo pewnie jakieś tam są. Sality usunięty ale co z resztą Trojanów itp? Odnośnik do komentarza
Landuss Opublikowano 9 Stycznia 2011 Zgłoś Udostępnij Opublikowano 9 Stycznia 2011 Nie ma żadnych trojanów. Przecież gdyby były to w logach byśmy to tak samo wychwycili. Temat uznaję za rozwiązany i zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi