Skocz do zawartości

Prośba o sprawdzenie logów


Rekomendowane odpowiedzi

Witam. Chciał bym prosić o sprawdzenie logów. Uprzedzam że komputer jest ..jakby to powiedzieć..zawalony wirusami których nie mogę usunąć avastami, nodami i innymi komercyjnymi metodami. Aktualnie mam na komputerze zainstalowane i zaktualizowane 3 skanery: Malwarebytes' Anti-Malware, Ad-aware, Super Anti Spyware. Wczoraj usunąłem, znaczy podjąłem próbę usunięcia 45 wirusów wykrytych przez ten pierwszy ale wątpie żeby sobie z nimi poradził. Objawy które bardzo mnie irytują to min: wyłączenie Menadżera zadań (robi to jakiś autorun bo kilka sekund po włączeniu komputera i załadowaniu systemu można go uruchomić) oraz okrutne zamulenie łącza. Inną sprawą która mi aż tak nie wadzi jest np. wyskakujący komunikat o wyłączeniu przez administratora możliwości zmiany wpisów rejestru czy jakoś tak. Mam wrażenie że w tej mojej puszce zagnieździło się całe robactwo jakie kiedykolwiek stąpało po internecie. Wklejam logi z GMER'a i OTL'a. Combo fixa nie tykam po tym jak kiedyś usunął to czego nie powinien i winda nawet ruszyć nie chciała;)

Dodam, że Nod32 nie wykrywał ani jednego najmniejszego trojana podczas gdy Malwarebytes' Anti-Malware doszukiwał się kilkunastu. Nie wiem czy jest sens instalowania z powrotem Noda i smart security?

 

Oto logi OTL'a:

OTL.Txt

Extras.Txt

oraz GMER:

8 styczeń 2011.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Sytuacja jest nieciekawa bowiem jest tu infekcja wirusem Sality, który zaraża wszystkie plik wykonywalne .exe na dysku twardym. Dowodem, że to Sality jest poniższa usługa w logu OTL:

 

[color=#E56717]========== Driver Services (SafeList) ==========[/color]

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\fqjgln.sys -- (amsint32)

 

Infekcja przeniesiona została przez media przenośne np. pendrive. Wstępnie spróbujemy to leczyć.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:Files
autorun.inf /alldrives
 
:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\jnirdupp.sys -- (jnirdupp)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\fqjgln.sys -- (amsint32)
O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found
O4 - HKU\S-1-5-21-1993962763-706699826-682003330-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Zastosuj szczepionkę SalityKiller: KLIK.

 

3. Napraw Tryb awaryjny za pomocą Sality_RegKeys.zip: KLIK

 

4. Wykonaj nowe logi z OTL + GMER oraz log z USBFix z opcji Listing. Daj też znać co pokazał SalityKiller.

 

 

 

Odnośnik do komentarza

A więc:

-skrypt wykonałem

-szczepionka chyba poprawnie się zainstallowała bo żadnych kritikal errorów nie było aczkolwiek sama się wyłączyła po mignięciu w oknie kilkunastu/kilkudziesięciu wierszy...

-naprawa trybu awaryjnego... tu już jest problem wyskakuje error "edycja rejestru została wyłączona przez administratora sieci". Liczę że coś zdziałamy:)

-następnego punktu nie robiłem bo uznałem za konieczne wcześniejszej naprawy trybu awaryjnego.

Odnośnik do komentarza
-naprawa trybu awaryjnego... tu już jest problem wyskakuje error "edycja rejestru została wyłączona przez administratora sieci". Liczę że coś zdziałamy:)

 

Problem w tym, że szczepionka SalityKiller sama usuwa tę blokadę. Obecność tego komunikatu po użyciu narzędzia to niedobra wróżba, wskazująca że niestety wirus nie został zatrzymany i ponownie wprowadził blokadę (a jej ręczne usuwanie mija się z celem, bo to natychmiast wróci przy czynnym wirusie). Skorzystaj ponownie z SalityKiller. Dopóki będzie notował jakiekolwiek zainfekowane pliki, sprawa jest zupełnie nierozwiązana i kieruje myśli na formatowanie dysku.

Odnośnik do komentarza

Okej chyba są postępy, mieanowicie:

-uruchomiłem szczepionkę i tym razem się nie wyłączyła samoczynnie tylko skanowała cały dysk C wyświetlając wsztstkie pliki .exe z informacją że sa zakażone po czym się wyłączył. Ciekawą sprawa jest to że w trakcie działania szczepionki (skanowania) wirus się zawiesza i menadżer zadań zadziałał. Idąc tym tropem włączyłem jeszcze raz szczepionkę i w czasie gdy ona skanowała włączyłem to coś co miało naprawić tryb awaryjny i niby się udało.

-nie bede lepiej anulował drugiego skanu SatilityKiller'em tylko poczekam i dam znać o wynikach bo nie jestem pewien czy po skanowaniu ??ona sama się automatycznie zamyka??

 

 

 

Edit, pytanie. Nie do końca chyba rozumiem działanie szczepionki. Ona ma usunąć tego wirusa, czy go zdezaktywować..jak to ma zadziałać? Przepraszam ale zawsze w takim przypadku, gdy coś się działo z komputerem, oddawałem go do informatyka który go czyścił i kasował 30zł więc postanowiłem wziąć się za to samemu.

Odnośnik do komentarza

SalityKiller usunął jeden plik lub coś w rejestrze (niestety nie wiem bo screen się nie zapisał). Wyświetliło chyba wszystkie .exe (o zgrozo) zarażone z dopiskiem ...cured co mnie bardzo cieszy. Menadżer zadań działa a wpisy w rejestrze też nie są już ograniczone przez "administratora".

 

 

dodatkowo security check:

Results of screen317's Security Check version 0.99.8

Windows XP Service Pack 3

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Ad-Aware

Malwarebytes' Anti-Malware

Java 6 Update 21

Out of date Java installed!

Adobe Flash Player 10.1.53.64

Adobe Reader 7.0

Out of date Adobe Reader installed!

Mozilla Firefox (3.5.16) Firefox Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Ad-Aware AAWService.exe

Ad-Aware AAWTray.exe

``````````End of Log````````````

8sty2011.txt

GMER log 8sty2011.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Sytuacja uległa poprawie, ale jeszcze nie do końca bo wróciła infekcja z mediów przenośnych. Montuj kolejny skrypt do OTL:

 

:Services
amsint32
 
:Files
C:\crln.exe
autorun.inf /alldrives
veorcb.exe /alldrives
RECYCLER /alldrives
jnsx.pif /alldrives
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptytemp]

 

Wykonujesz to samo co poprzednio i wklejasz nowe logi z OTL i USBFix do oceny.

 

 

 

Odnośnik do komentarza

Sytuacja wygląda na opanowaną. Wykonaj poniższe czynności:

 

1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Junior\Pulpit\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL

 

3. Wykonaj obowiązkowe aktualizacje:

 

Internet Explorer (Version = 6.0.2900.5512)

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21

"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0

"Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16)

Szczegóły w tym temacie: INSTRUKCJE.

 

 

Odnośnik do komentarza

Zaktualizowałem wszytko. Wklejam loga z Security check'a:

 

Results of screen317's Security Check version 0.99.8

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Ad-Aware

Malwarebytes' Anti-Malware

Java 6 Update 23

Adobe Flash Player 10.1.53.64

Adobe Reader X

Mozilla Firefox (3.6.13)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Ad-Aware AAWService.exe

Ad-Aware AAWTray.exe

``````````End of Log````````````

 

 

 

 

No i moje uprzejme zapytanie odnośnie dalszych wirusów bo pewnie jakieś tam są. Sality usunięty ale co z resztą Trojanów itp?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...