sirtepek Opublikowano 28 Czerwca 2015 Zgłoś Udostępnij Opublikowano 28 Czerwca 2015 Szacuneczek. Złapałem wirusa na pendrive który zainfekował mi pliki na mp4, komórce( nie mam zadnych plików na karcie pamięci, potworzyły się skróty, mam nadzieję że odzyskam owe pliki). Proszę o pomoc. Logi: [ w załacznikach ] Addition.txt FRST.txt gmer.txt Shortcut.txt UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Podany tu Fixlist miał błędy - "MD:" zamiast "CMD:", nic nie zostanie odkryte na urządzeniach. Usuwam ten post. Poprawiona wersja: 1. Odinstaluj program ze zintegrowanym adware: Ace Stream Media 2.2.2-next. 2. Zakładam, że dyski przenośne nadal są widoczne pod literami H i J. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\tomek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100476224 2015-06-23] (Microsoft Corporation) [File not signed] HKLM\...\Policies\Explorer\Run: [1577572935] => C:\ProgramData\msshb.exe [80441344 2010-11-21] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 BootExecute: autocheck autochk * sdnclean64.exe Task: {7143BDD8-9BE4-4FF8-94DD-D408E575D7C0} - System32\Tasks\AutoKMS => C:\windows\AutoKMS\AutoKMS.exe Task: C:\windows\Tasks\AutoKMS.job => C:\windows\AutoKMS\AutoKMS.exe C:\Program Files\*.exe C:\ProgramData\msshb.exe C:\Users\tomek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe H:\*.lnk J:\*.lnk CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h J:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wejdź na dyski H + J, powinny być widoczne foldery "bez nazwy" - przenieś dane z tych folderów poziom wyżej, po czym foldery te skasuj. 4. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Włącz Ochronę dla dysku C. 5. Mataczyłeś w msconfig, jest mnóstwo wyłączonych usług, część z nich nie powinna być wyłączona. W msconfig w karcie Usługi zaznacz z powrotem większość wpisów, te jednak możesz zostawić wyłączone: MSCONFIG\Services: Adobe LM Service => 3 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: Autodesk Content Service => 2 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: NvNetworkService => 2 MSCONFIG\Services: NvStreamSvc => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: ScrybeUpdater => 2 MSCONFIG\Services: ServiceLayer => 3 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: SpliCamService => 2 MSCONFIG\Services: Stereo Service => 2 MSCONFIG\Services: WMPNetworkSvc => 2 6. Na Pulpicie jest ukryty następujący "ruski" folder - czy jesteś świadomy jego obecności? 2015-06-06 00:14 - 2015-02-21 08:46 - 00000000 __SHD C:\Users\tomek\Desktop\Создаю свой сайт 7. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), USBFix z opcji Listing oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Odnośnik do komentarza
sirtepek Opublikowano 29 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 5. Mataczyłeś w msconfig, jest mnóstwo wyłączonych usług, część z nich nie powinna być wyłączona. W msconfig w karcie Usługi zaznacz z powrotem większość wpisów, te jednak możesz zostawić wyłączone: MSCONFIG\Services: Adobe LM Service => 3 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: Autodesk Content Service => 2 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: NvNetworkService => 2 MSCONFIG\Services: NvStreamSvc => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: ScrybeUpdater => 2 MSCONFIG\Services: ServiceLayer => 3 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: SpliCamService => 2 MSCONFIG\Services: Stereo Service => 2 MSCONFIG\Services: WMPNetworkSvc => 2 6. Na Pulpicie jest ukryty następujący "ruski" folder - czy jesteś świadomy jego obecności? 2015-06-06 00:14 - 2015-02-21 08:46 - 00000000 __SHD C:\Users\tomek\Desktop\Создаю свой сайт Ad.5 Grzebałem w msconfig, ponieważ Windows strasznie wolno się uruchamia i wyłączyłem usługi rekomendowane do wyłączenia przez pewne forum. Niektórych usług z Twojej listy nie mogę znależć w msconfig>Usługi. Zauważyłem że Malware Antybytes nie uruchamia się ze startem systemu mimo tego że jest włączona ta opcja. NIe chcę wszystkiego włącząć, ponieważ takie usługi jak Fax czy Pulpit Zdalny jest nie nie potrzebne. Jakie usługi mogę zostawić, a które wyłączyć ? Ad.6 Tak, jestem świadomy tego folderu, była tam stworzona rosyjska strona internetowa. Fixlog.txt FRST.txt FSS.txt UsbFix Listing 2 LUKASZ.txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2015 Zgłoś Udostępnij Opublikowano 29 Czerwca 2015 Ten Fix był uruchamiany dwa razy - czyżbyś przetwarzał ten ze skasowanego posta, który miał błędy? Zauważyłem że Malware Antybytes nie uruchamia się ze startem systemu mimo tego że jest włączona ta opcja. Wg raportów komponenty MBAM są aktywne: R2 MBAMScheduler; E:\Malwarebytes Anti-Malware\mbamscheduler.exe [1871160 2015-04-14] (Malwarebytes Corporation) R2 MBAMService; E:\Malwarebytes Anti-Malware\mbamservice.exe [1080120 2015-04-14] (Malwarebytes Corporation) R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25816 2015-04-14] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [136408 2015-06-29] (Malwarebytes Corporation) R3 MBAMWebAccessControl; C:\windows\system32\drivers\mwac.sys [63704 2015-04-14] (Malwarebytes Corporation) Jeśli nadal jest z nim problem, to go przeinstaluj, bo malware już zostało pomyślnie usunięte. Grzebałem w msconfig, ponieważ Windows strasznie wolno się uruchamia i wyłączyłem usługi rekomendowane do wyłączenia przez pewne forum. Czy na pewno po usunięciu malware nadal jest problem z wolnym startem? Niektórych usług z Twojej listy nie mogę znależć w msconfig>Usługi. Zrób nowy log FRST ale na innym ustawieniu pokazującym wszystkie usługi - tzn. odznacz pole Whitelist przy Services. Odnośnik do komentarza
sirtepek Opublikowano 30 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2015 Tak, fix był robiony 2x, za pierwszym wkleiłem kod z błędem, póżniej zrobiłem drugi raz z poprawionym skryptem. Z Malware jest już OK. W sumie to nie zauważyłem różnicy między startem Windowsa w czasie infekcji i po usunięciu infekcji. W skanowaniu w FRST zaznaczyłem w Whitelist: Registry, Drivers, Processes, Internet ( Services odznaczone), w Optional scan zaznaczone: Shortcut.txt, Addition.txt. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi