cichy04 Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Witam, Mój komputer został zainfekowany, poprzez pendrive mojej dziewczyny na którym był wirus, uruchomila ona skrót znajdujący się na tym pendrive. Objawami na komputerze są: powolne działanie systemu brak dostępu do usług sieciowych takich aplikacji jak Spotify, Firefox, Origin, Skype każdy nowo wlozony pendrive zostaje zainfekowany Mam to u siebie jak i na laptopie dziewczyny. Ponizej wrzucam logi z FRST i z GMER. Pozniej wrzuce logi z laptopa. Czytalem, ze jest to znana infekcja. Zwracam się do was o pomoc. Jeżeli będzie potrzeba jakichś dodatkowych logow to dajcie znac. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 W systemie dobrze widoczne obiekty czynnej infekcji. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [96755264 2015-06-27] (Microsoft Corporation) [File not signed] S3 ALSysIO; \??\C:\Users\Mateusz\AppData\Local\Temp\ALSysIO64.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKLM\...\Policies\Explorer\Run: [1597511312] => C:\ProgramData\msrbfyc.exe [84144128 2014-10-29] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-665916194-2271293263-4112161340-1001\...\Policies\Explorer: [NofolderOptions] 0 HKU\S-1-5-21-665916194-2271293263-4112161340-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Mateusz\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.) Task: {DC8CD785-087C-4EED-B279-6904DE65D9F3} - \Program aktualizacji online firmy Adobe. No Task File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKU\S-1-5-21-665916194-2271293263-4112161340-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-665916194-2271293263-4112161340-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-665916194-2271293263-4112161340-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF SelectedSearchEngine: delta-homes FF Plugin-x32: adobe.com/AdobeExManDetect -> D:\Program Files\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File C:\Program Files\*.exe C:\ProgramData\msrbfyc.exe C:\Users\Ewa\Desktop\rFactor2.lnk C:\Users\Ewa\Desktop\SopCast.lnk C:\Users\Mateusz\Desktop\rFactor2.lnk C:\Users\Mateusz\Desktop\SopCast.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Mateusz\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Acrobat Assistant 8.0" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Acrobat Speed Launcher" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Logitech . Rejestracja produktu.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeBridge /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKU\S-1-5-21-665916194-2271293263-4112161340-1001_Classes\CLSID\{0215A4C0-5431-4FD0-9B06-46589B5C4939}\InprocServer32 /s Reg: reg query HKU\S-1-5-21-665916194-2271293263-4112161340-1001_Classes\CLSID\{1E5724EA-3423-4BD3-ABD6-46E650D2DC66}\InprocServer32 /s CMD: type C:\Windows\System32\Tasks\Shutdown CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
cichy04 Opublikowano 15 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Przesylam logi z laptopa dziewczyny Mam jeszcze pytanko: Co najmniej 3 pendrivy sa zainfekowane tym wirusem. W jaki sposób go z nich usunąć i czy zrobić to przed usunieciem infekcji z PC czy po? Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2015 Zgłoś Udostępnij Opublikowano 16 Lipca 2015 cichy04, najpierw skończymy poprzedni komputer. Dostarcz logi, o które prosiłam, z poprzedniego komputera, bo na razie to żadnego potwierdzenia, że usuwanie się udało. Dopiero gdy skończymy z nim, zajmę się pozostałymi wątkami. PS. I po raz drugi wstawiasz tu plik OTL Extras. Przestarzały OTL nie jest tu brany pod uwagę. Log po raz kolejny usuwam. Odnośnik do komentarza
cichy04 Opublikowano 16 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Dostarczam logi: Firefox zaczął działać. Spotify także. Fixlog.txt FRST.txt Odnośnik do komentarza
cichy04 Opublikowano 19 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2015 Mógłby ktoś przejrzeć moje logi po usuwaniu wirusa?? Odnośnik do komentarza
cichy04 Opublikowano 26 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Czy ktoś mógłby pomóc mi dokończyć usuwanie tego wirusa?? Minął tydzień i żadnej odpowiedzi... Odnośnik do komentarza
jessica Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Niestety, @Picasso jest długotrwale chora, pomaga na forum tylko co kilka tygodni, więc tematy ciągną się po kilka miesięcy. Ja tu nie pomogę, bo w temacie są logi z różnych komputerów - tylko @Picasso może się w tym połapać. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi