Komputer rozsyła spam

[harvey]

Dzień dobry. Mój komputer rozsyła od jakiegoś czasu spam. Ściągnąłem GMER i FRST. W GMERZE nie mogę zrobić pełnego skanowania(nie mogę zaptaszkować pól od System do Biblioteki. Logi z FRST są. Proszę o pomoc.

Addition.txt

FRST.txt

preskan gmer (2).txt

Shortcut.txt

[picasso]

W systemie grasuje rootkit Necurs. Necurs zablokował GMER oraz poprawne sterowniki Windows - są fałszywie prezentowane z opisem [brak podpisu cyfrowego]. Akcja nadrzędna to usunięcie tej infekcji, potem można dopiero wdrożyć inne czynności. Wstępnie:

 

1. Uruchom Kaspersky TDSSKiller. Dla wyników 1301f4866d62cbe2 + syshost32 opisanych jako Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz log utworzony przez TDSSKiller.

[harvey]

Tdsskiller nie utworzył żadnego pliku tekstwoego, niemniej jednak skopiowałem to z okna report i wkleiłem do notatnika.

FRST.txt

tdsskiller.txt

[picasso]

Ten skopiowany raport nie odpowiada operacji usuwania. Na dysku C:\ powinny być wszystkie raporty TDSSKiller.

[harvey]

Faktycznie, są. Przepraszam najmocniej.

TDSSKiller.3.1.0.5_17.10.2015_16.36.37_log.txt

TDSSKiller.3.1.0.5_17.10.2015_16.59.23_log.txt

[picasso]

Rootkit pomyślnie usunięty. Teraz możemy się zabrać za wyłączenie "Trybu testu" wprowadzonego przez Necurs oraz "kosmetykę" (stare programy, odpadki, wpisy puste). Akcja:

 

1. Deinstalacje:

- Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 18 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Reader XI (11.0.12) - Polish, Akamai NetSession Interface, GeekBuddy, McAfee Security Scan Plus, Panda Security Toolbar.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. Takie wpisy są dwa, czyli dwa razy narzędzie uruchamiasz.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika 
HKU\S-1-5-21-3933479072-2540534226-446759770-1000\...\Policies\Explorer: []
Task: {88BE9984-E976-4B91-895E-B198D85C98DF} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3933479072-2540534226-446759770-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {8CD45570-DF1F-43D3-9B7F-2900D117FE91} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {B5E1CEC7-9748-42C7-8186-6A45A5194BD1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {E72EF9C9-1C76-48E7-BB64-CEC82256C6EE} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisE510.exe 
Task: {F941B106-96D6-45D6-BB6A-D8569A48C509} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3933479072-2540534226-446759770-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141031
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141031
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://pl.yahoo.com?fr=fp-comodo
SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe => Brak pliku
C:\Program Files (x86)\Google
C:\ProgramData\AVAST Software
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\T-Mobile Ekstraklasa Update
C:\Users\Admin\AppData\Local\Google
C:\Windows\Installer\{0334BD8A-C205-F60B-F831-77B2D7FD5DB7}
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\system32\Drivers\ftuyzdin.sys
C:\Windows\system32\Drivers\jkthibwk.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.
• Menu Historia > Wyczyść historię przeglądania

4. W systemie są dwa konta:

 

==================== Konta użytkowników: =============================
 

Admin (S-1-5-21-3933479072-2540534226-446759770-1000 - Administrator - Enabled) => C:\Users\Admin

Piotr (S-1-5-21-3933479072-2540534226-446759770-1004 - Administrator - Enabled) => C:\Users\Piotr.Admin-Komputer.001

 

- Na koncie Admin (które właśnie obrabiamy) zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

- Jeśli Piotr to jakieś bezużyteczne konto, całkowicie usuń. Jeśli nie, potrzebne też logi z tego konta. W takiej sytuacji zaloguj się na nie przez pełny restart kompa (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut.

 

Dołącz też plik fixlog.txt.

[harvey]

Co do synchronizacji to nigdy jej nie włączałem i konta nie mam.

 

Konto Piotr bezużyteczne, usunąłem.

Fixlog.txt

FRST.txt

[picasso]

Tekst z synchronizacją był na wszelki wypadek, z raportu nie można rozpoznać czy ta funkcja jest włączona. Wszystko zgodnie z planem. FRST usunął sporo plików tymczasowych: 9.4 GB. Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\TDSSKiller_Quarantine
RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Piotr.Admin-Komputer.001
CMD: del /q C:\Users\Admin\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe
CMD: del /q C:\Users\Admin\Desktop\xgqjmcd9.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

 

2. Po wykonaniu powyższego uruchom Kaspersky Virus Removal Tool (KVRT). Wykonaj skan i dostarcz obrazki z wynikami, o ile coś zostanie wykryte.

[harvey]

Kaspersky niczego nie wykrył. Oto log z FRST

 

EDIT: Przepraszam, to znużenie.

Fixlog.txt

[picasso]

Plik fixlog.txt jest całkowicie pusty - nic nie zapisałeś w Notatniku... Powtarzaj zadanie podane wcześniej w punkcie 1.

[harvey]

Powinno już być dobrze teraz

Fixlog.txt

[picasso]

Tak, tym razem zadanie pomyślnie wykonane. Wygląda na to, że kończymy:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jeśli po użyciu DelFix nie zniknie folder Kasperskiego C:\KVRT_Data, dokasuj ręcznie.

 

2. Na wszelki wypadek zmień hasła logowania w serwisach online: bank, poczta, serwisy społecznościowe, etc.

[harvey]

Wspomniany folder usunąłem ręcznie. Pojawił mi się również nowy dysk - "Zastrzeżone przez system"

[picasso]

Ta partycja była już od momentu instalacji Windows 7, tylko nagle się odkryła. Może to Kaspersky ją tymczasowo podmontował do skanu. Początkowo w temacie ta partycja była ukryta - chodzi o tę 100MB:

 

==================== Dyski ================================
 

Drive c: () (Fixed) (Total:195.21 GB) (Free:30.64 GB) NTFS

Drive d: () (Fixed) (Total:736.2 GB) (Free:222.36 GB) NTFS
 

==================== MBR & Tablica partycji ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: C3FFC3FF)

Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=195.2 GB) - (Type=07 NTFS)

Partition 3: (Not Active) - (Size=736.2 GB) - (Type=07 NTFS)

 

Podobny wątek: KLIK. Postąp w identyczny sposób, tzn. usuń literę.

[harvey]

Ale operacja ta nie jest obligatoryjna, tak? Bo mi w sumie nie przeszkadza ten "nowy" dysk.

[picasso]

Ta partycja powinna być ukryta i niedostępna. Zadana operacja ma na celu przywrócić domyślne ustawienie systemu (zresztą widziane tu na początku w temacie). Proszę usuń literę wg wskazówek. Tu nie chodzi o usuwanie partycji tylko jej widoczności w Komputerze.

[harvey]

Mały szkopuł, wchodzę w diskmgmt.msc i niestety, ale ta partycja nie ma swojej litery, a mimo to jest widoczna dalej w Komputer.

[picasso]

Pokaż mi obrazek z diskmgmt.msc.

[harvey]

Uruchomiłem ponownie komputer i dysk jest już niewidoczny. A wyglądało to tak jak w załączniku.

[picasso]

W takim przypadku sądzę, że to była robota Kasperskiego i załapałeś się na moment, gdy partycja była tymczasowo podmontowana, a w późniejszym czasie została ponownie przez narzędzie zwolniona. Nie wiedzę innego wytłumaczenia dla samoistego przestawianie się widoczności.

[harvey]

Dziękuję zatem Pani bardzo za pomoc, tym bardziej, że groził mi ban na internet w akademiku.