Pitrunio Opublikowano 20 Października 2015 Zgłoś Udostępnij Opublikowano 20 Października 2015 Chciałbym prosić o pomoc związaną ze złośliwym oprogramowaniem na swoim komputerze. Od swojego dostawcy internetowego dostałem komunikat, że : " urządzenie automatycznej analizy ruchu sieciowego wykryło wysyłanie przez ciebie dużej ilości wiadomości email, najprawdopodobniej przez wirusa rozsyłającego spam. Proszę o przeskanowanie swojego komputera w poszukiwaniu wirusów, usunięcie ich, i dbanie o bezpieczenstwo swojego komputera. Proszę także upewnić się, ze programy pocztowe wysyłające emaile nie korzystają z portu 25 przy protokole SMTP." Przeskanowałem swój dysk systemowy za pomocą GMER i FRST, załączam protokoły: Z góry dziękuje Shortcut.txt Addition.txt FRST.txt gmer c.txt prescangmer.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Tak, system jest zainfekowany - figuruje tu szkodliwa usługa VSSS oraz wpis Load, są również odpadki adware. Dodatkowo, katastrofa w antywirusach, równolegle działają Avast i Panda. Podejrzewam też, że oba są zdefektowane na skutek działania punktowanej infekcji. Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Piotrek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [103389504 2015-06-23] (Microsoft Corporation) [brak podpisu cyfrowego] S2 WdsManPro; C:\ProgramData\DWdsManProD\WdsManPro.exe [451720 2015-09-11] (DTools LIMITED) S3 HH10Help.sys; \??\C:\Windows\system32\drivers\HH10Help.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msmunrq.exe HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Policies\Explorer: [] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\64fdhpj4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\64fdhpj4.default\extensions\deskCutv2@gmail.com => nie znaleziono C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi C:\Program Files\MY2AMKE2.exe C:\Program Files\XX9T1TH1.exe C:\ProgramData\msijtfivn.exe C:\ProgramData\msmunrq.exe C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Piotrek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Piotrek\AppData\Roaming\sweet-page C:\Windows\SysWOW64\MSIHANDLE CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systeu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Infekcja wyłączyła Przywracanie systemu. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C. Obrazki konfiguracji w przyklejonym: KLIK. 3. Przez Panel sterowania odinstaluj Adobe Reader XI (11.0.13) - Polish, Akamai NetSession Interface oraz antywirusy. Jeśli któryś z nich poprawnie działa, to zostaw ten konkretny. Jeśli oba nie działają, to oba. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Pitrunio Opublikowano 21 Października 2015 Autor Zgłoś Udostępnij Opublikowano 21 Października 2015 Dziękuje bardzo;) Już zrobiłem te 5 kroków a teraz załączam frst i fizlog FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Infekcja pomyślnie usunięta. Teraz już poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Piotrek\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Panda Security RemoveDirectory: C:\ProgramData\panda_url_filtering RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Panda Security RemoveDirectory: C:\Windows\system32\vbox RemoveDirectory: C:\Windows\SysWOW64\vbox CMD: del /q C:\Users\Piotrek\Downloads\5znyowp4.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny. Odnośnik do komentarza
Pitrunio Opublikowano 21 Października 2015 Autor Zgłoś Udostępnij Opublikowano 21 Października 2015 Jeszcze raz dziękuje Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2015 Zgłoś Udostępnij Opublikowano 22 Października 2015 (edytowane) Fix pomyślnie wykonany. Teraz uruchom Hitman Pro, wykonaj skan, nic nie usuwaj jeszcze i dostarcz log wynikowy. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi