radziczka Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 Witam Mam jakies ustrojstwo na komputerze i co wiecej na pendrivie, pendrive dziala tylko na komputerze na ktorym jest juz wirus. Co wiecej po otworzeniu pendriva jest na nim "skrot do pendriva" w ktorym znajduja sie wlasciwe pliki i ukryty folder. Wirusa mam zarowno komputerze jak i pendrivie z ktorym combofix niestety nie dal sobie do konca rady. Pendrive jest zarazony i formatowanie niestety nie wiele zmienia przy kolejnym odpaleniu zarazony jest po raz kolejny. Gdzies mam skan z usb fix, poki co nie znalazlem, pozniej sprobuje wrzucic. Załączam log z FRST: załącznik Załączam log z gmera: (Gmer sie wysypal po godzinie skanowania;/) STARY log z combofixa (ciezkie dzialo): http://pastebin.com/2a0dyPSk Wlasnie robie skan z usb fix, powyzsze skany byly rowniez robione z wpietym pendrivem. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 Gdzies mam skan z usb fix, poki co nie znalazlem, pozniej sprobuje wrzucic. Poproszę jeszcze o świeży log USBFix z opcji Listing zrobiony przy podpiętym pendrive. Odnośnik do komentarza
radziczka Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 Skan z listing oraz full scan - USB fix UsbFix Listing 1 SZELMA-KOMPUTER.txt UsbFix Scan 2 SZELMA-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 W systemie działa infekcja Gamarue - wpis startowy kierujący do pliku msubmb.exe. Infekcja ta utworzyła na pendrive folder o nazwie "spacji" do którego przesunęła wszystkie dane, a następnie folder ukryła. Więcej na ten temat tu: KLIK. Czyli do wykonania będzie usunięcie wpis infekcji oraz odkrycie danych na pendrive. Przy okazji będą prowadzone akcje dodatkowe, takie jak usuwanie wpisów odpadkowych i pustych skrótów. Akcje do przeprowadzenia: 1. Deinstalacje: ----> Odinstaluj stare wersje i zbędniki: Adobe Flash Player 15 Plugin, Akamai NetSession Interface, Google Talk Plugin (już nie działa), Java 7 Update 51 (64-bit), Java 7 Update 60, Java 8 Update 45 (64-bit), Java 8 Update 45, Java SE Development Kit 7 Update 51 (64-bit), Mozilla Firefox 32.0.3 (x86 pl), OpenOffice.org 3.4.1, Opera Stable 22.0.1471.70, Secure Download Manager. Przy deinstalacji Firefox zaznacz usuwanie profilu. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy po odinstalowanym RealPlayer: RealDownloader, RealNetworks - Microsoft Visual C++ 2008 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealUpgrade 1.1, UpdateService, Video Downloader > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile wpisów. 2. FRST jest uruchomiony z niepoprawnej lokalizacji, czyli katalogu Temp. Pobierz go ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer\Run: [1071341723] => C:\ProgramData\msubmb.exe [83999872 2010-11-21] () HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3341007479-885208892-836665845-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3341007479-885208892-836665845-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-3341007479-885208892-836665845-1000 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku FF Plugin-x32: @real.com/nppl3260;version=17.0.15.10 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nppl3260.dll [brak pliku] FF Plugin-x32: @real.com/nprpplugin;version=17.0.15.10 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprpplugin.dll [brak pliku] S2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\C:\Users\Szelma\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] Task: {0138F2B6-291F-4D0C-A9B8-E302400240CB} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe Task: {24A2F5B5-EF3C-4AB2-B226-C3359A346C43} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3341007479-885208892-836665845-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\RealUpgrade.exe Task: {33487B79-A38E-4794-AD73-7D31CF3AD29C} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\RealNetworks\RealDownloader\downloader2.exe Task: {37A04020-E950-4DDF-A3F8-8FBC6D252275} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3341007479-885208892-836665845-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\RealUpgrade.exe C:\ProgramData\msubmb.exe C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{DC1521F1-D081-473F-B0E6-0DEFCB6BF881} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Borderlands The Pre-Sequel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RealNetworks C:\Users\Szelma\AppData\Local\{34CCC3B6-8D74-4CCA-8E76-A4D56E10857E} C:\Users\Szelma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\ Borderlands The Pre-Sequel.lnk C:\Users\Szelma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Audiosurf 2 1.0.0.2 C:\Users\Szelma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft AppLocale\age.lnk C:\Users\Szelma\Desktop\studia\Razer Game Booster.lnk C:\Users\Szelma\Desktop\Wszystko (2)\Audiosurf 2.lnk C:\Users\Szelma\Desktop\Wszystko (2)\Mount&Blade Warband.lnk C:\Users\Szelma\Favorites\GG dysk.lnk C:\Windows\pss\Stardock ObjectDock.lnk.Startup C:\Windows\SysWOW64\regsvr32.exe.log H:\Removable Drive (4GB).lnk CMD: attrib /d /s -s -h H:\* Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Szelma^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Stardock ObjectDock.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Andy" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Privatefirewall" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RazerGameBooster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SlimCleaner Plus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Zakładam, że pendrive jest nadal podpięty i widziany pod literą H] Plik zapisz pod nazwą fixlist.txt na Pulpicie. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Na Pulpicie powstanie plik fixlog.txt. 3. Jeśli wszystko pójdzie dobrze w punkcie 2, na pendrive uwidoczni się folder o nazwie "spacji". Przenieś z niego wszystkie pożyteczne dane poziom wyżej (omijając obiekty nieznane / śmieci), a następnie ten folder skasuj przez SHIFT+DEL (omija Kosz). 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Odnośnik do komentarza
radziczka Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 Tak pendrive byl pod literka H. Po wykonaniu punktu 2 , restartowaniu komputera, dokladnie mowiac podczas wylaczania ktore trwalo 10 minut, nastapil Blue screen failure power state driver lub cos podobnego. Potem komputer w koncu odpalil sie, mimo ze po raz pierwszy trwalo to 10 minut. Folder o nazwie spacjii usuniety. Pliki przeniesione niewiem czy jest potrzeba sformatowac go teraz? Czy utworzenie pliku autorun pomoze przy podobnych zakazeniach? Czesto korzystam ze studenckiego ksera/druku i to nie pierwszy raz gdy cos stamtad przynosze. Załączam pliki. FRST.txt Fixlog.txt UsbFix Listing 2 SZELMA-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 Pliki przeniesione niewiem czy jest potrzeba sformatowac go teraz? Nie ma potrzeby. Urządzenie zostało wyczyszczone. Czy utworzenie pliku autorun pomoze przy podobnych zakazeniach? Czesto korzystam ze studenckiego ksera/druku i to nie pierwszy raz gdy cos z tamtad przynosze. Niestety metoda z tworzeniem blokady autorun.inf nie pomoże, ta infekcja jej w ogóle nie stosuje. A system został prawdopodobnie zainfekowany z pendrive ręcznie, gdy uruchomiłeś skrót "Removable Drive (4GB)". Nie bez przyczyny infekcja tworzy go jako jedyny widoczny element na urządzeniu. Wszystko pomyślnie wykonane. Drobne poprawki na szczątki po odinstalowanych programach. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3341007479-885208892-836665845-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Szelma\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Qoobox RemoveDirectory: C:\USBFix CMD: del /q C:\Windows\system32\REN3B9D.tmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi już potrzebny. Odnośnik do komentarza
radziczka Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 Dziekuje za pomoc. Ostateczny log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 1. Zastosuj DelFix, by dokasować używane narzędzia. 2. Dla pewności zrób jeszcze skan za pomocą Hitman Pro,. Nic jeszcze nie usuwaj tylko dostarcz raport wynikowy. Odnośnik do komentarza
radziczka Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 zmienilem log na atxt HitmanPro_20151024_0000.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2015 Zgłoś Udostępnij Opublikowano 27 Października 2015 Hitman nie wykrył nic groźnego, te wyniki "Suspicious files" do zignorowania. To tyle. Odnośnik do komentarza
Rekomendowane odpowiedzi