Evenix Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Witam, rano dostałęm informacje od mojego wspaniałego dostawcy internetowego, mianowicie Orange o tym, że prawdopodobnie mój komputer został podpięty pod "Botnet Sality" nie wiem, czy jest to jakaś akcja marketingowa promująca jaką super ochronę Orange zapewnia, ale mimo wszystko wolę się upewnić. Robiłem kilka skanów za pomocą Aviry i Malwarebyte Anti-Malware, wykryło parę wirusów, które zostały usunięte. Następnie zasięgnąłem pomocy programów FRST i GMER których logi załączyłem niżej. Aha, SalityKiller pokazał Executed registry scripts = 1. Uprzejmie proszę o sprawdzenie ich, gdyż na czytaniu logów się kompletnie nie znam. Pozdrwiam i z góry dziękuję. Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Log z GMER nie pochodzi z tego komputera, Windows 7 SP1 i użytkownik "Kise": Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2 Crucial_CT128M550SSD1 rev.MU01 119,24GB Running: xtoyi7vc.exe; Driver: C:\Users\Kise\AppData\Local\Temp\aftcaaog.sys Ten komunikat Orange może być wynikiem innego aktywnego zainfekowanego komputera w tej samej sieci w której jesteś Ty. W raportach nie widzę żadnych oznak infekcji Sality, ani innych. A SalityKiller zawsze będzie raportował "Executed scripts: 1", nawet na czystym systemie, bo to jest automatyczny import do rejestru bez sprawdzania czy rzeczywiście takowa modyfikacja ma miejsce. PS. Tylko poboczne akcje do przeprowadzenia: 1. Odinstaluj zbędny McAfee Security Scan Plus. To sponsor produktów Adobe: KLIK. 2. W Google Chrome zresetuj cache wtyczek, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {7AD1B008-CA85-4200-8A74-3059CB2D2F59} - System32\Tasks\{E0DC0DF8-36E7-48CC-866F-32CBB3FCBB12} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.6.0.103/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {F942C242-D309-4D8E-B6A4-02F56EF1DC06} - System32\Tasks\{B221FAC5-B5C2-4414-AE50-680F251D3579} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?page=tsProgressBar U0 qrlpsmcl; C:\Windows\System32\drivers\jproxcgw.sys [79064 2015-12-17] (Malwarebytes) C:\Windows\System32\drivers\jproxcgw.sys S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] SearchScopes: HKU\S-1-5-21-1644087666-2204009049-2821983492-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Active@ KillDisk 9.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Shortcut to ShredIt Documentation.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Word\Katedra304882790885201834\Katedra.docx.lnk C:\Users\Evenix\Desktop\New folder (6)\New folder (8)\*.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są mi już potrzebne. Odnośnik do komentarza
Evenix Opublikowano 17 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Nie jestem pewien, czy o to chodziło, ale plik który utworzyłem zniknął i pojawiło się to. Załączam poniżej. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Nie wyjaśniłeś o co chodzi z logiem GMER - podałeś log z cudzego komputera... Tak ma być, Fixlist znika podczas wykonania skryptu. Fix FRST wykonany. Więcej do czyszczenia nic nie ma. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi