Detrioux Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Witam. Posiadam laptopa biznesowego w którym są ważne pliki i dokumenty. Jest pewien problem, ponieważ po usunięciu trojanów programami antimalware-owymi jest nadal problem i ciągle pliki zainfekowane z rozszerzeniem .exe na nowo się tworzą. Prosił bym o jak najszybsze zerknięcie na logi Programy takie jak Malwarebytes Anti-Malware SUPERAntiSpyware Professional . Czyszczone CCleaner'em oraz Odkurzaczem Addition.txt DxDiag.txt FRST.txt Gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Posiadam laptopa biznesowego w którym są ważne pliki i dokumenty. Jest pewien problem, ponieważ po usunięciu trojanów programami antimalware-owymi jest nadal problem i ciągle pliki zainfekowane z rozszerzeniem .exe na nowo się tworzą. Zaprezentuj wyniki skanów pokazujących owe "trojany" oraz podaj o jakie pliki EXE chodzi (konkretne ścieżki dostępu). Jeśli chodzi o dostarczone raporty, widać ślady infekcji Sality - infekcja plików wykonywalnych atakująca wszystkie dostępne dyski, czyli w uproszczeniu mówiąc uszkadzanie plików EXE i podobnych. Sality objawia się tu w następujących miejscach: autoryzacje "ipsec" w Zaporze oraz w GMER odnośnik do sterownika owssqr.sys (ale nie widać go z kolei w FRST). Nie wiadomo czy infekcja jest aktywna, co nie zmienia faktu, że zainfekowane pliki EXE muszą być leczone lub wyrzucane. Skanery MBAM i SUPERAntispyware nie nadają się do usuwania takich infekcji, nie są antywirusami. Wstępnie zrób skan za pomocą Kaspersky Virus Removal Tool (KVRT), w konfiguracji po kolei zaznacz wszystkie dyski. Odnośnik do komentarza
Detrioux Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Odpaliłem KVRT 2 razy. Pierwszy raz na C drugi ze wszystkim. Pierwszy był wynik tylko ok. 23 problemów a ze wszystkim ok. 300. Moge wrzucić link z tymi logami ale one są zaszyfrowane. wrzucę też logi i kwarantanne z malwarebytes. Jeżeli chodzi o ten chytry trojan chodziło mi tu o takie cudo C:\xntn.exe które ciągle się powtarzało po usuwaniu antimalware. Prawdopodobnie aplikacja wszystkiego nie odkurzyła bo po drugim skanowaniu po C: powtarzały się wyniki w pełnym skanowaniu. Wrzucę wszystko co mogę. Kwarantanna malwarebytes: http://i.imgur.com/sneDUDc.png http://i.imgur.com/Tpz6C5B.png KVRT logi: http://www.filedropper.com/kvrt malvarebytes 1.txt malvarebytes 2.txt malvarebytes 3.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Moge wrzucić link z tymi logami ale one są zaszyfrowane. Nie jestem w stanie ich odczytać. Czy w wynikach były opisy "Sality"? Jeżeli chodzi o ten chytry trojan chodziło mi tu o takie cudo C:\xntn.exe które ciągle się powtarzało po usuwaniu antimalware. To plik generowany przez wirusa Sality. Pliki takie powracają jak bumerang, jeśli wirus jest czynny w pamięci. Będę w skrypcie FRST pobierać dane o root dysków. Na teraz drobne doczyszczanie oraz usunięcie niepożądanej aplikacji Smart File Advisor (sponsor darmowych wersji Alcohol): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Classes\*\shell\!sfa DeleteKey: HKLM\SOFTWARE\Classes\*\shell\sfa_checksum DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1844237615-606747145-839522115-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Orange RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Smart File Advisor RemoveDirectory: C:\Program Files\Smart File Advisor Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f CMD: dir /a C:\ CMD: dir /a D:\ CMD: dir /a G:\ CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj Internet Eplorer 8. Link w przyklejonym: KLIK. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Detrioux Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Nie jestem w stanie ich odczytać. Czy w wynikach były opisy "Sality"? Tak, prawie wszystko ma opis Sality. Zauważyłem także, że wirus bardzo polubił miejsce na System Volume Information. Po kilkunastu minutach udało się : SS-y z logów KVRT: http://www.filedropper.com/screenshotykvrt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Na teraz wykonaj podane działania. Potem dla pewności ponowisz skan Kasperskim, na każdym dysku po kolei. Nie może ostać się ani jeden plik z genem Sality, w przeciwnym wypadku nastąpi reinfekcja. Wszystkie pliki określone jako Sality muszą być wyleczone, a jeśli proces jest awykonalny, wyrzucone permanentnie z dysku. Skutkiem ubocznym infekcji i leczenia może być niedziałanie określonych programów i w takiej sytuacji należy je przeinstalować od zera ze świeżo pobranego instalatora. Inna sprawa to źródło infekcji. Przypuszczalnie zainfekowałeś system z jakiegoś urządzenia przenośnego. Czy posiadasz jakieś pendrivy i podobne, które były ostatnio podłączane? Odnośnik do komentarza
Detrioux Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Inna sprawa to źródło infekcji. Przypuszczalnie zainfekowałeś system z jakiegoś urządzenia przenośnego. Czy posiadasz jakieś pendrivy i podobne, które były ostatnio podłączane? Szczerze to nie jest mój osobisty laptop tylko klienta. Pomagam jako student naprawiać systemy operacyjne różnym osobom z firm i prywatnym więc nic mi nie wiadomo. Podczas gdy samotnie walczyłem z virusem zauważyłem różne zainstalowane programy z "dobrychprogramów" i innych stron przez ich "instalator". Dodatkowo zainfekowana Java, dziwne versje Adobe i problem z aktualizacjami które jeszcze pogarszają sprawę zamiast pomagać systemowi. Jest to laptop dla mechaników więc prawdopodobnie tak, gdy w nim znajdują się róznego rodzaju zdjęcia i dokumenty. ----- Zainstalowałem Explorera bez aktualizacji i zrobiłem wszystkie rzeczy związane z FRST. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
Detrioux Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 ps. Czytałem tą stronkę co mi podałaś z Explorerem i nie wykonałem aktualizacji ponieważ tak jak wspominałem coś jakby wykorzystywało to, że instaluje aktualizację i jeszcze bardziej po gorsza sprawę. Nie wiem która aktualizacja zrobiła taki bałagan, lecz wszystko to co wcześniej zaktualizowałem z wczorajszą datą usunąłem wraz z explorerem. Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Zadane operacje pomyślnie wykonane. W root dysków nie ma też żadnych plików Sality widocznych. Teraz: 1. Dla pewności powtórz skan Kasperskim dla każdego dysku z osobna. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu. Przez SHIFT+DEL (omija Kosz) ręcznie dokasuj foldery po skanerach: C:\$360Section C:\KVRT_Data 2. Trzeba wymienić poniższe produkty najnowszymi wersjami: ==================== Zainstalowane programy ====================== Adobe Reader XI - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) Java 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216030FF}) (Version: 6.0.300 - Oracle) Czytałem tą stronkę co mi podałaś z Explorerem i nie wykonałem aktualizacji ponieważ tak jak wspominałem coś jakby wykorzystywało to, że instaluje aktualizację i jeszcze bardziej po gorsza sprawę. Nie wiem która aktualizacja zrobiła taki bałagan, lecz wszystko to co wcześniej zaktualizowałem z wczorajszą datą usunąłem wraz z explorerem. Problemy prawdopodobnie były wynikiem ingerencji Sality w pliki wykonalne. Instalacje aplikacji, gdy wirus jest aktywny, mijają się z celem. Obecnie infekcja nie jest jednak aktywna. Zadałam instalację IE8 z dwóch powodów: przebicie plików Internet Explorer czystymi niezawirusowanymi wersjami oraz zabezpieczenie systemu (IE6 to dramatycznie dziurawa wersja). Gdy ukończysz czyszczenie systemu, spróbuj ponownie doinstalować wszystkie brakujące aktualizacje. Odnośnik do komentarza
Detrioux Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Pewność się sprawdziła. Kasperski usunął permanentnie jeszcze 150 PUP-ów i niechcianych trojanów gdzie już się nie pojawiają po ponownym scanie. Wszystkie punkty przywracania DelFixem usunięte za pomocą opcji purge system restore. Ręcznie usunąłem 2 foldery także bez problemu. Po kilku godzinach znowu odpaliłem Kasperskiego i znalazł jednego trojana w C: który usunął. Dziękuje za pomoc oddałem laptopa w pełni wyleczonego. Odnośnik do komentarza
Rekomendowane odpowiedzi