Liczba postów: 6
Liczba wątków: 1
Dołączył: 30.05.2014
Reputacja:
0
Objawy zainfekowania:
Po ściągnięciu wirusa hahaha img00662.zip z facebooka przegladarki w ogole sie nie uruchamiają np "program google chrom przestał działać".
Wykonywane działania:
Skanowałem malware, ccleaner''em, adwcleaner''em i doktor web. Pousuwało jakies wirusy ale przegladarki bez zmian nie działaja. Spybota nie udalo mi sie uruchomić. Google chroma usunałem i zaintalowalem jeszcze raz offline ale nic sie nie zmienilo.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj] OTL z dzisiaj
[Aby zobaczyć linki, zarejestruj się tutaj] Extras z wczoraj
[Aby zobaczyć linki, zarejestruj się tutaj] addition z frst
[Aby zobaczyć linki, zarejestruj się tutaj] FRST
Z góry dziękuję za pomoc!
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Dwa razy jest podany FRST.txt,odznacz wszystko w programie i zaznacz tylko addition.txt,następnie kliknij Scan i podaj log.
Brak infekcji typu z Facebooka,rozumiem że archiwum zip było wypakowane i zawartość uruchomiona.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 30.05.2014
Reputacja:
0
Zrobilem tak jak napisales. Nizej wysylam link.
zawirusowany plik sciągnałem i kliknałem odruchowo zeby sie otworzyl, po chwili ogrnalem ze to wirus i wylaczylem laptopa z zasilania.
[Aby zobaczyć linki, zarejestruj się tutaj] addition
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Jest czynny sterownik po adware.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: HKU\S-1-5-21-3481509710-2864155054-4111662855-1000\...\Policies\Explorer: []
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {6A2EF59B-5DEE-4CFA-94F0-F9688FB7401A} URL = https://www.google.com/search?q={searchTerms}
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -No File
R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-03-23] (StdLib)
C:\Users\Adik\Doctor Web
C:\Users\Adik\AppData\Local\Temp
C:\temp
C:\Users\Adik\AppData\Local\Temp\Quarantine.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg: Akamai NetSession Interface" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Mega Browse" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Mega Browse" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Napisz czy Google Chrome w ogóle się odpala.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 30.05.2014
Reputacja:
0
Ok, git, firefox działa, wszystko ok. Natomiast chrome i explorer nadal sie nie uruchamiają, widać znowu "program przestał działać".
W msconfig w zakladce uruchamianie plik o nazwie Akamai net session nadal jest.
[Aby zobaczyć linki, zarejestruj się tutaj] fixlog
Jeszcze chciałem zapytać czy powinienem sie obawiać o np kradzież danych i haseł przez wirusa?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zależy czym byś został zarażony,nie wszystkie wykradają hasła itp.
Obecna wersja z facebooka służy do kopania waluty bitcoin,nie było u ciebie widać akcji od strony tego zagrożenia.
Nie wiem po co wykonywałeś parokrotnie skrypt ?
Skrypt wykonuje się tylko raz i po wykonaniu miał zostać dostarczony raport z niego.
Odinstaluj:
Avasta (tymczasowo).
Google Chrome
Usuń resztę z tej lokalizacji,czyli cały folder chrome z zawartością C:\Users\Adik\AppData\Local\Google\Chrome
Zainstaluj ponownie Google Chrome [Aby zobaczyć linki, zarejestruj się tutaj]
Zainstaluj również Internet Explorer 11 [Aby zobaczyć linki, zarejestruj się tutaj]
Zrób nowe logi FRST.txt+Addition.txt + OTL
Liczba postów: 6
Liczba wątków: 1
Dołączył: 30.05.2014
Reputacja:
0
Udało się! Chrome i Explorer działają. Wszystko wydaje się spoko, zastanawia mnie tylko w msconfig w rozruchu, że cały czas widnieje akamai net session. Tak juz ma zostać?
Dzieki Ci, tachion!
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj] Additional
[Aby zobaczyć linki, zarejestruj się tutaj] FRST
[Aby zobaczyć linki, zarejestruj się tutaj] OTL
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hmm ciekawe że to widzisz bo w raporcie już tego nie ma.
W takim wypadku usuń to.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Users\Adik\AppData\Local\cache
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 30.05.2014
Reputacja:
0
W "Uruchamianie" widze Akamai NetSession Interface znajdujący się w c\users\adik\AppData\Local\Akamai\netsession_win.exe
Wchodzę normalnie C\users\adik\appdata\Local i nie ma w ogóle folderu ''Akamai''.
Wyłączyłem uruchamianie tego pliku co nie zmienia faktu, że pewnie cały czas gdzieś siedzi
[Aby zobaczyć linki, zarejestruj się tutaj] checkup
[Aby zobaczyć linki, zarejestruj się tutaj] FRST
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie po prostu to co widać to pusty wpis,nie ma to już znaczenia ogólnie.
Działania końcowe:
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 30.05.2014
Reputacja:
0
Ok, zrobione. Delfix od razu sam sie usunął po zakończeniu działania.
A TFC zwolnil ok 1gb miejsca.
Coś jeszcze zrobić?
Dziękuje Ci za pomoc!
|