Liczba postów: 9
Liczba wątków: 2
Dołączył: 10.06.2014
Reputacja:
0
Objawy zainfekowania:
Jakimś cudem moja dziewczyna otworzyła załącznik z facebooka wysłany na czacie. Oczywiście Avast wykrył zagrożenie, jednak po chwili wiadomość z wirusem została wysłana automatycznie do wszystkich jej znajomych. Zauważyłem, że w procesach jest otwartych kilka procesów explorer.exe z czego jeden zabiera 50% mocy obliczeniowej procesora, więc podejrzewam, że komputer w dalszym ciągu jest zainfekowany.
Wykonywane działania:
Skanowanie Adwcleaner oraz usunięcie nim zbędnych wpisów oraz skanowanie FRST oraz OTL na potrzeby tego posta. Na komputerze zainstalowany jest antywirus Avast oraz systemowa zapora.
Logi:
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
Extras: [Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję i pozdrawiam
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ewidentna infekcja.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [] => [X]
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:057EB038.dat"
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -No File
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Adzik\AppData\Local\Temp\AutoRun.exe
C:\Users\Adzik\AppData\Local\Temp\AutoRunGUI.dll
C:\Users\Adzik\AppData\Local\Temp\eauninstall.exe
C:\Users\Adzik\AppData\Local\Temp\libcurl-4.dll
C:\Users\Adzik\AppData\Local\Temp\Need for Speed Underground 2_uninst.exe
C:\Users\Adzik\AppData\Local\Temp\NOSEventMessages.dll
C:\Users\Adzik\AppData\Local\Temp\pthreadGC2.dll
C:\Users\Adzik\AppData\Local\Temp\Quarantine.exe
C:\Users\Adzik\AppData\Local\Temp\zlib1.dll
Task: {08CB5E79-5AAA-45E2-999B-1EB7D41D8E2F} - \Dealply No Task File <==== ATTENTION
Task: {1D53F2E9-8B17-4C32-95D9-77AF952C2369} - \DealPlyUpdate No Task File <==== ATTENTION
Task: {23860344-2167-427F-A00F-21B9A70E41FF} - \DealPlyLiveUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {3BE3E7C5-FF6F-4F3D-B8FD-D76A020F22C3} - \BrowserDefendert No Task File <==== ATTENTION
Task: {75EE15A8-A802-4CF3-95C4-95C86131556A} - \EPUpdater No Task File <==== ATTENTION
Task: {9C48D4EF-423D-4169-9A14-CED72051309D} - \DealPlyLiveUpdateTaskMachineCore No Task File <==== ATTENTION
AlternateDataStreams: C:\temp:057EA224.dat
AlternateDataStreams: C:\temp:057EB038.dat
AlternateDataStreams: C:\temp:list3
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:pid3
AlternateDataStreams: C:\Users\Adzik\Ustawienia lokalne:aqMRlYr4xBfUK5NZeQa2KLQzXLnC
AlternateDataStreams: C:\Users\Adzik\AppData\Local:aqMRlYr4xBfUK5NZeQa2KLQzXLnC
AlternateDataStreams: C:\Users\Adzik\AppData\Local\Dane aplikacji:aqMRlYr4xBfUK5NZeQa2KLQzXLnC
AlternateDataStreams: C:\Users\Adzik\AppData\Local\MS2v27tS:srvtEojTRpCD4beyvOaOQC3kL
AlternateDataStreams: C:\Users\Adzik\AppData\Local\UC7aBz4emL:Dc72X6TB2PBnlTmCRswUE2MD
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Zrób ponowny skan FRST i wstaw logi FRST.txt+Addition.txt
Liczba postów: 9
Liczba wątków: 2
Dołączył: 10.06.2014
Reputacja:
0
Postąpiłem zgodnie z instrukcjami, oto logi:
Fixlog [Aby zobaczyć linki, zarejestruj się tutaj]
FRST [Aby zobaczyć linki, zarejestruj się tutaj]
Addition [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Cholerstwo dalej siedzi chwila.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: (Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:057EB038.dat"
SearchScopes: HKLM - DefaultScope value is missing.
C:\temp
AlternateDataStreams: C:\temp:057EB038.dat
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:pid3
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Nowe logi zrób ponownie.
Nie potrzebnie dałem wszystkie linie z explorer.exe żeby zamknąć proces wystarczyła jedna ale to nie ma znaczenia.
Liczba postów: 9
Liczba wątków: 2
Dołączył: 10.06.2014
Reputacja:
0
fixlog: [Aby zobaczyć linki, zarejestruj się tutaj]
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Jest prawie dobrze.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom,kliknij w File> Save i zapisz jako AutoRuns.arn,plik prześlij na jakiś hosting np.tu [Aby zobaczyć linki, zarejestruj się tutaj] i przedstaw na forum.
Liczba postów: 9
Liczba wątków: 2
Dołączył: 10.06.2014
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Uruchom autoruns i wejdź w zakładkę logon i usuń z klucza HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Dwie pozycje oznaczone na żółto
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom ponownie komputer i sprawdź czy nadal to siedzi.
Liczba postów: 9
Liczba wątków: 2
Dołączył: 10.06.2014
Reputacja:
0
Wpisy zostały usunięte i po restarcie komputera nie widnieją na liście.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak więc ok
Jak używałeś wcześniej adwcleanera to klik w nim odinstaluj.
Wklej na stronę raport z SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] i kliknij Start.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ja muszę spadać.
Jak wyświetli się raport z SecurityCheck to wklej na stronę i daj podgląd .
Wszystkie pozycje które będą oznaczone na czerwono będą do aktualizacji,jak to zrobisz to będzie na tyle.
Liczba postów: 9
Liczba wątków: 2
Dołączył: 10.06.2014
Reputacja:
0
Wielkie Dzięki za pomoc.
SecurityCheck: [Aby zobaczyć linki, zarejestruj się tutaj]
|