SafeGroup

Witam!

Objawy zainfekowania:
Gry zwalniaja przy efektach psyhx, wyszukujac google raz orzytrafila sie sytuacja gdy google poinformowac o zapytaniach (spamie) z mojego adresu ip

Wykonywane działania:
Skany - Combofix, AVG free 2013, niestety mbama nawet nie odpalalam, wolalam siegnac po dorazniejsze srodki, mimo iz wiem ze combofix stosuje sie w sytuajach ostatecznych ale pomogl na tyle ze problem w duzej mierze ustapil, mi chodzi o dobicie resztek bo explorer nadal jest zainfekowany. W jednym z folderow byl sality, ale avg go usunal, przynajmniej mam taka nadzieje.
Chcialabym sie obyc bez formata. Dziekuje za pomoc.

Zamieszczam log z combofixa, jesli bedzie trzeba i znajde czas zamieszcze logi z otla i mbama.
Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

oteel

[Aby zobaczyć linki, zarejestruj się tutaj]

extras

[Aby zobaczyć linki, zarejestruj się tutaj]

/4 log z combofixa (nowy)

EDIT:// Generalnie sytuacja wyglada nastepujaco:
probuje zrobic cos na wlasna reke, wylaczone przywracanie na wszystkich dyskach, zamieszczam kolejny skan z combofixa.
Sality nie zablokowal rejestru, byl tylko w jednym pliku(natomiast nadal powraca) reszta exekow czysta, podejrzewam ze to malo mozliwe aby w ciagu kilku miesiecy mbam nie znalazl zadnego zarazonego exeka.

Odinstaluj:

Akamai NetSession Interface
Bonjour
Fast Boot
AVG 2013 odinstaluj i zainstaluj na partycji c:\
iTunes
Java™ 6 Update 22
Adobe Reader X (10.1.4) zaktualizuj do wersji Adobe Reader XI 11.0.3
NTLEA 0.86 beta
Skype™ 5.10 zaktualizuj do wersji Skype 6.6.32.106
AVG Security Toolbar
Malwarebytes Anti-Malware wersja 1.70.0.1100 zaktualizuj do wersji Malwarebytes Anti-Malware 1.75.0.1300
Mozilla Firefox 17.0.1 też stara
Opera również aktualna jest wersja Opera 15.0.1147.141
Tunngle beta
Unity Web Player potrzebne do niektórych gier online,jak nie potrzebne odinstalować
WinDirStat

WellGet
czy
Free Download Manager

Pen_Tablet powoduje też błędy jakieś.

Co to jest ?

Desktop\Konachan.com - 163357 sample.jpg
Desktop\Konachan.com - 163327 chibi defoko hat headphones purple_eyes purple_hair short_hair skirt utau.jpg
Desktop\Konachan.com - 163041 blush bow game_cg gimai_dakara_dekiru_koto_imouto_janai_to_dame_na_koto long_hair pantyhose seifuku skirt skirt_lift takatou_iori tita_j.jpg
Desktop\Patcher.exe

W okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

IE - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={37494DD1-B7EA-4585-A863-6353CBA12FEE}&mid=d362f8fbeb184225b827b4f1cfdd74da-85d8aff8c3aadfef6c28bb4af7783d2f2c3d4858&lang=pl&ds=xn011&pr=sa&d=2012-10-24 20:28:26&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}

FF - HKLM\Software\MozillaPlugins\@live.heroesandgenerals.com/npretox: D:\Program Files (x86)\Heroes & Generals\live\npretoxlive.dll File not found

O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\15.2.0.5\AVG Secure Search_toolbar.dll (AVG Secure Search)

O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\15.2.0.5\AVG Secure Search_toolbar.dll (AVG Secure Search)

O3 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.

O4:[b]64bit:[/b] - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)

O4:[b]64bit:[/b] - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)

O4:[b]64bit:[/b] - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8:[b]64bit:[/b] - Extra context menu item: &Download all by WellGet - D:\Program Files (x86)\WellGet\Nxall.htm ()

O8:[b]64bit:[/b] - Extra context menu item: Download &Flash Movies - C:\Program Files (x86)\Flash2X\Flash Hunter\save.htm File not found

O8:[b]64bit:[/b] - Extra context menu item: Download by &WellGet - D:\Program Files (x86)\WellGet\NxCatch.htm ()

O8:[b]64bit:[/b] - Extra context menu item: Pobierz plik wideo w FDM - D:\Program Files (x86)\Free Download Manager\dlfvideo.htm ()

O8:[b]64bit:[/b] - Extra context menu item: Pobierz w FDM - D:\Program Files (x86)\Free Download Manager\dllink.htm ()

O8:[b]64bit:[/b] - Extra context menu item: Pobierz wszystkie pliki w FDM - D:\Program Files (x86)\Free Download Manager\dlall.htm ()

O8:[b]64bit:[/b] - Extra context menu item: Pobierz zaznaczone pliki w FDM - D:\Program Files (x86)\Free Download Manager\dlselected.htm ()

O8 - Extra context menu item: &Download all by WellGet - D:\Program Files (x86)\WellGet\Nxall.htm ()

O8 - Extra context menu item: Download &Flash Movies - C:\Program Files (x86)\Flash2X\Flash Hunter\save.htm File not found

O8 - Extra context menu item: Download by &WellGet - D:\Program Files (x86)\WellGet\NxCatch.htm ()

O8 - Extra context menu item: Pobierz w FDM - D:\Program Files (x86)\Free Download Manager\dllink.htm ()

O8 - Extra context menu item: Pobierz wszystkie pliki w FDM - D:\Program Files (x86)\Free Download Manager\dlall.htm ()

O8 - Extra context menu item: Pobierz zaznaczone pliki w FDM - D:\Program Files (x86)\Free Download Manager\dlselected.htm ()

O9:[b]64bit:[/b] - Extra ''Tools'' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found

O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)

O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)

O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )

O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )

O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )

O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )

O15 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..Trusted Domains: clonewarsadventures.com ([]* in Zaufane witryny)

O15 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..Trusted Domains: freerealms.com ([]* in Zaufane witryny)

O15 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..Trusted Domains: soe.com ([]* in Zaufane witryny)

O15 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..Trusted Domains: sony.com ([]* in Zaufane witryny)

O22:[b]64bit:[/b] - SharedTaskScheduler: {E31004D1-A431-41B8-826F-E902F9D95C81} - Windows DreamScene - C:\Windows\SysNative\DreamScene.dll (Microsoft Corporation)

[2013-07-14 01:35:56 | 000,000,000 | ---D | C] -- C:\Users\Slawek\AppData\Roaming\TuneUp Software

[2013-07-14 01:35:01 | 000,000,000 | ---D | C] -- C:\$AVG

[2013-07-10 17:39:37 | 000,000,000 | ---D | C] -- C:\Users\Slawek\AppData\Roaming\puush

[2013-06-04 21:33:37 | 000,000,000 | ---D | C] -- C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001}

[2013-05-31 17:10:36 | 000,000,000 | ---D | C] -- C:\Users\Slawek\AppData\Local\Akamai

[2013-07-14 12:51:57 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1855901060-777583481-4080852832-1000UA.job

[2013-07-12 19:02:43 | 000,001,010 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1855901060-777583481-4080852832-1000Core.job

[2013-05-31 16:36:09 | 000,000,222 | ---- | C] () -- C:\Users\Slawek\Desktop\Warframe.url

[2013-04-17 16:24:04 | 000,000,000 | ---D | C](C:\Users\Slawek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\??????) -- C:\Users\Slawek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\アリスソフト

:Commands

[EMPTYTEMP]

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z wykonania.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

przeskanuj i podaj log.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw na forum.

Pen_Tablet powoduje też błędy jakieś.//2 razy zdarzyl sie blad prze co software od tabletu powrocil do ustawien domyslnych, ale po resecie wszystko bylo ok.

Desktop\Patcher.exe - launcher do gry, do nowych patchow.

WellGet
czy
Free Download Manager

Oba, bo czasem lubi jeden z nich niewspolpracowac z niektorymi stronami.

AVG 2013 odinstaluj i zainstaluj na partycji c:\ // Jakie to ma znaczenie???
Wiekszosc tych aplikacju usunelam poniewaz i tak sa nieuzywane.
tdskiller :

[Aby zobaczyć linki, zarejestruj się tutaj]

raport

[Aby zobaczyć linki, zarejestruj się tutaj]

nowy log z otl:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapomnialam o extras wiec skan 2 raz robilam:

[Aby zobaczyć linki, zarejestruj się tutaj]

link do autoruns:

[Aby zobaczyć linki, zarejestruj się tutaj]

tds killer

[Aby zobaczyć linki, zarejestruj się tutaj]

Niewiem czy to ma znaczenie, ale w menadrzeze procesow sa 2 procesy explorer.exe

Antywirusy i podobne tego typu programy lepiej instalować na partycji c: dlatego że się integruje z powłoką no i chodzi też o jakiś stan porządku w systemie.
Gry czy np.programy o wiele większej zajętości mogą być na innej partycji.
Co do 2 procesów explorer.exewidniejących w menadżerze,to jest normalne,dzieje się tak dlatego jak ma się w opcjach folderów > zakładka widok ,zaznaczone uruchom okna folderów w osobnych procesach ,można oczywiście to odznaczyć.
TDSSKiller widzę wykrył pewne obiekty ale nie ma się czym przejmować wszystko jest ok.

Co do reszty za jakiś czas sprawdzę.

Dodano: 15 lip 2013, 20:50

W własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\15.2.0\\npsitesafety.dll File not found

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\15.2.0.5 [2013-05-21 17:15:23 | 000,000,000 | ---D | M]

O3 - HKU\S-1-5-21-1855901060-777583481-4080852832-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

O9:[b]64bit:[/b] - Extra ''Tools'' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found

[2012-09-26 17:45:11 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\ZebraNetworkSystems

[2013-07-15 03:06:39 | 000,000,000 | ---D | C] -- C:\Users\Slawek\Documents\Tunngle

[2013-07-14 01:35:56 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\TuneUp Software

[2013-01-31 20:19:55 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\Tunngle

[2012-10-24 21:34:50 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\ProgSense

[2013-06-29 11:25:07 | 000,000,000 | ---D | C] -- C:\Users\Slawek\AppData\Roaming\Otaku Helper

[2013-07-14 19:42:39 | 000,000,000 | ---D | C] -- C:\Users\Slawek\AppData\Local\MediaMonkey

[2013-07-14 19:42:03 | 000,000,000 | ---D | C] -- C:\Users\Slawek\AppData\Roaming\MediaMonkey

[2013-07-14 19:41:59 | 000,000,000 | ---D | C] -- C:\ProgramData\MediaMonkey

[2013-04-30 12:58:13 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\DarkWave Studio

[2013-02-19 00:21:10 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\RenPy

[2012-10-24 21:34:48 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\GrabPro

[2013-01-27 15:32:03 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\MAGIX

[2012-10-24 21:37:24 | 000,000,046 | ---- | C] () -- C:\Windows\SysWow64\DonationCoder_urlsnooper_InstallInfo.dat

[2012-10-24 21:37:24 | 000,000,000 | ---D | M] -- C:\Users\Slawek\AppData\Roaming\DonationCoder

:Reg

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Files

$RECYCLE.BIN /alldrives

C:\Config.Msi

:Commands

[EMPTYTEMP]

Przedstaw raport z wykonania.

raport

[Aby zobaczyć linki, zarejestruj się tutaj]

W autoruns karcie services odznacz:

AdobeARMservice
AIPS
Creative ALchemy AL6 Licensing Service
Creative Audio Engine Licensing Service
Microsoft Office Groove Audit Service
MozillaMaintenance
nvsvc
ose
odserv
WinDefend

W zakładce Internet Explorer i kluczu HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Odznacz wszystko

W zakładce HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Odznacz wszystko

HKCU\Software\Microsoft\Internet Explorer\Extensions

Wszystko

Zakładka Logon

HotKeysCmds
IgfxTray
Persistence persistence Module
ASUS Screen Saver Protector

W OTL przejdź do sprzątania.

Dodano: 15 lip 2013, 21:33

Aha i jeszcze wejdź w tą lokalizację i usuń te pliki są to pozostałości po combofixie.

C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe

C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
tych plikow niema w C:\Windows

To ok

Ok no to dziekuje za pomoc.
Pozdrawiam

Eleina

tachion

Eleina

tachion

Eleina

tachion

Eleina

tachion

Eleina