SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Oczyszczenie komputera z pozostałości malware
Pełna wersja: Oczyszczenie komputera z pozostałości malware
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

nikita

19.05.2014, 10:38
Objawy zainfekowania:
Podobno spowolnienie działania systemu, fałszywe programy typu "PC coś tam professional", przeglądarki zawalone śmieciami, brak reakcji systemu na podłączanie urządzeń USB do tylnego panelu (przedni działa dla myszki i klawiatury, ale nie odczytuje dysków USB), brak połączenia sieci bezprzewodowej (nie widać karty sieciowej w menedżerach). Zainstalowany MCShield (Driver) jest wywalany po każdym starcie systemu.

Wykonywane działania:
Czyszczenie AdwCleanerem; unieruchomiony Avast został odinstalowany w trybie normalnym - w jego miejsce wskoczył Bitdefender Free. MBAM Free usunął kilka śmieci, Hitman również. Bitdefender nie komunikuje o infekcjach.

Logi:
OLT:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner:
Szukaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

Usuń:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

19.05.2014, 18:11
Odinstaluj na chwilę obecną Bitdefendera i tego MCShield.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM\...\Run: [NPSStartup] => [X]
HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll
HKLM\...\AppCertDlls: [x86] -> c:\program files\settings manager\systemk\sysapcrt.dll
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
SearchScopes: HKLM - DefaultScope value is missing.
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
C:\ProgramData\AVAST Software
C:\extensions
C:\Users\Iga\AppData\Local\Temp\Quarantine.exe
C:\Users\Iga\AppData\Local\Temp\_is7CDC.exe
Task: {1CC81347-6204-4B83-900C-01E02F50F067} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
Task: {24236A9F-3C54-424A-84B9-C590CF0443D7} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
Task: {2E45801D-8556-4D3B-A0EA-A03FBA97180A} - System32\Tasks\{D99CA2B5-D02C-4492-8027-96A12D2D5955} => Firefox.exe http://ui.skype.com/ui/0/4.2.0.169/pl/abandoninstall?page=tsChrome&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromeoffered-installed;madedefault
Task: {3174C147-89C7-483D-8C36-1B6C5C9C2C21} - System32\Tasks\{862C4704-873D-402E-8D4E-877A367E36A0} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/en/abandoninstall?page=tsMain
Task: {4E41593D-7F4F-49C8-B5F8-699E19E06D16} - System32\Tasks\{44680851-BEC2-42C6-A23B-3BC3EA5BD466} => C:\Program Files\Skype\\Phone\Skype.exe [2014-05-08] (Skype Technologies S.A.)
Task: {56F2A2BC-3A17-4501-8C42-22B888CE0288} - System32\Tasks\{20A44437-99BC-4877-BFAD-821CC84A15D7} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112/pl/abandoninstall?page=tsDownload&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromeoffered-installed;madedefault
Task: {5EC6E336-8994-42CA-A19A-AA947C72FE4E} - System32\Tasks\{C20E38EB-2F41-41BB-8820-85EE85530AB4} => C:\Program Files\Skype\\Phone\Skype.exe [2014-05-08] (Skype Technologies S.A.)
Task: {980A6C47-6E16-40A8-B1E6-21452F411E0F} - System32\Tasks\{EB411F6D-C3AC-4A48-9708-6893DCFC5A7E} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromenotoffered;alreadyoffered
Task: {B44078BF-3136-4B3A-9E55-78085600E260} - System32\Tasks\{89A2B76F-6A4B-46C0-AD5A-398F77A599BC} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chromenotoffered;alreadyoffered
AlternateDataStreams: C:\ProgramData\TEMP:373E1720


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce Firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Google Chrome

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Adware użyło zasad grupy w celu w celu zablokowania zmian w rozszerzeniach

Zresetuj cache wtyczek. W pasku adresów wpisz chrome//plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Historia > wyczyść
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

nikita

19.05.2014, 18:20
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

19.05.2014, 18:25
Jakie są efekty?

Programy wywalone ?

Z tym usb to może przez tego MCShield

nikita

19.05.2014, 18:36
Myślę, że to nie przez MCShield, bo nie odczytywało nośników USB już przed jego zainstalowaniem. Aktualnie wydaje się być wszystko całkiem OK (poza tym USB), więc dziękuję za pomoc tachion! Smile

EDIT: i działa WLAN!

tachion

19.05.2014, 18:38
Zrób dla przykładu nowe logi FRST+OTL ale bez extras

Odinstaluj adwcleaner.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

nikita

19.05.2014, 19:10
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]


Adw odinstalowałem po wykonaniu logów.

tachion

19.05.2014, 19:27
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
SearchScopes: HKLM - DefaultScope value is missing.
S1 aswFW; C:\Windows\system32\drivers\aswFW.sys [104752 2014-01-22] (AVAST Software)
C:\ProgramData\81ce3328f6adf281
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f


Jave odinstaluj i zainstaluj najnowszą wersję

[Aby zobaczyć linki, zarejestruj się tutaj]


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

nikita

19.05.2014, 19:41
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


Javę zaraz ogarnę.

tachion

19.05.2014, 19:46
Ok i na koniec:

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Oczyszczenie komputera z pozostałości malware