Objawy zainfekowania:
Jakimś cudem moja dziewczyna otworzyła załącznik z facebooka wysłany na czacie. Oczywiście Avast wykrył zagrożenie, jednak po chwili wiadomość z wirusem została wysłana automatycznie do wszystkich jej znajomych. Zauważyłem, że w procesach jest otwartych kilka procesów explorer.exe z czego jeden zabiera 50% mocy obliczeniowej procesora, więc podejrzewam, że komputer w dalszym ciągu jest zainfekowany.
Wykonywane działania:
Skanowanie Adwcleaner oraz usunięcie nim zbędnych wpisów oraz skanowanie FRST oraz OTL na potrzeby tego posta. Na komputerze zainstalowany jest antywirus Avast oraz systemowa zapora.
Logi:
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję i pozdrawiam
Ewidentna infekcja.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [] => [X]
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:057EB038.dat"
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -No File
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Adzik\AppData\Local\Temp\AutoRun.exe
C:\Users\Adzik\AppData\Local\Temp\AutoRunGUI.dll
C:\Users\Adzik\AppData\Local\Temp\eauninstall.exe
C:\Users\Adzik\AppData\Local\Temp\libcurl-4.dll
C:\Users\Adzik\AppData\Local\Temp\Need for Speed Underground 2_uninst.exe
C:\Users\Adzik\AppData\Local\Temp\NOSEventMessages.dll
C:\Users\Adzik\AppData\Local\Temp\pthreadGC2.dll
C:\Users\Adzik\AppData\Local\Temp\Quarantine.exe
C:\Users\Adzik\AppData\Local\Temp\zlib1.dll
Task: {08CB5E79-5AAA-45E2-999B-1EB7D41D8E2F} - \Dealply No Task File <==== ATTENTION
Task: {1D53F2E9-8B17-4C32-95D9-77AF952C2369} - \DealPlyUpdate No Task File <==== ATTENTION
Task: {23860344-2167-427F-A00F-21B9A70E41FF} - \DealPlyLiveUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {3BE3E7C5-FF6F-4F3D-B8FD-D76A020F22C3} - \BrowserDefendert No Task File <==== ATTENTION
Task: {75EE15A8-A802-4CF3-95C4-95C86131556A} - \EPUpdater No Task File <==== ATTENTION
Task: {9C48D4EF-423D-4169-9A14-CED72051309D} - \DealPlyLiveUpdateTaskMachineCore No Task File <==== ATTENTION
AlternateDataStreams: C:\temp:057EA224.dat
AlternateDataStreams: C:\temp:057EB038.dat
AlternateDataStreams: C:\temp:list3
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:pid3
AlternateDataStreams: C:\Users\Adzik\Ustawienia lokalne:aqMRlYr4xBfUK5NZeQa2KLQzXLnC
AlternateDataStreams: C:\Users\Adzik\AppData\Local:aqMRlYr4xBfUK5NZeQa2KLQzXLnC
AlternateDataStreams: C:\Users\Adzik\AppData\Local\Dane aplikacji:aqMRlYr4xBfUK5NZeQa2KLQzXLnC
AlternateDataStreams: C:\Users\Adzik\AppData\Local\MS2v27tS:srvtEojTRpCD4beyvOaOQC3kL
AlternateDataStreams: C:\Users\Adzik\AppData\Local\UC7aBz4emL:Dc72X6TB2PBnlTmCRswUE2MD
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Zrób ponowny skan FRST i wstaw logi FRST.txt+Addition.txt
Postąpiłem zgodnie z instrukcjami, oto logi:
Fixlog [Aby zobaczyć linki, zarejestruj się tutaj]
FRST [Aby zobaczyć linki, zarejestruj się tutaj]
Addition [Aby zobaczyć linki, zarejestruj się tutaj]
Cholerstwo dalej siedzi chwila.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
(Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4159832100-2228810517-23401098-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:057EB038.dat"
SearchScopes: HKLM - DefaultScope value is missing.
C:\temp
AlternateDataStreams: C:\temp:057EB038.dat
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:pid3
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Nowe logi zrób ponownie.
Nie potrzebnie dałem wszystkie linie z explorer.exe żeby zamknąć proces wystarczyła jedna ale to nie ma znaczenia.
fixlog:
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jest prawie dobrze.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom,kliknij w
File>
Save i zapisz jako
AutoRuns.arn,plik prześlij na jakiś hosting np.tu
[Aby zobaczyć linki, zarejestruj się tutaj]
i przedstaw na forum.
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom autoruns i wejdź w zakładkę
logon i usuń z klucza
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Dwie pozycje oznaczone na żółto
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom ponownie komputer i sprawdź czy nadal to siedzi.
Wpisy zostały usunięte i po restarcie komputera nie widnieją na liście.
Tak więc ok
Jak używałeś wcześniej adwcleanera to klik w nim odinstaluj.
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.
Ja muszę spadać.
Jak wyświetli się raport z SecurityCheck to wklej na stronę i daj podgląd .
Wszystkie pozycje które będą oznaczone na czerwono będą do aktualizacji,jak to zrobisz to będzie na tyle.
Wielkie Dzięki za pomoc.
SecurityCheck:
[Aby zobaczyć linki, zarejestruj się tutaj]