Objawy zainfekowania:
Wirus zainstalowany wraz z programem Makwarebytes Anti-Malware. Spowalnia komputer, brak systemu awaryjnego, problem przy otwieraniu dysku C
Wykonywane działania:
Skan Makwarebytes Anti-Malware
Logi:
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL RXTRAS
[Aby zobaczyć linki, zarejestruj się tutaj]
FIRST
[Aby zobaczyć linki, zarejestruj się tutaj]
ADDITION
[Aby zobaczyć linki, zarejestruj się tutaj]
MALWAREBYTES
[Aby zobaczyć linki, zarejestruj się tutaj]
To się załatwiłeś sality infekującym pliki wykonywalne typu exe.
Zaczynamy działania.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
(Microsoft Corporation) C:\WINDOWS\system32\rundll32.exe
() C:\DOCUME~1\Adrian\USTAWI~1\Temp\winsjnm.exe
() C:\DOCUME~1\Adrian\USTAWI~1\Temp\winwmcve.exe
() C:\DOCUME~1\Adrian\USTAWI~1\Temp\winxyyhqj.exe
HKU\S-1-5-21-1390067357-1645522239-839522115-1004\...\MountPoints2: {b573f6ef-11ec-11e4-8573-806d6172696f} - E:\fhhfy.pif
HKU\S-1-5-21-1390067357-1645522239-839522115-1004\...\MountPoints2: {b573f6f2-11ec-11e4-8573-806d6172696f} - C:\xipqn.exe
HKU\S-1-5-21-1390067357-1645522239-839522115-1004\...\MountPoints2: {b573f6f3-11ec-11e4-8573-806d6172696f} - D:\ysgp.pif
HKU\S-1-5-21-1390067357-1645522239-839522115-1004\...\MountPoints2: {eb5fae02-11e1-11e4-b84e-001d7dbc15f1} - G:\oapgc.pif
HKU\S-1-5-21-1390067357-1645522239-839522115-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {b573f6ef-11ec-11e4-8573-806d6172696f} - E:\fhhfy.pif
HKU\S-1-5-21-1390067357-1645522239-839522115-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {b573f6f2-11ec-11e4-8573-806d6172696f} - C:\xipqn.exe
HKU\S-1-5-21-1390067357-1645522239-839522115-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {b573f6f3-11ec-11e4-8573-806d6172696f} - D:\ysgp.pif
HKU\S-1-5-21-1390067357-1645522239-839522115-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {eb5fae02-11e1-11e4-b84e-001d7dbc15f1} - G:\oapgc.pif
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} =>No File
AlternateShell:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nasza-klasa.pl
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nasza-klasa.pl
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {D81A348A-4E82-4B7E-8285-D7FC3F2D04EC} URL = http://www.nasza-klasa.pl/szukaj/profile?q={searchTerms}
S2 MBAMScheduler; "C:\Malwarebytes'' Anti-Malware\mbamscheduler.exe" [X]
S2 MBAMService; "C:\Malwarebytes'' Anti-Malware\mbamservice.exe" [X]
R3 amsint32; \??\C:\WINDOWS\system32\drivers\lfjmmn.sys [X]
C:\xipqn.exe
C:\Program Files\GUT2C3.tmp
C:\Program Files\GUM2C2.tmp
C:\Documents and Settings\Adrian\Ustawienia lokalne\Temp\7CEB9B2A0E395BD64E74381485A106AF.dll
C:\Documents and Settings\Adrian\Ustawienia lokalne\Temp\dup2patcher.dll
C:\Documents and Settings\Adrian\Ustawienia lokalne\Temp\winsjnm.exe
C:\Documents and Settings\Adrian\Ustawienia lokalne\Temp\winwmcve.exe
C:\Documents and Settings\Adrian\Ustawienia lokalne\Temp\winxyyhqj.exe
C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CB0AACC9
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
Reboot:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Ściągnij Disable autorun i z prawokliku myszki scal
[Aby zobaczyć linki, zarejestruj się tutaj]
Ściągnij
usbfix [Aby zobaczyć linki, zarejestruj się tutaj]
i przy podłączonym nośniku wymiennym typu pendrive w programie klik
Listing,podaj log z niego.
Witam
Dziękuję za szybką pomoc
Zrobiłem jak w instrukcji wyżej
logi:
Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj]
UsbFix
[Aby zobaczyć linki, zarejestruj się tutaj]
Przy podpiętym uprzędzeniu przenośnym do notatnika wklej i zapisz jako
fixlist.txt
Kod:
C:\yybd.pif
C:\autorun.inf
D:\ysgp.pif
D:\autorun.inf
D:\lsylnb.exe
D:\Bootfont.bin
E:\fhhfy.pif
E:\dorcg.pif
E:\autorun.inf
E:\AI_RecycleBin
G:\oapgc.pif
G:\autorun.inf
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh firewall reset
Reboot:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Ściągnij program
SalityKiller [Aby zobaczyć linki, zarejestruj się tutaj]
Wykonaj nim skan do skutku, tzn. po pierwszym przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.
Jeśli uzyskasz wynik że jest wszystko już czyste,to ściągnij wpis do rejestru naprawiający tryb awaryjny,z prawokliku myszki scal go
[Aby zobaczyć linki, zarejestruj się tutaj]
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt+ OTL ale bez extras
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
ADDITION
[Aby zobaczyć linki, zarejestruj się tutaj]
SHORTCUT
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Wygląda to już o wiele lepiej.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
S3 amsint32; \??\C:\WINDOWS\system32\drivers\lfjmmn.sys [X]
C:\btfa.exe
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CB0AACC9
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver"
Reboot:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Czy działania programem SalityKiller były wykonywane do skutku,czyli do zwrotu zero zainfekowanych ?
Odinstaluj MBAM za pomocą programu mbam-clean
[Aby zobaczyć linki, zarejestruj się tutaj]
Ściągnij poprawną wersję ze strony producenta i zainstaluj
[Aby zobaczyć linki, zarejestruj się tutaj]
Przeprowadź nim pełne skanowanie i pokaż jakie są wyniki.
SalityKiller nic już nie wykrywa
FIXLOG
[Aby zobaczyć linki, zarejestruj się tutaj]
MALWAREBYTES
[Aby zobaczyć linki, zarejestruj się tutaj]
Usuwałeś ten klucz co tam jeszcze widzi zrób nowe logi FRST.txt tylko.
Działa już awaryjny ?
Tak klucz usunięty, MALWAREBYTES juz nic nie znajduje
Tryb awaryjny działa
log z FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Wygląda już ok,na koniec jeszcze to.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
C:\WINDOWS\system32\Drivers\aswsnx.sys.1406121038843
C:\WINDOWS\system32\Drivers\aswrdr.sys.1406121038843
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Program Files\Trojan Remover
Reboot:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
uruchom i kliknij Start.
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Zrobione
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
SECURITY CHECK
[Aby zobaczyć linki, zarejestruj się tutaj]
Adobe Reader 10.0.1 do aktualizacji.
Czy Windows Security Center zostało wyłączone specjalnie ?
Jak nie to w Menu start > uruchom wpisz
services.msc enter,znajdź usługę
centrum zabezpieczeń i zmień tak jak na screenie i zastosuj.
[Aby zobaczyć linki, zarejestruj się tutaj]