driven Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 Cześć, spieszyłem się dlatego wziąłem się sam za usuwanie i niestety poległem, infekcja wraca. System był/jest ogólnie w opłakanym stanie (wirusy, aktualizacje itd.), doprowadziłem go do jakiegoś stanu używalności pozbywając powielającego się procesu wsctf.exe, który zamulał maszynę totalnie. Zostało niestety coś na pendrive i powiązane z tym pliki na pozostałych partycjach. Kiedyś już z czymś takim tutaj byłem, ale gdzieś coś chyba pomijam, że tym razem infekcja wraca. Wrzucam serię logów i dorzucam jeszcze listing z USBfix. O odinstalowaniu wirtualnego napędu przypomniałem sobie przed GMER-em ale nie wiem czy go gdzieś nie listuje chociaż uninstaller twierdzi, że nie ma w systemie sterownika SPDT. System ma też brak opcji pokazywania plików ukrytych i systemowych. Pozdrawiam driven FRST.txt Addition.txt OTL.Txt Extras.Txt GMER.txt UsbFix Listing 2 SICIAK-EF1F1335.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 Kiedyś już z czymś takim tutaj byłem, ale gdzieś coś chyba pomijam, że tym razem infekcja wraca. Omijasz sfałszowaną usługę infekcji jadącą na falsyfikacie svchost.exe i kilka innych ukrytych w procesach: R2 CreateProcess; C:\WINDOWS\system\svchost.exe [129368 2007-11-05] (Microsoft Corporation) HKCU\...\Run: [ati2avxx] - C:\WINDOWS\system32\ati2avxx.exe [75187 2013-09-05] () ==================== Processes (Whitelisted) =================== (Microsoft Corporation) C:\WINDOWS\system\svchost.exe (Microsoft Corporation) C:\WINDOWS\system\wupdmgr.exe () C:\WINDOWS\system32\ati2avxx.exe ==================== Loaded Modules (whitelisted) ============= 2013-09-06 03:55 - 2013-09-06 03:55 - 00031467 ___SH () C:\WINDOWS\system32\IMES.dll Dodatkowo, zablokowany plik HOSTS, a GMER notuje takie oto ukryte pliki: ---- Files - GMER 2.1 ---- File C:\qtyrq 0 bytes File C:\yogjr 35 bytes ---- EOF - GMER 2.1 ---- Akcja: 1. Otwórz Notatnik i wklej w nim: R2 CreateProcess; C:\WINDOWS\system\svchost.exe [129368 2007-11-05] (Microsoft Corporation) HKLM\...\Winlogon: [shell] Explorer.exe, [x ] () HKCU\...\Run: [ati2avxx] - C:\WINDOWS\system32\ati2avxx.exe [75187 2013-09-05] () MountPoints2: {2c2ef327-7115-11e2-9875-001a4dfda959} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe MountPoints2: {975f9601-8d54-11e1-9799-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe MountPoints2: {975f9602-8d54-11e1-9799-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe MountPoints2: {975f9604-8d54-11e1-9799-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe C:\Documents and Settings\LocalService\Dane aplikacji\searchquband C:\Documents and Settings\LocalService\Dane aplikacji\searchqutoolbar C:\Documents and Settings\LocalService\Dane aplikacji\Softonic C:\Documents and Settings\Właściciel\Dane aplikacji\searchquband C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\BabSolution C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\Babylon C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\DealPly C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\Delta C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\Desk 365 C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\DSite C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\eDownload C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\eIntaller C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\File Scout C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\OpenCandy C:\Documents and Settings\Właściciel.SICIAK-EF1F1335\Dane aplikacji\Uniblue C:\WINDOWS\system\svchost.exe C:\WINDOWS\System\win32out.dll C:\WINDOWS\System\win32in.dll C:\WINDOWS\system\wupdmgr.exe C:\WINDOWS\system32\ati2avxx.exe C:\WINDOWS\System32\aoupbie.dll C:\WINDOWS\system32\aoupbie.nls C:\WINDOWS\system32\IMES.dll C:\WINDOWS\System32\mlburmh.inf C:\autorun.inf C:\explore.exe C:\qtyrq C:\yogjr C:\kxsgd C:\mlburmh.exe D:\autorun.inf D:\explore.exe D:\mlburmh.exe E:\autorun.inf E:\explore.exe E:\mlburmh.exe J:\autorun.inf J:\explore.exe J:\mlburmh.exe J:\cnixr J:\roeta J:\yglit J:\Ĺ®ÓŃĐ´ŐćŐŐƬ.exe J:\Č«ĽŇ¸Ł.exe J:\ÄĐÓŃŇŐĘőŐŐ.exe CMD: rd /s /q C:\RECYCLER CMD: rd /s /q D:\RECYCLER CMD: rd /s /q E:\RECYCLER Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiU.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastU3.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvU3Launcher.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ghost.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\irsetup.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.com" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctorMain.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ScanU3.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SelfUpdate.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\upiea.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USBCleaner.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zjb.exe" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj śmieci DownLite, hosts, Qtrax Player, Update for Ultimate Codec, WinZipper. Cześć to pewnie martwe wpisy. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: skan FRST (zaznacz ponownie by powstał Addition), GMER oraz USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
driven Opublikowano 6 Września 2013 Autor Zgłoś Udostępnij Opublikowano 6 Września 2013 Dzięki za szybką pomoc. FRST.txt Addition.txt Fixlog.txt GMER.txt UsbFix Listing 3 SICIAK-EF1F1335.txt AdwCleanerS3.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 Wszystko wykonane, ale to nie koniec. Na dyskach zostały wyprodukowane nowe ukryte obiekty. Jedziemy z kolejną porcją: 1. Otwórz Notatnik i wklej w nim: Folder: C:\WINDOWS\system HKCU\...\Run: [ati2avxx] - C:\WINDOWS\system32\ati2avxx.exe [x] C:\eabja D:\autorun.inf D:\otddn D:\uicvx E:\autorun.inf E:\utrrj J:\autorun.inf J:\nyxvp J:\opfax J:\nqxyj J:\leflv J:\jajdo J:\iocep J:\renli J:\jgxxl J:\lfnlj J:\vyqvw J:\uvohk J:\yvvoy J:\ejftf J:\cfqcd J:\harpo J:\jqmss J:\wgnjp J:\afhal J:\onals J:\jtycj J:\eooha J:\wyooo J:\fwwxm J:\duciu J:\fyiyd J:\yywkf J:\cfsfo J:\qxnwh J:\cnbep J:\stfvc J:\omaiv J:\mcxqk J:\bjknt J:\eajgk J:\ofnhd J:\aengc J:\fonoy J:\xibmj J:\qjqcb J:\tuqil J:\fgvhu J:\fretf J:\ntxua J:\vonho J:\ujiah J:\pajdi J:\smirv J:\cywpi J:\uybia Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom Panda USB Vaccine, wybierz opcję USB Vaccination wskazując dysk J:. Opcja "Computer Vaccination" zbędna, bo to już robiłam skryptem FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f 3. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt. . Odnośnik do komentarza
driven Opublikowano 6 Września 2013 Autor Zgłoś Udostępnij Opublikowano 6 Września 2013 Wszystko zrobione. Edit. Dodam by nie zabierać więcej czasu, że komputera już u mnie nie ma. Doczyściłem tylko C:\autorun.inf, który chyba przypadkiem nie umieściłaś w fixie, pousuwałem pozostałości po narzędziach naprawczych jak i same programy, aktualizowałem co uznałem za konieczne i zainstalowałem antywirusa. Gościowi spieszyło się bo wykorzystywał ten komputer do pracy (trudno uwierzyć ale jednak na czymś takim pracował xD). Prędzej czy później i tak z nim wróci, a że wytrwały jest to pewnie trochę później. xD FRST.txt Fixlog.txt UsbFix Listing 5 SICIAK-EF1F1335.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 Kompa już nie ma, ale tu miało być jeszcze sprawdzanie czy działa Tryb awaryjny. To malware robi w kluczu SafeBoot modyfikację usuwającą klasę dysku twardego (czyli BSOD przy wejściu w awaryjny): KLIK. Czyli byłby taki import rejestru do wdrożenia: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się