Win32/Sality i dwa trojany - logi po czyszczeniu systemu

[Przemek07]

Witam serdecznie szanownych użytkowników Forum, i jednocześnie wychodzę do Was z prośbą o sprawdzenie logów z OTL po czyszczeniu systemu.

 

Jak w nazwie tematu problem dotyczył mam nadzieję systemu Windows 7 Ultimate w architekturze 64 bitowej. Komputer dostałem głównie z powodu infekcji Win32/Sality, a przy okazji dwoma końmi trojańskimi, niestety nie zanotowałem jakiego typu i masą zbędnych toolbarów, automatycznych przekierowań itd. 

 

Komputer czyściłem programem antywirusowym AVG AntiVirus Free Edition 2015, a same pliki wykonalne zarażone Win32/Sality naprawiałem za pomocą narzędzia AVG Virus Remover for Win32/Sality. Zbędne dodatki i udziwnienia do przeglądarek usunąłem za pomocą ADWCleaner, a trochę zbędnego softu usunąłem po prostu ręcznie. Na sam koniec wyczyściłem rejestr programem CCleaner w celu usunięcia nieaktywnych powiązań plików, odwołań do nich itd.

 

Na chwilę obecną system zdaje się być zdrowy, można powiedzieć że działa jak należy, nie mniej jednak wykonałem loga zgodnie z zaleceniami picasso programem OTL w celu weryfikacji czystości systemu. Zamieszczam w załącznikach pliki OTL.txt oraz Extras.txt.

 

Z góry bardzo dziękuję za ich przejrzenie i pomoc. Pozdrawiam. 

OTL.Txt

Extras.Txt

[picasso]

Proszę uzupełnij obowiązkowe tu logi z FRST i GMER.

[Przemek07]

Oto logi z FRST i GMER, przepraszam że nie dodałem ich od razu. Odnośnie GMER zaznaczam iż aplikacja Windows Media Player pracowała ponieważ było to konieczne i sam ją świadomie uruchomiłem. Wszelkie emulatory dysków oraz STPD zostały odinstalowane.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Log z FRST zrobiony niezgodnie z instrukcją, sekcje Drivers MD5 + List BCD nie miały być zaznaczona.

 

I wymagane czyszczące akcje poprawkowe:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-1280555722-776893358-3389123905-1000\Software\Classes\.exe: => 
FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox
S1 MpKsl41d8fba6; C:\Windows\system32\MpEngineStore\MpKsl41d8fba6.sys [45352 2014-10-20] (Microsoft Corporation)
S3 ALSysIO; \??\C:\Users\Przemek\AppData\Local\Temp\ALSysIO64.sys [X]
C:\Users\Przemek\AppData\Roaming\Mozilla
C:\Windows\system32\rlls64.dll
C:\Windows\system32\MpEngineStore\MpKsl41d8fba6.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go oraz logi z folderu C:\AdwCleaner.

 

2. W systemie są dwa konta:

 

========================= Accounts: ==========================
 

Przemek (S-1-5-21-1280555722-776893358-3389123905-1000 - Administrator - Enabled) => C:\Users\Przemek

Rodzina (S-1-5-21-1280555722-776893358-3389123905-1004 - Limited - Enabled) => C:\Users\Rodzina

 

Dostarczone zostały logi z administracyjnego konta Przemek, wymagane osobne logi również z konta limitowanego Rodzina. Nie używaj opcji "Przełącz użytkownika" lub "Wyloguj", lecz zresetuj system i zaloguj się na to limitowane konto. Uruchom FRST przez dwuklik (nie używaj opcji "Uruchom jako Administrator") i zrób nowe logi FRST (główny FRST.txt + Addition.txt, Shortcut za to zbędny)

 

 

 

 

.