daniel18c Opublikowano 26 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2011 Mam problem z aoutrun.inf. NOD 32 wykrył właśnie coś takiego i to się pojawia na każdej partycji oraz pliki .exe o różnych oznaczeniach , literach . gdy miałem włączonego antywirusa, uruchomiłem gadu gadu(wykrył mi też, że gg.exe est trojanem) . I właśnie od tamtej chwili pojawiło się ( kilkanaście) informacji właśnie o aoutorun.inf na wszystkich partycjach, który się nie usuwał a , lecz pojawiał co z powrotem. problem był taki, że proces gg wynosił 100 % użycia procesora, gdy po prostu wyłączyłem proces, te 100 % losowo ''przechodziło'' na inny proces , lub pojawiały się nowe o dziwnych nazwach które maksymalnie obciążały procesor . Usunąłem całe gg, ale po odpalenu np. GTA IV , znowu się zaczęło . 100 % znika dopiero , gdy po prostu zamknę wszystko procesy, które mają te 100 % . Proszę o pomoc. OTL.Txt Extras.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 ComboFix usunął wstępnie obiekty infekcji autorun.inf oraz częściowo adware (AutocompletePro / IObit Toolbar), ale on Ci tu nie pomoże i zaraz będzie wyjaśnienie dlaczego. W OTL widać zaledwie jeden ukryty plik infekcji cualim.exe, śmieci paskowe i crack Office. Ale ... zarówno te pliki usuwane jak i autoryzacje w zaporze mówią, że zagnieździł się tu wirus Sality. To wirus który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Wprawdzie tu jest system 64-bit, ale zgłoszenie o zainfekowaniu Gadu potwierdza, że zarażanie plików 32-bitowych ma miejsce. W autoryzacjach zapory marker "ipsec" (charakterystyczny dla Sality) jest obecny przy bardzo wielu programach (czyli te programy już muszą być zainfekowane): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Users\Daniel\Desktop\No Premium.exe" = C:\Users\Daniel\Desktop\No Premium.exe:*:Enabled:ipsec -- (NoPremium.pl)"E:\Program Files (x86)\OniGames\Alarm for Cobra\unins000.exe" = E:\Program Files (x86)\OniGames\Alarm for Cobra\unins000.exe:*:Enabled:ipsec"C:\Users\Daniel\AppData\Local\Temp\winxtjy.exe" = C:\Users\Daniel\AppData\Local\Temp\winxtjy.exe:*:Enabled:ipsec"C:\Users\Daniel\AppData\Local\Temp\is-UE0P6.tmp\is-E2806.tmp" = C:\Users\Daniel\AppData\Local\Temp\is-UE0P6.tmp\is-E2806.tmp:*:Enabled:ipsec"C:\Program Files (x86)\Nowe Gadu-Gadu\gg.exe" = C:\Program Files (x86)\Nowe Gadu-Gadu\gg.exe:*:Enabled:ipsec"C:\Program Files (x86)\Opera\opera.exe" = C:\Program Files (x86)\Opera\opera.exe:*:Enabled:ipsec -- (Opera Software)"C:\Users\Daniel\AppData\Local\Temp\yhdfd.exe" = C:\Users\Daniel\AppData\Local\Temp\yhdfd.exe:*:Enabled:ipsec"C:\Users\Daniel\AppData\Local\Temp\winhskor.exe" = C:\Users\Daniel\AppData\Local\Temp\winhskor.exe:*:Enabled:ipsec"C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" = C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe:*:Enabled:ipsec -- (DT Soft Ltd)"C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe" = C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe:*:Enabled:ipsec -- ( Systweak Inc)"C:\Users\Daniel\AppData\Local\Temp\winbbcj.exe" = C:\Users\Daniel\AppData\Local\Temp\winbbcj.exe:*:Enabled:ipsec"C:\Program Files (x86)\Nowe Gadu-Gadu\spellchecker_gg.exe" = C:\Program Files (x86)\Nowe Gadu-Gadu\spellchecker_gg.exe:*:Enabled:ipsec"D:\Program Files (x86)\Czat DC\DCPlusPlus.exe" = D:\Program Files (x86)\Czat DC\DCPlusPlus.exe:*:Enabled:ipsec -- ()"C:\Windows\vsnpstd3.exe" = C:\Windows\vsnpstd3.exe:*:Enabled:ipsec -- ()"C:\kqtxx.exe" = C:\kqtxx.exe:*:Enabled:ipsec"C:\Users\Daniel\Desktop\No Premium.exe" = C:\Users\Daniel\Desktop\No Premium.exe:*:Enabled:ipsec -- (NoPremium.pl)"E:\Program Files (x86)\OniGames\Alarm for Cobra\unins000.exe" = E:\Program Files (x86)\OniGames\Alarm for Cobra\unins000.exe:*:Enabled:ipsec"C:\Users\Daniel\AppData\Local\Temp\winxtjy.exe" = C:\Users\Daniel\AppData\Local\Temp\winxtjy.exe:*:Enabled:ipsec"C:\Users\Daniel\AppData\Local\Temp\is-UE0P6.tmp\is-E2806.tmp" = C:\Users\Daniel\AppData\Local\Temp\is-UE0P6.tmp\is-E2806.tmp:*:Enabled:ipsec"C:\Program Files (x86)\Nowe Gadu-Gadu\gg.exe" = C:\Program Files (x86)\Nowe Gadu-Gadu\gg.exe:*:Enabled:ipsec"C:\Program Files (x86)\Opera\opera.exe" = C:\Program Files (x86)\Opera\opera.exe:*:Enabled:ipsec -- (Opera Software)"C:\Users\Daniel\AppData\Local\Temp\yhdfd.exe" = C:\Users\Daniel\AppData\Local\Temp\yhdfd.exe:*:Enabled:ipsec"C:\Users\Daniel\AppData\Local\Temp\winhskor.exe" = C:\Users\Daniel\AppData\Local\Temp\winhskor.exe:*:Enabled:ipsec"C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" = C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe:*:Enabled:ipsec -- (DT Soft Ltd)"C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe" = C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe:*:Enabled:ipsec -- ( Systweak Inc)"C:\Users\Daniel\AppData\Local\Temp\winbbcj.exe" = C:\Users\Daniel\AppData\Local\Temp\winbbcj.exe:*:Enabled:ipsec"C:\Program Files (x86)\Nowe Gadu-Gadu\spellchecker_gg.exe" = C:\Program Files (x86)\Nowe Gadu-Gadu\spellchecker_gg.exe:*:Enabled:ipsec"D:\Program Files (x86)\Czat DC\DCPlusPlus.exe" = D:\Program Files (x86)\Czat DC\DCPlusPlus.exe:*:Enabled:ipsec -- ()"C:\Windows\vsnpstd3.exe" = C:\Windows\vsnpstd3.exe:*:Enabled:ipsec -- ()"C:\kqtxx.exe" = C:\kqtxx.exe:*:Enabled:ipsec Bez pomocy antywirusa nie zlikwidujesz tego. A że temat powstał wczoraj, od wczoraj sytuacja może być już znacznie gorsza. 1. Wstępne usunięcie niektórych elementów (to nie zatrzyma infekcji). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files cualim.exe /alldrives autorun.inf /alldrives C:\Windows\SysWow64\secustat.dat C:\Windows\SysWow64\secushr.dat C:\Program Files (x86)\Application Updater C:\Users\matti\AppData\Roaming\OpenCandy C:\Users\Daniel\AppData\Local\Temp*.html :Services cpu Application Updater :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL O2:64bit: - BHO: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - No CLSID value found. O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - File not found O2 - BHO: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - No CLSID value found. :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz log z tego działania. 2. Zastosuj szczepionkę SalityKiller. Nie jestem pewna w jaki sposób się ona zachowa na 64-bitowym systemie. 3. Przejdź do apletu deinstalacji programów i odinstaluj śmieci Ask Toolbar, DAEMON Tools Toolbar, IObit Toolbar 4. Wytwórz nowy log z OTL (nie zapomnij przestawić opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania") na dostosowanym warunku. W sekcji Własne opcje skanowania / skrypt wklej: DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C Klik w Skanuj (a nie Wykonaj skrypt). Przedstaw również wyniki działań SalityKiller, czy coś usuwał / leczył.... . Odnośnik do komentarza
daniel18c Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 więc, zrobiłem wszystko co było potrzebne, SalityKiller wykrył jakoś 254 zainfekowane pliki (proces ten robiłem dawno trochę, a nie wiem czy gdzieś jest to zapisne...), ale logi z OTL coś nie idą.. tzn . wyskoczył jakiś bląd, że nie można utworzyć cmd.exe na pulpicie, a teraz już od jakiegoś czasu jest pokazane Checking Manual Scans . Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 ale logi z OTL coś nie idą.. tzn . wyskoczył jakiś bląd, że nie można utworzyć cmd.exe na pulpicie, a teraz już od jakiegoś czasu jest pokazane Checking Manual Scans . Przerwij aktualny nieudany skan OTL i wklej inną sekwencję do skanowania: C:\*.* D:\*.* E:\*.* Odnośnik do komentarza
daniel18c Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 teraz się udało.. i jeszcze.. na dyskach d i e pojawiły mi sie dwa pliki . na E: jest to : bohejh.exe a na D :sdcbu . Czy to jest cześć wirusa ? . OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Zapomniałeś przestawić "Rejestr - skan dodatkowy" na "Użyj filtrowania", dlatego nie powstał log Extras. Dostarczone dane: niestety, pliki wirusa są rozsiane po dyskach i przypuszczam, że infekcja w programach nadal ma miejsce. i jeszcze.. na dyskach d i e pojawiły mi sie dwa pliki . na E: jest to : bohejh.exe a na D :sdcbu . Czy to jest cześć wirusa ? Tak i Ty widzisz tylko te dwa, a jest ich znacznie więcej z atrybutami ukrytymi. Nie widzisz reszty plików, bo opcji widoku nie masz odpowiednio dostosowanych ... Powtórka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-04-27 15:21:45 | 000,025,316 | RHS- | M] () -- C:\ahrgc.exe [2011-04-27 15:21:51 | 000,033,508 | RHS- | M] () -- C:\bgbwyc.pif [2011-04-27 15:39:08 | 000,033,508 | RHS- | M] () -- C:\tajfjy.exe [2011-04-27 15:39:14 | 000,033,508 | RHS- | M] () -- C:\tgnw.pif [2011-04-27 15:39:16 | 000,025,316 | RHS- | M] () -- C:\tjdij.exe [2011-04-27 16:08:36 | 000,033,508 | RHS- | M] () -- D:\dorw.pif [2011-04-27 16:08:46 | 000,025,316 | RHS- | M] () -- D:\epheg.exe [2011-04-27 16:08:50 | 000,025,316 | RHS- | M] () -- D:\fiquno.exe [2011-04-27 16:09:16 | 000,025,316 | RHS- | M] () -- D:\hytsvy.pif [2011-04-27 16:09:23 | 000,033,508 | RHS- | M] () -- D:\lhyb.exe [2011-04-27 16:19:47 | 000,033,508 | ---- | M] () -- D:\sdcbu.exe [2011-04-27 16:25:08 | 000,025,316 | ---- | M] () -- E:\bohejh.exe [2011-04-27 16:29:39 | 000,025,316 | RHS- | M] () -- E:\icnpt.exe [2011-04-27 16:29:41 | 000,025,316 | RHS- | M] () -- E:\idtuh.exe [2011-04-27 16:29:46 | 000,033,508 | RHS- | M] () -- E:\olppu.exe [2011-04-27 16:29:51 | 000,033,508 | RHS- | M] () -- E:\olxoa.exe [2011-04-27 16:54:23 | 000,025,316 | RHS- | M] () -- E:\twvoml.exe O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz z tego log. 2. Ponownie użyj SalityKiller. Stosuj go do skutku, czyli do momentu gdy jego ponowne uruchomienie przestanie zgłaszać jakiekolwiek zainfekowane pliki. 3. Generujesz nowy zestaw logów z OTL. "Rejestr - skan dodatkowy" ustaw na "Użyj filtrowania", a w polu Własne opcje skanowania / skrypt wklej to co poprzednio: C:\*.* D:\*.* E:\*.* Klik w Skanuj. . Odnośnik do komentarza
daniel18c Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Więc, chyba wszystko jest już ok. Skan salitykillerem nic nie wykrył (0 zainfekowanych, 0 wyleczonych itd. ) i chyba wydaje mi się, że już jest wszystko w porządku. i zauważyłem pewną zmianę. Wczoraj przy uruchamianiu OTL nie było zabezpieczenia ani w innych programach mających takowe zabezpiecznie (chodzi tu o wybór tak, czy nie - dostęp ) . Dzisiaj, teraz właśnie po salitykillerze jest jużnormalnie, w OTL pytanie tak czy nie. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Potwierdzam, wedle raportów jest OK, choć mimo moich zaleceń nie podałeś fragmentu Extras.... Jeśli któryś program stanie okoniem, może to być skutek uszkodzenia wirusem lub procesem leczenia z Sality, po prostu przeinstalujesz. Przeprowadź czynności końcowe: 1. Pozostał drobniutki szczątek po upierdliwym pasku narzędziowym: O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Start > w polu szukania wklep regedit > w kluczu: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser Skasuj numerek {D4027C7F-154A-4066-A1AD-4243D8127440}. 2. Skasuj z dysku przez SHIFT+DEL folder kwarantanny OTL C:\_OTL 3. Odinstaluj w prawidłowy sposób ComboFix, co usunie jego składniki / kwarantannę oraz wyczyści foldery Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w dialogu Uruchom wklej komendę: C:\Users\Daniel\Desktop\ComboFix.exe /uninstall 4. Aktualizacje systemu i programów: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"Opera 11.01.1169" = Opera 11.01"Vtune_is1" = Vtune 7.8 - Zainstaluj SP1. Zaktualizuj przeglądarki, Java i Adobe Reader. Szczegóły aktualizacyjne: INSTRUKCJE. - Rozważ aktualizację / wymianę antywirusa. Jest stary (sprzed dwóch lat). - Ten sfatygowany tweaker Vtune polecam odinstalować. . Odnośnik do komentarza
daniel18c Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 a więc dodaje plik extras, mam nadzieję że w czymś pomoże. ; ) . Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Oceniony, upewniłam się, że w kluczu autoryzacji zapory nie ma nic nowego. Podane wyżej instrukcje nadal aktualne w formie w jakiej podałam. Odnośnik do komentarza
daniel18c Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 aha.. czyli wszystko jest już ok ? . a co powoduje takie właśnie antywirusy i czego mam unikać ? . na przyszłość ; ] Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 (edytowane) aha.. czyli wszystko jest już ok ? W pełni OK będzie jak wykonasz wszystkie końcowe kroki porządkowe i aktualizacyjne. a co powoduje takie właśnie antywirusy i czego mam unikać ? Masz na myśli "wirusy"? Sality głównie rozprzestrzenia się via urządzenia przenośne USB (pendrive etc.) i dyski sieciowe, ale jest także możliwe, że została otworzona jakaś szkodliwa strona internetowa, która automatycznie załadowała infekcję. Oceniając pliki, które leżały w root dysków, widzę tu i pliki startowe Windows XP. Jeśli masz rzeczywiście układ dual-boot ze starszym systemem, to Sality mógł wejść przez Windows XP, a przez niefortunne przeniesienie jakiegoś pliku wykonywalnego między XP a Windows 7 mogłeś sam sobie to wsadzić na nowszy system. By nie dopuścić do infekcji (prócz oczywistej uwagi co uruchamiasz i skąd), musi być antywirusowa osłona rezydentna, która zatrzyma wykonanie infekcji. U Ciebie nie wiem co poległo (i czy ESET był aktywny), ale podstawy to nowoczesny w pełni zaktualizowany AV na straży i maksymalnie załatany system. Inna sprawa, masz 64-bitowy system, a to znaczy że wirus działał tylko "w połowie", plądrował tylko 32-bitowe fragmenty, nie powinien naruszyć żadnego czysto 64-bitowego pliku systemu ani klucza Trybu awaryjnego. . Edytowane 27 Maja 2011 przez picasso 27.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi