wojgaw Opublikowano 11 Maja 2011 Zgłoś Udostępnij Opublikowano 11 Maja 2011 (edytowane) Dzięki za uświadomienie błędu, teraz postaram się napisać poprawnie Typ systemu: 32bitowy jaki to wirus dowiedziałem się po przegrywaniu informacji na telefon, dopiero tam znajdowały sie pliki: EXPLORER.EXE, AutoRun.inf, RECYCLER myślałem że program ComboFix sobie z wirusem poradzi jednak jak uświadomiła mnie osoba poniżej tak sie nie powinno stać Jeśli jeszcze coś trzeba dopisać dajcie znać ComboFix.txt OTL.txt Extras.txt GMER.txt Edytowane 11 Maja 2011 przez picasso Temat poprawiłeś, logi przerzucam do Załączników. //picasso Odnośnik do komentarza
picasso Opublikowano 11 Maja 2011 Zgłoś Udostępnij Opublikowano 11 Maja 2011 Niestety, tu nie tylko jest obecna prosta infekcja, o której mówisz. Widnieje tu także rootkit (uxjoved.dll) oraz wirus Sality który niszczy wszystkie pliki wykonywalne na wszystkich dyskach. 1. Usuwanie wstępne składników (to nie zatrzyma infekcji Sality). Otwórz Notatnik i wklej w nim: Driver:: dpti930 wbfrumhkb nnbktndg NetSvc:: wbfrumhkb File:: c:\windows\system32\uxjoved.dll c:\windows\system32\EXPLORER.EXE c:\documents and settings\BBB\Menu Start\Programy\Autostart\ctfmon.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "7349:TCP"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Pobierz SalityKiller i za jego pomocą przeprowadź leczenie plików. Do skutku (nie może pozostać ani jeden zainfekowany plik). 3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 4. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci Conduit Engine + Softonic-Polska Toolbar. 5. Po wykonaniu wszystkich zadań i restarcie komputera: wytwarzasz nowe logi z OTL i GMER, dołączasz także log powstały z usuwania ComboFix w punkcie 1 oraz słowne podsumowanie pracy SalityKiller. Logi - korzystaj z funkcji Załączniki, temat jest bardziej czytelny. . Odnośnik do komentarza
wojgaw Opublikowano 11 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2011 w programie SalityKiller nie został ani jeden zweryfikowany plik OTL.Txt GMER.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Maja 2011 Zgłoś Udostępnij Opublikowano 11 Maja 2011 Masz na myśli chyba "ani jeden zainfekowany". Oceniając wyniki: ComboFix wykonał tylko część roboty (jak mówiłam, usuwanie za jego pomocą obiektów Sality nie wstrzymuje rekonstrukcji) i obiekty związane z wirusem natychmiast po usuwaniu powróciły, plus z niewiadomej przyczyny nie ruszył sfałszowanych plików explorer.exe + cftmon.exe, a także pozostał plik DLL rootkita. SalityKiller zadziałał, gdyż usługa Sality już nie widnieje w logu OTL (mimo, że we wcześniejszym ComboFix była oznaczona jako utworzona zaraz po usuwaniu). Natomiast pozostały pliki Sality na dyskach (autorun.inf + gjjvvv27.exe) oraz fałszywy zestaw mimetyzujący komponenty Windows (Recycled, explorer.exe, ctfmon.exe - ten ostatni zresztą w autoryzacjach zapory przechodzi z oznaczeniem "ipsec", czyli podwójna infekcja = wirus Sality zainfekował plik infekcji). 1. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives gjjvvv27.exe /alldrives Recycled /alldrives C:\Documents and Settings\BBB\Menu Start\Programy\Autostart\ctfmon.exe C:\WINDOWS\System32\uxjoved.dll [override] C:\WINDOWS\System32\EXPLORER.EXE [stopoverride] :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}] @="URL Exec Hook" [HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32] @="shell32.dll" "ThreadingModel"="Apartment" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz z tego działania log. 2. Dla pewności: ponownie uruchom SalityKiller i sprawdź czy nie ma jakiś nowych zainfekowanych plików. Ostatni odczyt z OTL ma oznaczenie "ipsec" nie tylko dla infekcyjnego ctfmon.exe ale i WinAmpa... 3. Wytwórz nowy log z OTL, ale na dostosowanym warunku. W polu Własne opcje skanowania / skrypt wklej: C:\*.* D:\*.* E:\*.* F:\*.* Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz także log powstały z usuwania OTL w punkcie 1. . Odnośnik do komentarza
wojgaw Opublikowano 12 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2011 wykonane logi: OTL.Txt log pkt 1.txt Odnośnik do komentarza
picasso Opublikowano 12 Maja 2011 Zgłoś Udostępnij Opublikowano 12 Maja 2011 Wszystko zostało wykonane, szkodliwe pliki zostały bez trudu przesunięte do kwarantanny. W nowym OTL nie widzę już żadnych znaków infekcji. 1. Odinstaluj ComboFix w prawidłowy sposób. W Start > Uruchom > wklej polecenie: C:\ComboFix.exe /uninstall 2. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę i program OTL. 3. Wykonaj pełny skan za pomocą narzędzia Kaspersky Virus Removal Tool i przedstaw wyniki. 4. Wszystkie programy, które przestały działać, należy przeinstalować. M.in. jest tu poszkodowany Spik, którego plik główny ComboFix wycinał już na samym początku. . Odnośnik do komentarza
wojgaw Opublikowano 12 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2011 Kaspersky : kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 12 Maja 2011 Zgłoś Udostępnij Opublikowano 12 Maja 2011 1. Są tu trzy grupy wyników: Szkodliwy plik facebook-pic00005267.exe (usunięty) oraz ChromeSetup.exe (jeśli to prawdziwy instalator GoogleChrome, to być może to fałszywy alarm). Wszystkie foldery o nazwie Qoobox to są kwarantanny ComboFix. ComboFix już tu był odinstalowywany, to muszą być foldery pochodzące z innych wystąpień ComboFix. Z dysków D + E + F przez SHIFT+DEL skasuj owe foldery. Foldery System Volume Information to foldery Przywracania systemu. Wyczyścisz je w następujący sposób: INSTRUKCJE. 2. Aktualizacja software: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish"Gadu-Gadu" = Gadu-Gadu 7.7"Spik" = Spik Widzialny tu Adobe Reader do deinstalacji i zastąpienia przez najnowszy Adobe Reader X (odptaszkuj montaż sponsora McAfee). GG7 + Spik: Oba programy nie nadają się na dzień dzisiejszy do obsługi Gadu z podstawowego powodu = brak zgodności. Oglądnij sobie temat Darmowe komunikatory i poczytaj opisy alternatyw z lepszą obsługą Gadu: AQQ, Kadu, WTW, Miranda. Osobiście polecam WTW. 3. Wreszcie: system nie ma żadnych zabezpieczeń. W pierwszym skrypcie ComboFix importowałam do rejestru wpis zabezpieczający przed infekcją z pendrive (blokowanie interpretacji autorun.inf przez system), ale to za mało. Jest potrzebny przynajmniej antywirus z osłoną rezydentną. Podsumuj na koniec co się dzieje w systemie, czy są jakieś widoczne problemy i czy coś jeszcze należy naprawiać. . Odnośnik do komentarza
wojgaw Opublikowano 12 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2011 Polecenia wykonane Jeśli chodzi o działanie systemu to wydaje sie że funkcjonuje poprawnie i nic nie wzbudza moich podejrzeń a co do antywirusa to chodzi mi po głowie albo awast albo kaspersky, może jakaś podpowiedź ? dzięki wielkie za pomoc trzeba będzie pomyśleć o wsparciu tak dobrego forum Odnośnik do komentarza
picasso Opublikowano 13 Maja 2011 Zgłoś Udostępnij Opublikowano 13 Maja 2011 (edytowane) a co do antywirusa to chodzi mi po głowie albo awast albo kaspersky, może jakaś podpowiedź ? Bez sprzeciwu. Wybierz ten, który Ci bardziej odpowiada. Tu dodatkowo załączam opcjonalnie jeszcze inne typy oprogramowania (wersje darmowe): Antywirus w technice chmury (może działać równolegle z innym tradycyjnym antywirusem): Panda Cloud Antivirus Antykeylogger: SpyShelter Personal, KeyScrambler Personal Firewall: COMODO Firewall, Online Armor Free, PrivateFirewall Cały pakiet: COMODO Internet Security Mała uwaga: pewne funkcje (mam na myśli osłonę proaktywną / HIPS) się skrzyżują i wybierając dwa programy wykazujące tę cechę należy w jednym z nich ją zdeaktywować, by nie przedobrzyć. . Edytowane 13 Czerwca 2011 przez picasso 13.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi