asnaebaem Opublikowano 26 Maja 2012 Zgłoś Udostępnij Opublikowano 26 Maja 2012 Witam. Nazywam się Hubert, i jestem nowym userem tego forum. Mój problem jest taki, że po uruchomieniu komputera, po 15-30 minutach sam się wyłącza. Jakbyście mogli mi coś doradzić lub pomóc w całości bym był bardzo wdzięczny. Jeżeli będą potrzebne logi z ComboFix, to odrazu wstawię, bo zrobiłem je 5 minut temu. Proszę o pomoc. Z góry Dziękuję. Odnośnik do komentarza
Majaque Opublikowano 26 Maja 2012 Zgłoś Udostępnij Opublikowano 26 Maja 2012 Żeby to chociaż wierszem było, to formatowanie tekstu można byłoby uznać za uzasadnione. Logi z Combofix niepotrzebne, wręcz niewskazane do używania bez powodu. Na sam start - lektura: http://www.fixitpc.p...orty-systemowe/, logi "programu z tygryskiem" również dołącz do posta. Odnośnik do komentarza
asnaebaem Opublikowano 26 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2012 Mógł byś mi napisać od czego zacząć, ponieważ jestem w tym kompletnie ,,zielony". Odnośnik do komentarza
Majaque Opublikowano 26 Maja 2012 Zgłoś Udostępnij Opublikowano 26 Maja 2012 Uruchom OTL i wygeneruj logi zgodnie z instrukcją z drugiego linka. Odnośnik do komentarza
asnaebaem Opublikowano 26 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2012 Log.txt (Nie wkleiłem extrax czy jakoś tak ). http://wklej.org/id/760771/ Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2012 Zgłoś Udostępnij Opublikowano 2 Czerwca 2012 asnaebaem, "Ref" / "Refresh" i wariacje są tu zabronione. Już raz kasowałam tę wstawkę, co było jasnym znakiem, że nie należy tego robić. Mimo to ponowiłeś. Uświadom sobie: "Ref" nic nie pomoże, nie przyśpieszy sprawy. Brak odpowiedzi jest dyktowany: brakiem czasu, brakiem pomysłu, brakiem osoby zdolnej się podjąć zadania. Tak w ogóle to mało danych dostarczyłeś: "Mój problem jest taki, że po uruchomieniu komputera, po 15-30 minutach sam się wyłącza." = Nie opisany problem dostatecznie wyraźnie, czy to wyłączenie takie jak przełącznikiem zasilania czy automatyczny reset. "(Nie wkleiłem extrax czy jakoś tak )." = no i właśnie, zdekompletowane logi, ten log jest obowiązkowy. Brakuje tego pliku, nie mogę m.in. sprawdzić autoryzacji w zaporze oraz błędów w Dzienniku zdarzeń. Póki co, są tu ślady tak jakby działania okropnego wirusa Sality, który infekuje wszystkie pliki na wszystkich dyskach. Podejrzenie to się kluje na podstawie pracującego w tle procesu z Temp oraz ukrytych plików autorun.inf na dyskach: ========== Processes (SafeList) ========== PRC - [2012-05-26 21:00:35 | 000,012,970 | ---- | M] () -- C:\Users\UYTKOW~1\AppData\Local\Temp\fwlee.exe ========== Modules (No Company Name) ========== MOD - [2012-05-26 21:00:35 | 000,012,970 | ---- | M] () -- C:\Users\UYTKOW~1\AppData\Local\Temp\fwlee.exe O32 - AutoRun File - [2012-05-26 18:14:15 | 000,000,230 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-05-26 18:14:15 | 000,000,259 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] [2012-05-26 18:14:23 | 000,000,230 | RHS- | C] () -- C:\autorun.inf[2012-05-26 18:14:15 | 000,103,140 | RHS- | C] () -- C:\iyseiq.pif Wirus może wyjaśniać restarty systemu (pliki mogą być już uszkodzone). Temat przesuwam do działu diagnostyki infekcji. W związku z tym, że ostatni log z OTL został dostarczony 26 maja, poproszę o najświeższe logi z OTL, zrobione wg tych wytycznych: Wszystkie opcje mają zostać ustawiona na Użyj filtrowania, w tym opcja "Rejestr - skan dodatkowy", by powstał po raz drugi plik Extras. W oknie Własne opcje skanowania / skrypt wklej: C:\*.* D:\*.* Klik w Skanuj. Powstaną dwa logi, oba proszę dołączyć. . Odnośnik do komentarza
asnaebaem Opublikowano 6 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Log.txt http://wklej.org/id/768024/ Extras.txt http://wklej.org/id/768025/ Przepraszam, za tak długą nieobecność. Miałem problemy z internetem. Odnośnik do komentarza
picasso Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Prócz tego co powiedziałam wcześniej, w aktualnych logach w autoryzacjach zapory widać masowe pliki wirusa z Temp i obiekty oznaczone przez "ipsec" (w wynikach określona gra, co oznacza że jest już zainfekowana): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Users\UYTKOW~1\AppData\Local\Temp\fwlee.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\fwlee.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winojpmfd.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winojpmfd.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winldktha.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winldktha.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winqvpoux.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winqvpoux.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winlsww.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winlsww.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winexue.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winexue.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winyfde.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winyfde.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\iotbc.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\iotbc.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\xweytk.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\xweytk.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\ulhv.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\ulhv.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winloty.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winloty.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\hrxyn.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\hrxyn.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\dsbrf.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\dsbrf.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\gdgv.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\gdgv.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\kotbld.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\kotbld.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winloweve.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winloweve.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winhlpbqf.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winhlpbqf.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winwxfesl.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winwxfesl.exe:*:Enabled:ipsec "C:\Windows\TEMP\winyvbp.exe" = C:\Windows\TEMP\winyvbp.exe:*:Enabled:ipsec "C:\Windows\TEMP\winwvujbh.exe" = C:\Windows\TEMP\winwvujbh.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winffgw.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winffgw.exe:*:Enabled:ipsec "C:\Windows\TEMP\sscaw.exe" = C:\Windows\TEMP\sscaw.exe:*:Enabled:ipsec "C:\Windows\TEMP\winrsgyc.exe" = C:\Windows\TEMP\winrsgyc.exe:*:Enabled:ipsec "C:\Windows\TEMP\vjjn.exe" = C:\Windows\TEMP\vjjn.exe:*:Enabled:ipsec "C:\Windows\TEMP\winhrelk.exe" = C:\Windows\TEMP\winhrelk.exe:*:Enabled:ipsec "C:\Windows\TEMP\swkr.exe" = C:\Windows\TEMP\swkr.exe:*:Enabled:ipsec "C:\Windows\TEMP\winehtq.exe" = C:\Windows\TEMP\winehtq.exe:*:Enabled:ipsec "C:\Windows\TEMP\ufookb.exe" = C:\Windows\TEMP\ufookb.exe:*:Enabled:ipsec "C:\Windows\TEMP\winhsrel.exe" = C:\Windows\TEMP\winhsrel.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winmabg.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winmabg.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winiuwtfk.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winiuwtfk.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\winsjmwlu.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\winsjmwlu.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\pcxg.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\pcxg.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\wingcvn.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\wingcvn.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\wintnokdv.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\wintnokdv.exe:*:Enabled:ipsec "C:\Users\UYTKOW~1\AppData\Local\Temp\yxpvs.exe" = C:\Users\UYTKOW~1\AppData\Local\Temp\yxpvs.exe:*:Enabled:ipsec "D:\GRY\Alan Wake\Alan Wake\AlanWake.exe" = D:\GRY\Alan Wake\Alan Wake\AlanWake.exe:*:Enabled:ipsec -- () Ta infekcja ma kwalifikacje na format całego dysku, a zależy to od stopnia uszkodzenia systemu oraz (nie)skuteczności podjętego leczenia. Próba wstępna leczenia: 1. Wstępne usunięcie niektórych elementów (nie zatrzyma to aktywnej infekcji). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh advfirewall reset /C autorun.inf /alldrives iyseiq.pif /alldrives C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\v9x3rk13.default\searchplugins\conduit.xml C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\v9x3rk13.default\searchplugins\sweetim.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{5e5ab302-7f65-44cd-8211-c1d4caaccea3}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3CCA8A30-32B3-459F-A0A2-A655DC5040D1}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{76FCA137-5122-471E-AAF9-312AB7ED32C3}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\HitmanPro\hmpsched.exe -- (HitmanProScheduler) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\hitmanpro36.sys -- (hitmanpro35) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cmdatp.sys -- (ATP) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz log z wynikami usuwania, zachowaj go (będziesz go prezentował). 2. Pobierz SalityKiller. Wykonaj nim skan do skutku, czyli powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych. 3. Pobierz Sality_RegKeys, rozpakuj i ze środka uruchom plik SafeBootWin7.reg, potwierdzając import do rejestru. 4. Odinstaluj przez Panel sterowania śmieci paskowe: DAEMON Tools Toolbar + XfireXO Toolbar. W menedżerze dodatków Firefox odinstaluj Yontoo. 5. Zastosuj AdwCleaner z opcji Delete. Z tego działania także powstanie log (będziesz go prezentował). 6. Wygeneruj nowy log z OTL na te same warunki co poprzednio, tzn. w oknie Własne opcje skanowania / skrypt wklej: C:\*.* D:\*.* Klik w Skanuj (nie Wykonaj skrypt!). Dołącz też log z wynikami usuwania pozyskany w punkcie 1 + log z AdwCleaner z punktu 5 oraz podsumuj co robił SalityKiller. . Odnośnik do komentarza
asnaebaem Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 http://wklej.org/id/768586/ To jest cały kod który wywaliło OTL po zrestartowaniu komputera. Wszystko dobrze z tym? Klik w Skanuj (nie Wykonaj skrypt!). Dołącz też log z wynikami usuwania pozyskany w punkcie 1 + log z AdwCleaner z punktu 5 oraz podsumuj co robił SalityKiller. To na zielono mam rozumieć tak, że mam napisać co robił salitykiller? Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Jedna komenda w skrypcie się nie wykonała, czyli reset reguł zapory. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz polecenie netsh advfirewall reset To na zielono mam rozumieć tak, że mam napisać co robił salitykiller? Tak, masz przedstawić co widziałeś w oknie, czy wykrył zainfekowane pliki i ile (kilka / kilkanaście / ... kilkaset ...) oraz czy po skanowaniu powtarzanym kilka razy nic już nie notuje. . Odnośnik do komentarza
asnaebaem Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Dobra poddałem się. Format HDD. Dziękuję pani za pomoc . Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 asnaebaem a jakie powody, tzn. z czym był problem / zbyt dużo zainfekowanym plików? Poza tym, ważna uwaga: format musi dotyczyć dysku a nie tylko partycji z Windows (są tu dwie partycje C + D), wszędzie gdzie leżą pliki wykonywalne, i pod żadnym pozorem nie wolno stworzyć kopii zapasowej instalek / sterowników etc. z dysku zainfekowanego Sality. Przywrócenie tych plików po formacie spowoduje reinfekcję dysku. Odnośnik do komentarza
asnaebaem Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Problem tkwił w tym, że nie miałem już do tego siły. Komputer wyłączał się co 10 minut. Nawet SalityKiller nie skończył pracować, a musiał zaczynać od nowa (Reset). Jeżeli przeprowadze format z płyty windows'a powinno to rozwiązać problem? Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2012 Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Jeżeli przeprowadze format z płyty windows'a powinno to rozwiązać problem? Format powinien rozwiązać sprawę infekcji. Tylko jak mówiłam, dobrze sformatuj całość (C+D) i nie rób kopii zapasowych plików wykonywalnych, by wirus nie został przypadkowo odtworzony po formacie z kopii zapasowej. . Odnośnik do komentarza
asnaebaem Opublikowano 7 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2012 Dobrze dziękuje serdecznie za pomoc . Odnośnik do komentarza
Rekomendowane odpowiedzi