Infekcja na komputerze... nie wiem gdzie


(Igorbugajski2) #1

Witam.

Otóż od pewnego czasu, po zainstalowaniu pewnego, chm, pirackiego oprogramowania (już je odinstalowałem, więc obecnie nie ono jest problemem) na niektórych stronach internetowych po kliknięciu czegoś wyskakują mi pop-upy ze stronami zaraz blokowanymi przez avasta, dodatkowo w losowych momentach avast wykrywa mi 1-4 zawirusowane pliki w folderze temp, oprócz tego również blokuje jakieś strony kiedy nawet nie przeglądam Internetu. Odinstalowałem już wszelkie programy, których nie instalowałem, wyczyściłem system ze śmieci CCleanerem, do tego kilkakrotnie skanowałem system avastem, który nic nie wykrył, mimo to problem wciąż się pojawia.

W tej chwili usunąłem jeszcze jeden podejrzany program, być może to on był problemem ponieważ na razie nic z w/w rzeczy nie wystąpiło, jednak nie jestem pewien.

 

Zeskanowałem system OTL'em, to jest OTL.txt:

http://wklej.org/id/1453961/

 

A to jest Extras.txt:

http://wklej.org/id/1453962/


(mrFreeze) #2

Przeskanuj ADWCleaner uruchom z prawokliku jako Administrator. Najpierw Szukaj następnie usuń

http://download.bleepingcomputer.com/dl/10807a79a8d99fe421ca4522d4a55add/540355d1/windows/security/security-utilities/a/adwcleaner/AdwCleaner.exe

 

Po skanowaniu ADWCLeanerem wstaw logi z FRST

http://forum.dobreprogramy.pl/nowy-log-obowi%C4%85zkowy-farbar-recovery-scan-tool-t478727/


(Igorbugajski2) #3

Tu log z ADWCleanera:

http://www.wklej.org/id/1454121/

 

A tutaj FRST:

http://www.wklej.org/id/1454123/

 

Oraz Addition:

http://www.wklej.org/id/1454125/

 

Możliwe, że infekcji nie ma, bo od czasu, kiedy pozbyłem się tego ostatniego programu nic się już nie dzieje.


(Atis) #4

Wirus Sality infekujący pliki wykonywalne.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [fst_pl_183] => [X]
Startup: C:\Users\boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thoosje Sevenbar.lnk
Startup: C:\Users\boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk
S3 amsint32; \??\C:\Windows\system32\drivers\noikq.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\AdwCleaner
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
CustomCLSID: HKU\S-1-5-21-2189746924-2882097658-4034001560-1000_Classes\CLSID\{1C94A05E-ED29-4760-B9BC-134593EEE7C3}\InprocServer32 -> D:\programy\sidebar\SDCtrls.dll No File
CustomCLSID: HKU\S-1-5-21-2189746924-2882097658-4034001560-1000_Classes\CLSID\{286DD289-BFFF-4E23-87D4-F31EC94345D0}\InprocServer32 -> D:\programy\sidebar\SDCtrls.dll No File
CustomCLSID: HKU\S-1-5-21-2189746924-2882097658-4034001560-1000_Classes\CLSID\{34FFA8DB-350A-41D8-9F3B-23D1DC06F5D1}\InprocServer32 -> D:\programy\sidebar\SDCtrls.dll No File
CustomCLSID: HKU\S-1-5-21-2189746924-2882097658-4034001560-1000_Classes\CLSID\{4A077B32-4C72-476C-900A-B6EA9B60E7FD}\InprocServer32 -> D:\programy\sidebar\SDPlugins\SDMailNotify2.dll No File
CustomCLSID: HKU\S-1-5-21-2189746924-2882097658-4034001560-1000_Classes\CLSID\{BC149E72-D422-4745-B674-01AB3DD160EB}\InprocServer32 -> D:\programy\sidebar\SDCtrls.dll No File
CustomCLSID: HKU\S-1-5-21-2189746924-2882097658-4034001560-1000_Classes\CLSID\{F3A8BE7C-B00C-4CDD-AB7B-6777A56B46B2}\InprocServer32 -> D:\programy\sidebar\SDCtrls.dll No File
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

  1. SalityKiller lub KLIK

  2. Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski.


(Igorbugajski2) #5

Sorry za późną reakcję, ale brak "objawów" sprawił, że o tym zapomniałem.

Otóż piszę z notebooka. Może powinienem stworzyć nowy temat, ale na razie napiszę tu.

 

Wykonałem powyższe instrukcje dotyczące FRST, oczywiście pokazał mi się komunikat, że trzeba zrestartować system. No i tak zrobiłem. I system się już nie włączył. (nie wiem, czy to przez powyższą czynność, chyba nie, ale niezależnie od tego problem jest)

Poszedłem do kuchni, kiedy wróciłem przywitało mnie narzędzie do naprawy systemu podczas uruchomienia.

Nie naprawiło oczywiście problemu, a w logu taką ciekawą informację, że ważny plik rozruchowy ntkrllCE.exe (w folderze system32) jest uszkodzony.

Próbowałem przywracać system, jednak kończy się to niepowodzeniem (nieokreślony błąd, 0x8000ffff)

Obrazu systemu w celu przywracania obrazu nie mam.

EDIT

Założyłem jednak nowy temat, jako że to zgoła inny problem, zapraszam tu:

http://forum.dobreprogramy.pl/wa%C5%BCny-plik-rozruchowy-ntkrllceexe-jest-uszkodzony-t482875/