Samoczynne instalowanie się 'śmieci'

DraGoOonN · 10 Sierpień 2015 21:30

Witam.

Atis · 11 Sierpień 2015 06:48

Masz wirusa Ramnit i tego nie można usunąć za pomocą FRST.

http://www.virusradar.com/en/Win32_Ramnit.C/description

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [gmsd_pl_005010057] => [X]
HKLM-x32\...\Winlogon: [Userinit] c:\windows\syswow64\userinit.exe,,c:\program files (x86)\microsoft\desktoplayer.exe,c:\program files (x86)\garena plus\garenamessengersrv.exe,c:\program files (x86)\slysoft\clonecd\clonecdtraysrv.exe,f:\origin\originclientservicesrv.exe [X]
HKU\S-1-5-21-3716066294-2184888709-3363404510-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Przybych\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKU\S-1-5-21-3716066294-2184888709-3363404510-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
GroupPolicyUsers\S-1-5-21-3716066294-2184888709-3363404510-1004\User: Restriction detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR Extension: (Chrome Web Store Payments) - C:\Users\Przybych\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-24]
CHR HKU\S-1-5-21-3716066294-2184888709-3363404510-1008\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-05-01]
R2 comyninu; C:\Program Files (x86)\30464336-1439225818-3130-3234-4546FFFFFFFF\hnsd8924.tmp [161792 2015-08-10] () [File not signed]
R2 hyverumu; C:\Program Files (x86)\30464336-1439225818-3130-3234-4546FFFFFFFF\jnst706A.tmp [209920 2015-08-10] () [File not signed]
R2 vovubinu; C:\Program Files (x86)\30464336-1439225818-3130-3234-4546FFFFFFFF\knssDE0D.tmp [370176 2015-08-10] () [File not signed]
S2 ZAPrivacyService; "C:\Program Files (x86)\CheckPoint\ZoneAlarm\ZAPrivacyService.exe" [X]
S3 avchv; system32\DRIVERS\avchv.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
2015-08-10 20:00 - 2015-08-10 20:01 - 00000000 ____ D C:\ProgramData\BWinManProB
2015-08-10 20:01 - 2015-08-10 20:01 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-08-10 19:25 - 2015-08-10 22:55 - 00000000 ____ D C:\AdwCleaner
2015-08-10 18:57 - 2015-08-10 18:58 - 00000000 ____ D C:\Program Files (x86)\DailyPcClean Support
2015-08-10 18:57 - 2009-06-10 23:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-08-10 18:56 - 2015-08-10 21:29 - 00000000 ____ D C:\Program Files (x86)\30464336-1439225818-3130-3234-4546FFFFFFFF
2015-08-10 18:56 - 2015-08-10 18:57 - 00000000 ____ D C:\ProgramData\1WinManPro1
2015-08-10 18:56 - 2015-08-10 18:56 - 00000000 _____ C:\Windows\prleth.sys
2015-08-10 18:56 - 2015-08-10 18:56 - 00000000 _____ C:\Windows\hgfs.sys
2015-07-24 14:17 - 2015-07-24 14:17 - 00000000 ____ D C:\Users\Przybych\AppData\Local\CEF
2015-08-10 20:05 - 2015-08-10 20:05 - 0613255 _____ (CMI Limited) C:\Users\Przybych\AppData\Local\nswB15D.tmp
CustomCLSID: HKU\S-1-5-21-3716066294-2184888709-3363404510-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Przybych\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
Task: {3B8DD4A3-3667-4DF6-82C8-6179D070B6CA} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe <==== ATTENTION
Task: {640F19F3-24AD-4E9E-A680-B7D22AEF2E41} - System32\Tasks\{E7A95A69-4698-4B02-822A-7D015F439E6A} => pcalua.exe -a C:\Users\Przybych\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=face
AlternateDataStreams: C:\Windows:41226C01B40B802B
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

DraGoOonN · 11 Sierpień 2015 10:59

Witam!

Z góry dziękuje za jakiekolwiek zainteresowanie

raport:

1: http://wklej.to/08OGJ <- tutaj przywiesiło się coś przy usuwaniu katalogu z appdata/mozilla/profiles bodajże, dlatego włączyłem fix jeszcze raz (a owe foldery usunąłem ręcznie)

2: http://wklej.to/virgw <- jak widać chyba nic już do usuwania nie było.

skan:

http://wklej.to/V4rTd

Atis · 11 Sierpień 2015 15:35

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,c:\program files (x86)\microsoft\desktoplayer.exe [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1439242106&z=68db3580d49e493931e69bbg3z2c1t6o4z6g6t6g5o&from=face&uid=ST3500418AS_6VM9BDS1XXXX6VM9BDS1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1439242106&z=68db3580d49e493931e69bbg3z2c1t6o4z6g6t6g5o&from=face&uid=ST3500418AS_6VM9BDS1XXXX6VM9BDS1
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1439242106&z=68db3580d49e493931e69bbg3z2c1t6o4z6g6t6g5o&from=face&uid=ST3500418AS_6VM9BDS1XXXX6VM9BDS1
HKU\S-1-5-21-3716066294-2184888709-3363404510-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1439242106&z=68db3580d49e493931e69bbg3z2c1t6o4z6g6t6g5o&from=face&uid=ST3500418AS_6VM9BDS1XXXX6VM9BDS1
HKU\S-1-5-21-3716066294-2184888709-3363404510-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1439242106&z=68db3580d49e493931e69bbg3z2c1t6o4z6g6t6g5o&from=face&uid=ST3500418AS_6VM9BDS1XXXX6VM9BDS1
S2 cysyligu; C:\Program Files (x86)\30464336-1439225818-3130-3234-4546FFFFFFFF\knsrA582.tmp [X]
2015-08-10 23:49 - 2015-08-10 23:49 - 00001103 _____ C:\Users\Przybych\Desktop\Continue Live Installation.lnk
2015-08-10 23:28 - 2015-08-10 23:29 - 00000000 ____ D C:\Users\Przybych\AppData\Local\SmartWeb
2015-08-10 23:28 - 2015-08-10 23:28 - 00004052 _____ C:\Windows\System32\Tasks\SmartWeb Upgrade Trigger Task
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

Jeżeli chodzi o wirusa Ramnit, to możesz skanować i leczyć pliki, ale szanse usunięcia bez formatowania są niewielkie, bo ten wirus infekuje wszystkie pliki wykonywalne.

Dr.Web CureIt

Kaspersky Virus Removal Tool

DraGoOonN · 11 Sierpień 2015 19:42

Jutro postaram się ogarnąć płytkę z AVG (tym bootowalnym) i coś pokombinować z tym Ramnitem.

fixlog: http://wklej.to/EZsMy

scan: http://wklej.to/5QcxS

mrFreeze · 11 Sierpień 2015 19:57

Szkoda Twojego czasu bez formatu nic nie zrobisz a każdy nowy plik wykonywalny będzie infekowany na nowo. Oczywiście nie muszę pisać, że jak postawisz nowy system i odpalisz jakiś zainfekowany plik (z innej partycji lub z pena) problem wróci jak bumerang.

DraGoOonN · 12 Sierpień 2015 10:46

Właśnie o to chodzi, że formatowałem dysk systemowy i problemy i tak nie ustąpiły. No nic, ten wirus siedzi już jakiś czas, dysk jest i tak w kiepskier formie, pozostaje tylko czekać aż umrze i szykować pieniążki na nowy

Atis · 12 Sierpień 2015 13:08

Ten wirus infekuje pliki na wszystkich partycjach.

Po formacie uruchomiłeś zainfekowany instalator z drugiej partycji: Drive d: Instalki

W nowym logu widać, że masz uszkodzony profil, bo system zalogował na tymczasowy TEMP.

2015-08-11 13:33 - 2015-08-11 13:33 - 00000020 ___SH C:\Users\TEMP\ntuser.ini

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Ustawienia lokalne

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Szablony

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Moje dokumenty

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Menu Start

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje wideo

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje obrazy

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Documents\Moja muzyka

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\Dane aplikacji

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programy

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Historia

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Dane aplikacji

2015-08-11 13:33 - 2015-08-11 13:33 - 00000000 ____D C:\Users\TEMP

2015-08-11 13:33 - 2015-05-31 17:48 - 00000000 ____D C:\Users\TEMP\AppData\Roaming\Macromedia

2015-08-11 13:33 - 2014-06-18 02:57 - 00000000 ____D C:\Users\TEMP\AppData\Local\Google

2015-08-11 13:33 - 2009-07-14 06:54 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories

2015-08-11 13:33 - 2009-07-14 06:49 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance

Skasuj folder C:\FRST