Usunięcie wirusa z netii

Dla specjalistów Bezpieczeństwo
#1

Witajcie!

Znajomy nieświadomie otworzył emaila, którego otrzymał od kogoś kto podszywa się pod netię. W środku był załącznik - pseudofaktura, pod którą podpięty był jakiś wirus. Avast nie wykrył niczego podejrzanego. O samej sprawie wysyłania podobnych maili było dość głośno jakiś miesiąc temu.

 

Przeskanowałem komputer drWeb - niczego nie wykrył.

 

Plik FRST: http://wklej.to/FrZDQ

Plik Additions: http://wklej.to/8HMeR

 

Dodam tylko, że sprawa jest dość poważna - do totalnie nieświadomego znajomego zadzwonili z banku (BGŻ), że blokują jego token ze względu “podejrzane ruchy na jego komputerze”.

 

Pozdrawiam i dziękuję za pomoc :) 

#2

Log FRST i Additions sprawdzi ktoś inny, na razie zrób to:

 

skanuj i usuń zagrożenia tym: https://www.malwarebytes.org/mwb-download/

skanuj i czyść tym: http://www.instalki.pl/programy/download/Windows/antyspyware/AdwCleaner.html

 

Wstaw log z Malwarebytes Anti-Malware i AdwCleaner.

#3

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-21-1709859753-2336046649-454438778-1000\...\Run: [SpeechEngines] => C:\Users\Jan Pu[lednik\AppData\Roaming\SpeechEngines\spcommon.exe 
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
C:\Users\Jan Puślednik\AppData\Roaming\SpeechEngines
C:\ProgramData\boost_interprocess
Task: {1AA4580A-0EA1-4CA0-865E-EB18F072D709} - System32\Tasks\Norton Security Scan for Jan Puślednik => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-04-28] (Symantec Corporation)
Task: {6045FB48-551D-47C1-8D2A-89B941C31D3A} - System32\Tasks\{D378EC5F-EAF3-46C3-AE79-ACF315A3033B} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.111.259&LastError=12002
Task: {DF282CE6-FA61-41E7-928F-BE40F87F2D5A} - System32\Tasks\{BED5390F-33CE-499F-95AB-352F20277227} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.111.259&LastError=12002
Task: C:\Windows\Tasks\Norton Security Scan for Jan Puślednik.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe
CMD: del /f /s /q %TEMP%\*.*

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#4

Raport fix: http://wklej.to/RgALi

Raport skanowania po fixie: http://wklej.to/iJX5j

 

Skanuję malwarebytes i adw.

 

EDIT:

logi mwb: http://wklej.to/lFktg

logi adw: http://wklej.to/SZJE1

 

Skanowanie ADW wykonane po skanie mwb.

 

Pozdrawiam

#5

Usuń zagrożenia wykryte przez Malwarebytes i AdwCleaner.

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Odinstaluj:

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader X

Java 6 Update 22

Java 7 Update 5

Zainstaluj:

Java 7 Update 65

Adobe Reader XI 11.0.7

Flash Player 14.0.0.145 Internet Explorer i Plugin-based browsers