witerk
(Witerk)
22 Grudzień 2013 09:02
#1
Niestety na 2 komputerach połączonych w sieci pojawił mi się właśnie taki wirus. Poprosiłbym o pomoc.
Logi z OTL:
Komp nr 1: jako pierwszy zainfekowany, ale dla mnie “mniej ważny”.
OTL: http://wklej.to/Rs1Zf
Extras: http://wklej.to/HRmGc
Komp nr 2: dla mnie wazniejszy
OTL: http://wklej.to/YdnKj
Extras: http://wklej.to/HYsm8
edit: zapomniałem dodać. skróty pojawiły się na dysku twardym, nie pendraivie, na kompie nr 2.
Atis
(Atis)
22 Grudzień 2013 09:20
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Zabezpiecz się przed infekcją z USB: Panda USB Vaccine lub KLIK
Uruchom program i kliknij Vaccinate.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
O4 - HKCU..\Run: [dso32] C:\DOCUME~1\KONICA\USTAWI~1\Temp\dsoqq.exe File not found
O4 - HKCU..\Run: [qiueqo] C:\Documents and Settings\KONICA\qiueqo.exe (Microsoft)
O32 - AutoRun File - [2013-11-27 17:56:14 | 000,000,393 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2013-11-27 17:56:14 | 000,000,270 | RHS- | M] () - D:\autorun.inf -- [NTFS]
[2013-12-03 13:28:41 | 000,155,648 | RHS- | C] (Microsoft) -- C:\Documents and Settings\KONICA\qiueqo.scr
[2013-11-27 11:22:10 | 000,155,648 | RHS- | C] (Microsoft) -- C:\Documents and Settings\KONICA\qiueqo.exe
[2013-12-03 13:28:41 | 000,000,135 | RHS- | M] () -- C:\Documents and Settings\KONICA\autorun.inf
[2013-11-28 09:02:17 | 000,103,140 | RHS- | M] () -- C:\hqyawl.exe
:Files
C:\Documents and Settings\KONICA\*.lnk
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub KLIK
Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski: KLIK
Kaspersky Virus Removal Tool 2011 lub KLIK
W zakładce Scan scope zaznacz wszystkie dyski:
Aby zmienić obszar automatycznego skanowania, wykonaj poniższe działania:1. Uruchom Kaspersky Virus Removal Tool 2011.2. Przejdź na zakładkę Settings (Ustawienia) oznaczonych obrazkiem z kołem zębatym.3. Wybierz sekcję Scan scope (Obszar skanowania).4. Utwórz odpowiedni obszar skanowania zaznaczając obiekty, które mają być przeskanowane.http://support.kaspersky.com/pl/6187#q1
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
Nie widać żadnej aktywnej infekcji.
Pokaż raport UsbFix z opcji Listing.
witerk
(Witerk)
22 Grudzień 2013 09:31
#3
Za pierwszego się zaraz zabiore.
Atis
(Atis)
22 Grudzień 2013 11:32
#4
W raporcie UsbFix widać tylko jeden ukryty folder.
Wszystkie programy > Akcesoria > Wiersz polecenia > Wklej i zatwierdź enterem:
attrib /d /s -s -h “D:! sieciowy”
3 Komp
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2013-02-19 09:07:37 | 000,968,880 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\12c3b.sys -- (12c3b)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\11b68c246c175fb8.sys -- (11b68c246c175fb8)
DRV - [2013-02-19 09:07:38 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
IE - HKLM\..\SearchScopes\{F0621E3E-9BDC-4769-8132-83B1F4AB7967}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=c290561e-3cf5-11e1-a159-0011092e1530&q={searchTerms}
IE - HKCU\..\SearchScopes\{2D98DD2B-A7F8-459A-A8B2-FF17BEA7A4E9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=F8BCC483-3118-4C3B-8B8D-CB633B1285A5&apn_sauid=5793849D-61C0-4503-8577-7F3800C3B9C1
IE - HKCU\..\SearchScopes\{F0621E3E-9BDC-4769-8132-83B1F4AB7967}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=F8BCC483-3118-4C3B-8B8D-CB633B1285A5&apn_sauid=5793849D-61C0-4503-8577-7F3800C3B9C1
[2012-10-26 12:42:36 | 000,172,032 | ---- | M] (vShare.tv) -- C:\Program Files\mozilla firefox\plugins\npffvsharetvplg.dll
CHR - Extension: vShare.tv plugin = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\
O4 - HKLM..\Run: [Umuvhbwcjgcqsuma.exe] C:\Documents and Settings\Właściciel\Dane aplikacji\Umuvhbwcjgcqsuma.exe (AirVPN)
O4 - HKCU..\Run: [Fyjyxzlwpcsdeskp.exe] C:\Documents and Settings\Właściciel\Dane aplikacji\Fyjyxzlwpcsdeskp.exe (AirVPN)
O4 - HKCU..\Run: [Umuvhbwcjgcqsuma.exe] C:\Documents and Settings\Właściciel\Dane aplikacji\Umuvhbwcjgcqsuma.exe (AirVPN)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll File not found
O32 - AutoRun File - [2013-12-22 09:04:02 | 000,006,305 | RHS- | M] () - Z:\autorun.inf -- [NTFS]
:Files
C:\Documents and Settings\Właściciel\Dane aplikacji\*.exe
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\*Bron*
:Commands
[resethosts]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
witerk
(Witerk)
22 Grudzień 2013 13:04
#5
Atis
(Atis)
22 Grudzień 2013 14:05
#6
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
Dimatheus
(Dimatheus)
23 Grudzień 2013 07:22
#7
2.15. Na Forum piszemy w języku polskim. Użytkownik ma obowiązek zadbania o poprawność gramatyczną i ortograficzną (polska pisownia, znaki interpunkcyjne) swoich postów, tematów czy innych treści, które publikuje. NIE NALEŻY UŻYWAĆ PRZY TYM WIELKICH LITER, które traktowane są jak krzyk.
witerk , na forum używamy polskich znaków diakrytycznych (ą, ć, ę, ń i tak dalej). Proszę - korzystając z przycisku Edytuj (na dole pierwszego posta po prawej stronie) - wyedytować wszystkie swoje posty w tym temacie. Zignorowanie tej prośby będzie skutkować przeniesieniem tematu do kosza.
Pozdrawiam,
Dimatheus