Logi z Combofixa

[Darki333]

Kod: Zaznacz wszystko

http://www.wklej.eu/index.php?id=b7d6e09cfd

Proszę o pomoc i dalsze wskazówki. Combofix zakończył pracę prawidłowo, jednak nie wiem, czy usunął całkowicie infekcję oraz co powinienem dalej robić.

[Untouched]

Cześć,

A więc, dodaj logi programów takich jak OTL oraz GMER. Oraz muszę Cię przestrzec przed tym byś już nigdy nie używał od tak sobie ComboFix'a, bo jest to narzędzie naprawdę bardzo mocno ingerujące w system, i nie powinno się go tak używać. Poniżej zamieszczam instrukcję do OTL i GMER. Jakie były objawy infekcji?

OTL http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754
GMER http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Pozdrawiam, Untouched.

[Darki333]

Mam świadomość jak niebezpieczny może być combofix, wydało mi się to jednak najrozsądniejsze, gdy nie mogłem normalnie używać przeglądarki internetowej. Człowiek się uczy całe życie

Kod: Zaznacz wszystko

http://wklej.eu/index.php?id=8c2a41c83c

Logi z OTL

Kod: Zaznacz wszystko

http://wklej.eu/index.php?id=5a6942c657

Extras

[Untouched]

No to przede mną jeszcze wiele nauki . Brakuje logu OTL Extras oraz GMER. W OTL musisz zaznaczyć dokładnie tak jak jest to pokazane na instrukcji którą załączyłem wyżej.

[Darki333]

Dodałem log Extras, a przed wykonaniem skanu zaznaczyłem, właśnie tak, jak zalecono w załączonej instrukcji. Przed użyciem GMER muszę pozbyć się DT, więc zajmie mi to kilka minut.

[Untouched]

Aaa.. okej, po prostu myślałem że OTL nie wytworzył Extras, przepraszam za wprowadzenie w błąd . Jakie były/są objawy infekcji?

[Darki333]

Zaczęło się od od serii czerwonych chmurek od Avast Free, o znalezieniu infekcji w AppData, w procesie Chrome. Za infekcję odpowiada dołączony do programu pobranego z innego forum, wirus - VBS:Agent-KZ[Trj] tudzież Win32:RmnDrp. Zacząłem od wyrzucenia pliku Dekstoplayer.exe z C/Program Files/Microsoft i poprawienia zapisu w rejestrze, który do polecania prócz standardowej komendy userinit.exe, odpalał również Desktoplayer.exe. Później zdiagnozowałem plik Virustotalem i 36/40 było czerwonych. Przywracanie systemu spowodowało nowe błędy: Avast Free niespodziewanie wypowiedział termin ważności licencji na Avast Pro. Komputer niesamowicie zwolnił, a przeglądarki internetowe "wypluwały" masę błędów. Wtedy użyłem combofixa, swieżo-pobranego z tego forum. Jestem tutaj.

[Untouched]

Okej, rozumiem. Czy po użyciu ComboFix'a nastąpiła jakakolwiek poprawa?

[Darki333]

Komputer jest wciąż w ogromnym stopniu zamulony, a Avast prosi o podanie klucza licencji do wersji pro. Przeglądarka działa już prawidłowo. Jestem jednak pewien, że gdybym odpalił skan avasta, tak jak przed combofixem, wykryłby w ciągu minuty setki zainfekowanych plików (.dll .exe .htm .html). Zapomniałem dodać, że na mój komputer zostało ściągnięte przy tym sporo programów typu evo-gen, które zapewne odpowiadają za tak gigantyczne obciążenie. Na C pojawiły się również programy diagnostyczne oraz prawdopodobnie keyloggery. Pozostałe dyski wydają się nienaruszone.

[Untouched]

Czyli prawdopodobnie nadal coś siedzi w systemie. Co z GMER'em?

[Darki333]

Od razu zaznaczę, że sam skan trwał bardzo długo. Zdaje się, że mimo użycia Defoggera, program wykrył DT jako zagrożenie. Jeśli jest to niezbędnie konieczne usunę DT "sposobem pierwszym i powtórzę skan.

Kod: Zaznacz wszystko

http://wklej.eu/index.php?id=a12312efc5

Pochwalić się mogę tylko, że rejestr był czyszczony ccleanerem i tune upem, około tygodnia temu, co mam nadzieję ułatwi jakoś pracę Zauważyłem w taskmgr również nieznany mi proces YontooDekstop.exe oraz wuaudt.exe, których na 100% wcześniej nie było. Taskhost i taskeng, również podejrzewam nie było. Z nazw wnioskuję, że komputer jest podłączony do innego zdalnie, na wzór botnetu. Usługi RDP są wyłączone. Bardzo zależy mi aby komputer względnie oczyścić przed ewentualnym stawianiem nowego systemu, gdyż mam na nim mnóstwo niezwykle ważnych dla mnie plików. W chwili obecnej boję się podpiąć do komputera pendrive'a lub inny nośnik danych, gdyż może on ulec infekcji.

//

Widzę zużycie pamięci rzędu 50% i procesora ok. 20%, co moim skromnym zdaniem wskazywać może na keyloggery lub brute, bo nigdy tak wysokie w stanie bezczynności nie było.

[Untouched]

No i widzisz, tutaj moja praca się kończy. "Wyciągnąłem" od Ciebie wszystkie logi, dosyć dużo informacji, no i teraz musimy poczekać na moderatora, który potrafi sprawdzać te wszystkie logi, ponieważ ja się dopiero uczę, no i niestety jak na razie dosyć opornie mi to idzie. No ale moderator na Ci pomoże, nie martw się. Ja jestem w stanie tyle Ci powiedzieć, że według mnie jakaś infekcja jest, aczkolwiek nie mogę być pewien, bo ja się na tym nie znam . Pozwolę sobie podsumować twoje wszystkie logi, co powinno troszeczkę ułatwić zadanie moderatorowi:

OTL.txt http://wklej.eu/index.php?id=8c2a41c83c
Extras.txt http://wklej.eu/index.php?id=5a6942c657
GMER.txt http://www.wklej.eu/index.php?id=b7d6e09cfd

Ewentualnie możesz dodać logi z Silent Runners i Autoruns.

Silent Runners http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73688
Autoruns http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589

[Darki333]

Póki co puszczę Dr. Web Curelt i kaspersky virus removal tool 10, może mi naprawi coś... Bo przenoszenie kilkuset plików do kwarantanny avastem nie wydaje mi się mądre.

//No i sobie naprawiłem.
Dr. Web Curelt w ogóle się nie chce zainstalować - proces po wielokrotnym nawet kliknięciu nie uruchamia się.

[Pangia]

Próbuj Kasperskym, jak ja kiedyś (3 lata temu?) miałem jakiegoś syfa na kompie, to też Dr.Web mi nie działał - po uruchomieniu wywalał mi BSoD-a.

[mateo8898]

W logach widać adware właśnie typu Yontoo itp, ale to jest na razie mało istotne i tym zajmiemy się później. Bardziej mnie nie pokoi to:

tudzież Win32:RmnDrp

+

Jestem jednak pewien, że gdybym odpalił skan avasta, tak jak przed combofixem, wykryłby w ciągu minuty setki zainfekowanych plików (.dll .exe .htm .html)

To wskazywałoby na infekcję wirusem Ramnit, czyli nieciekawa sprawa. Użycie ComboFix przy tej infekcji było bezsensowne, bo nie wyleczy on zarażonych plików.

Skanuj Kaspersky Virus Removal Tool, oczywiście pełne skany i tyle razy, aż nic nie będzie wykrywane. Lecz/naprawiaj co się da, resztę usuń. Po wykonaniu podaj nowe logi z OTL.