Brak menedżera zadań, rejestru, klatkowanie i wysoki ping.

[mariusz9911 0]

Witam, dwa dni temu postanowiłem zrobić formata, ale formatowaniu uległa tylko partycja systemowa gdyż na partycji drugiej zachowałem swoje dane. Kilka godzin po formacie było wszystko w jak porządku oprócz braku menadżera urządzeń i rejestru. Dzisiaj kiedy do komputera usiadł brat, który zainstalował adobe flash player razem z syfem, który oferuje DB. przy użyciu ich instalatora.

Kiedy brat zaczął grać to skarżył się na wysoki ping i bardzo duże klatkowanie gry, które uniemożliwiało jakąkolwiek rozgrywkę.

Z tego co doczytałem to jest podejrzenie o infekcji Sality?

TrojanRemover w niczym nie pomógł. Został użyty przed wykonaniem logów.

 

Załączam logi z OTL, FRST i GMER.

Proszę o pomoc!

 

Addition

Extras

FRST

GMER

OTL

[filutka78 11]

Nic tu nie wskazuje na istnienie SALITY.

 

1) Odinstaluj ten program:

istartsurf uninstall (HKLM-x32\...\istartsurf uninstall) (Version: - istartsurf) <==== UWAGA

 

2) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Pokaż raport z niego ("C").

 

3) Podepnij zarażony pendrive.

Użyj >USBFix (aby pobrać kliknij na "Download UsbFix Windows Installer")

Kliknij w nim na: CLEAN.

Daj raport z tego usuwania

 

4) Otwórz Notatnik i wklej w nim:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""

ShortcutWithArgument: C:\Users\Frypsu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1448382459&z=51af1add00acefb51a5fb1bg0z7z4b9c3bdo8gdz1e&from=cor&uid=ST500DM002-1BD142_S2A6ZD3ZXXXXS2A6ZD3Z <==== UWAGA

C:\ProgramData\UWMiniProU\WMiniPro.exe

HKU\S-1-5-21-2008102157-1630021508-663958280-1001\...\Policies\system: [DisableTaskMgr] 1

HKU\S-1-5-21-2008102157-1630021508-663958280-1001\...\Policies\system: [DisableRegistryTools] 1

StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1448382459&z=51af1add00acefb51a5fb1bg0z7z4b9c3bdo8gdz1e&from=cor&uid=ST500DM002-1BD142_S2A6ZD3ZXXXXS2A6ZD3Z

R2 WdsManPro; C:\ProgramData\UWMiniProU\WMiniPro.exe [309384 2015-11-24] (DTools LIMITED)

S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]

C:\ProgramData\UWMiniProU

C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

C:\Users\Frypsu\AppData\Roaming\istartsurf

C:\yrnxfr.exe

C:\autorun.inf.vir

Hosts:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

5) Zrób nowe logi FRST.

 

6)Wypróbuj, czy działa Rejestr oraz Manager Zadań.

 

F.

[mariusz9911 0]

Czynności wykonam po powrocie do domu, dziękuję za szybką reakcję, tylko problem jest tego typu, że nie posiadam żadnej pamięci przenośnej na Usb, która była podlączana po formacie partycji systemowej.

[filutka78 11]

tylko problem jest tego typu, że nie posiadam żadnej pamięci przenośnej na Usb, która była podlączana po formacie partycji systemowej.

ten plik infekcji może pochodzić tylko i wyłącznie z pendrive'a (lub innej pamięci przenośnej):

C:\yrnxfr.exe

Nie ma innego sposobu przedostania się na komputer tego pliku.

 

F.

[mariusz9911 0]

logi:

AdwCleaner

FixLog

 

Nowe skany z FRST:

FRST

Addition

 

EDIT:

Nie wykonałem USBFix, gdyż nie posiadam pamięci przenośnej, która mogłaby być podłączona do tej stacji roboczej.

Działa menedżer zadań i rejestr.

 

Pamięć w użyciu przy odpalonej Operze, tylko i wyłącznie, jest w granicy 64-68% - nie za dużo ?

svchost zżera 2,5gb pamięci ram, po wyłączeniu tego procesu - użycie wynosi średnio 25%

[filutka78 11]

2015-11-25 14:20 - 2015-11-25 14:20 - 00103140 __RSH C:\uhnp.exe

Piszesz, że nie masz pamięci przenośnej - a co podpinałeś do USB dziś o godz. 14:20?

Ten plik na 100% nie jest z internetu.

 

Otwórz Notatnik i wklej w nim:

C:\uhnp.exe

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

Zrób nowe logi FRST.

 

F.

[mariusz9911 0]

Wydaję mi się, że o tej godzinie włączyłem komputer. Może nadajnik do klawiatury i myszki bezprzewodowej jest traktowany jako urządzenie przenośne?

 

EDIT:

Fixlog

Przy starcie trojan remover pokazuje to co na screenie.

Uruchomiłem USBFix bez podłączania czegokolwiek, bo nie mam takiej możliwości.

FixLog

[filutka78 11]

Otwórz Notatnik i wklej w nim:

File: D:\biad.exe

File: C:\autorun.inf

File: D:\autorun.inf

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

F.

[mariusz9911 0]

Fixlog

[filutka78 11]

C:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

D:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

No tak, zapomniałam, że to są obiekty zaporowe stworzone przez USBFix, po to, by utrudnić infekcjom pendriwowym przedostawanie się z pamięci przenośnych na komputer, lub odwrotnie.

 

Natomiast do usunięcia jest D:\biad.exe

FRST nie znalazł niczego o tym pliku, jest wielką niewiadomą.

 

Otwórz Notatnik i wklej w nim:

D:\biad.exe

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

Podejrzewam, że natychmiast utworzy się taki sam plik, ale o innej nazwie.

Zrób log z USBFix z opcji LISTING.

 

F.

[mariusz9911 0]

Fixlog

USBFixLOG - z opcji listening z zaznaczonymi dwoma opcjami. (Analyze risk files to VirusTotal & FullScan include sub folders)

[filutka78 11]

Możemy kończyć:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

W USBFix kliknij na przycisk UNINSTALL.

 

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST

 

F.

[mariusz9911 0]

Wszystko wróciło do normy. Dziękuje za pomoc!

[mariusz9911 0]

Znowu nie działa rejestr i menedżer zadań, jakie logi wrzucić? :c

[filutka78 11]

Znowu nie działa rejestr i menedżer zadań, jakie logi wrzucić? :c

FRST

[mariusz9911 0]

Addition

FRST

[filutka78 11]

C:\Users\Frypsu\AppData\Local\Temp\winlvhfb.exe

To może być plik SALITY, ale nie ma innych oznak w logach, oczywiscie oprócz Menedżera Zadać oraz Rejestru.

 

Na wszelki wypadek przeskanuj komputer przy pomocy Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe

Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

Napisz, czy coś wykrył?

 

F.

[mariusz9911 0]

To może być plik SALITY, ale nie ma innych oznak w logach, oczywiscie oprócz Menedżera Zadać oraz Rejestru.

 

Na wszelki wypadek przeskanuj komputer przy pomocy Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe

Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

Napisz, czy coś wykrył?

 

F.

 

 

Póki co tyle, na razie skanuje dalej.

[filutka78 11]

To fatalnie. :( :(

 

Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http:// http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:

1) Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe

Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

 

2) Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html

Link zapasowy >http://www.mediafire.com/?7lu3v8crhc9s8zc .

 

3) Użyj Dr.Webcureit >http://www.freedrweb.com/download+cureit/?nc=t&lng=pl

(>>kliknij na: pobierz program Dr.WebCureIt i wyślij statystyki

>zaznacz: I accept Dr.Web License Agreement.

>kliknij: Continue)

Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/download/xj18w8qqnk5nsjc/dcureit.com

 

4) wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.

 

5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)

 

6) Zrób nowe logi FRST.

 

F.

[mariusz9911 0]

To fatalnie. :( :(

 

zaraz ...

 

No niestety, w przypadku sality wszystkie exe'ki są chyba zainfekowane - czym dalej jest skanowanie, to wszystkie exe zainfekowane. :(

[filutka78 11]

Tak, SALITY infekuje wszystkie *.exe - trzeba je leczyć.

Ale to syzyfowa praca, bo pliki przed chwilą wyleczone mogą być natychmiast ponownie zarażane, i tak w kółko.

 

wróć do mojego poprzedniego postu

 

F.

[mariusz9911 0]

To fatalnie. :( :(

 

Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http:// http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:

1) Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe

Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

 

2) Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html

Link zapasowy >http://www.mediafire.com/?7lu3v8crhc9s8zc .

 

3) Użyj Dr.Webcureit >http://www.freedrweb.com/download+cureit/?nc=t&lng=pl

(>>kliknij na: pobierz program Dr.WebCureIt i wyślij statystyki

>zaznacz: I accept Dr.Web License Agreement.

>kliknij: Continue)

Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/download/xj18w8qqnk5nsjc/dcureit.com

 

4) wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.

 

5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)

 

6) Zrób nowe logi FRST.

 

F.

 

Powiedzmy, że jakieś pojęcie mam nt. komputerów i z wypalaniem bootowalnych płytek etc. nie ma problemu. Więc odpalam lapka i zabieram się do roboty.

[filutka78 11]

OK, to trochę potrwa

 

F.

[mariusz9911 0]

OK, to trochę potrwa

 

F.

 

Wracam nowo narodzony, po dwugodzinnej walce z Sality. Użyłem Kaspersky Rescue Disk i chyba wszystko jest w porządku na chwilę obecną.

Rejestr i menedżer zadań działa poprawnie.

SalityKiller niczego nie wykrył, tak jak było to dwie godzinki temu, a poniżej załączam świeże logi z FRST:

Addition

FRST

[filutka78 11]

a jak Tryb Awaryjny?

 

Otwórz Notatnik i wklej w nim:

FirewallRules: [uDP Query User{2583AF63-FB2E-4316-97AA-3D4BE12DFEAB}C:\users\frypsu\appdata\local\temp\winpckyr.exe] => (Allow) C:\users\frypsu\appdata\local\temp\winpckyr.exe

FirewallRules: [TCP Query User{70179A91-E5A9-482C-AC98-48E4586C3A00}C:\users\frypsu\appdata\local\temp\winbtgbym.exe] => (Allow) C:\users\frypsu\appdata\local\temp\winbtgbym.exe

FirewallRules: [uDP Query User{5E2BB345-AB64-436D-8149-14AD7A7E12C7}C:\users\frypsu\appdata\local\temp\winbtgbym.exe] => (Allow) C:\users\frypsu\appdata\local\temp\winbtgbym.exe

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

f.