Kzyho
-
Postów
3 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Kzyho
-
-
Wynik skanowania SystemLook w załączniku.
-
Witam,
mam do ogarnięcia zainfekowany czymś komputer. Po wejściu na jedną ze stron, Avast zaalarmował, że coś atakuje kompa. Niby to zablokował, ale i tak się musiało dostać.
Efekt, to brak dostępu do sieci po WiFi (sterowane z poziomu IBM/Lenovo Access Connection, a nie Windowsa), jakby podmieniony proces explorer.exe albo coś w tym rodzaju, bo najpierw wszystko się wgrywało po restarcie jak należy, po czym w pewnym momencie wszystko znikało (jak przy zabiciu procesu explorer.exe właśnie) i ładowało się od nowa, ale juz bez większości ikonek w trayu, z brakiem połączenia sieciowego, otwierało się ileś okienek IE, komp był dosyć powolny i pewnie parę jeszcze innych rzeczy, których użytkownik już nie spamiętał.
Wykryłem w autostarcie skrót o nazwie ch8l0.exe, który jako ścieżkę skrótu miał coś w stylu: c:\windows\system32\rundll32.exe,NewfunEx,c:\XXXXXX\temp\XXX.exe
Po wygooglowaniu wyszło, że to prawdopodobnie jakiś trojan Kryptic.
Oprócz tego na dysku C: znalazłem zdecydowanie nieporządany plik settings.ini (w załączeniu)
Przeprowadzone było czyszczenie różnych tempów. Ręcznie, ale także skryptem Clear Temp Folder oraz All Users Temp Cleaner z Hiren's BootCD 15.1
Później przeskanowane Avirą i Malwarebytes' Anti Malware (z Hiren's BootCD 15.1) oraz Avastem i Spybot Search&Destroy.
Malwarebytes znalazł jeszcze jakieś coś o nazwie Codec-C i niby wszystko usunął.
Sam ręcznie przeszukałem jeszcze rejestr systemowy pod kątem tych różnych plików, nazw znalezionych syfów, ścieżek dostępu itp.
Z autostartu oczywiście usunąłem wspomniany skrót. Przejrzałem klucze Run, RunOnce itp. w rejestrze.
Komputer po tych akcjach wydaje się być uzdrowiony, ale... no właśnie nie w pełni.
Wycięło gdzieś większość pozycji z Menu Start. Zarówno skrótów do programów, jak i na przykład Narzędzia Systemowe, czy Narzędzia Administracyjne. Ale pole Uruchom, czy Panel Sterowania jest. Zniknęły też punkty przywracania (bo chciałem ewentualnie z tego skorzystać).
Mam gdzieś jeszcze System State zbackupowany, ale jest już dość stary, bo z 30.11.2011, więc użycie tego uważam za ostateczność.
Czy mógłbym zatem prosić o pomoc? Być może da się jeszcze to wszystko jakoś uratować?
Logi w załączeniu i poniżej.
Laptop to Lenovo T61
SecurityCheck:
Results of screen317's Security Check version 0.99.32
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
avast! Free Antivirus
Antivirus up to date!
```````````````````````````````
Anti-malware/Other Utilities Check:
MVPS Hosts File
Spybot - Search & Destroy
Java™ 6 Update 24
Java version out of date!
Adobe Flash Player 10.3.183.11 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of date!
Mozilla Firefox (11.0.)
Mozilla Thunderbird (x86 pl..)
````````````````````````````````
Process Check:
objlist.exe by Laurent
Alwil Software Avast5 AvastSvc.exe
Alwil Software Avast5 avastUI.exe
``````````End of Log````````````
Kryptic, brak sieci, brak wielu elementów Menu Start
w Dział pomocy doraźnej
Opublikowano
OK. W tempach wszędzie będzie na 200% pusto, bo jak pisałem na początku, pomijając działania różnych programów, to najzwyczajniej sam, ręcznie standardowo w takich przypadkach wywalam wszystko, co się w jakichkolwiek tempach znajduje.
Wychodzi na to, że nieświadomie zatem pewnie wykasowałem sobie również te przeniesione elementy Menu Start. Na przyszłość będę w takim razie ostrożniejszy i najpierw bardziej się przyjrzę zawartości katalogów temp przed usuwaniem, skoro istnieją robale robiące takie psikusy.
Dziękuję za poświęcony czas i pomoc. Najważniejsze, że infekcja została usunieta, a z Menu Start już sobie poradzę.
Pozdrawiam
Krzysiek