Redson Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Tak jak w temacie, mam nadzieje, że wszystko zrobiłem zgodnie z regulaminem, jestem tutaj pierwszy raz. Piszę z trybu awaryjnego swojego laptopa (WinXP SP2, Lenovo IBM ThinkPad T43). Tak właśnie kończy się śmiganie bez antywirusa. Przy okazji pytanie, czy jeżeli zgram na swojego pendrive pliki z trybu awaryjnego będą one nadal aktywne, działające i niezainfekowane? Jeżeli tak, to walę format i nie będziemy bawić się w skrypty, i tak miałem go robić. Załączam niezbędne pliki. I proszę o dokładne instrukcje, bo jestem zielony w temacie. Ten wirus okupowy zaskoczył mnie gdy ściągnąłem cennik poczty polskie w pdfie, tak, też jestem w szoku. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Logi z OTL zrobiłeś z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: REDSON | User Name: Administrator | Logged in as Administrator. To ma ogromne znaczenie dla wyglądu raportów, gdyż rejestry i foldery kont są różne. Są tu najwyraźniej w systemie dwa inne konta: Radek + Tata. Oba zdają się być zainfekowane, gdyż infekcja umieściła katalogi w folderach obu kont. Przy okazji pytanie, czy jeżeli zgram na swojego pendrive pliki z trybu awaryjnego będą one nadal aktywne, działające i niezainfekowane? Jeżeli tak, to walę format i nie będziemy bawić się w skrypty, i tak miałem go robić. To nie jest wirus, nie replikuje się i "nie przeskakuje" po urządzeniach. Poza tym, to kwestia jednego wpisu startowego i format na to to przesada. Format możesz sobie robić z innych powodów, ale nie dla takiego banału ... Podaję instrukcje usuwające, bo czyż nie wygodniej kopiować dane przed formatem na odblokowanym systemie? Za to Twój pendrive jest prawdopodobnie nośnikiem innej infekcji, w systemie bowiem jest również klasyczna infekcja z USB. Formatowanie w tej sytuacji może się sprowadzić do roboty głupiego i reinfekcji systemu z pendrive zaraz po formacie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll File not found O4 - HKLM..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe File not found O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [TapiSysprep] C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663\TapiSysprep.exe File not found O4 - HKLM..\Run: [WcnEapAuthProxy] C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239\WcnEapAuthProxy.exe () O4 - HKU\S-1-5-21-1343024091-706699826-725345543-500..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe () O4 - HKU\S-1-5-21-1343024091-706699826-725345543-500..\Run: [EXPLORER.EXE] EXPLORER.EXE (Microsoft Corporation) O4 - HKU\S-1-5-21-1343024091-706699826-725345543-500..\Run: [wsctf.exe] wsctf.exe File not found O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - EXPLORER.EXE (Microsoft Corporation) :Files [override] C:\WINDOWS\system32\EXPLORER.EXE [stopoverride] C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239 C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663 C:\Documents and Settings\Radek\Dane aplikacji\hellomoto C:\Documents and Settings\Tata\Dane aplikacji\hellomoto C:\WINDOWS\System32\optyhww1.dll C:\WINDOWS\System32\optyhww0.dll autorun.inf /alldrives d1vmq.exe /alldrives D:\AUTORUN.FCB :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Loguj się na właściwe konto. 2. Przez Panel sterowania odinstaluj nośnik adware LiveVDO plugin 1.3. Popraw w AdwCleaner opcją Delete. Z tego działania powstanie log na dysku C. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + przy podpiętym pendrive USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2. . Odnośnik do komentarza
Redson Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Ok, format na pewno trwałby krócej (niż czekanie na odpowiedź), dlatego się chciałem na niego zdecydować, no i jest jeszcze kilka mankamentów. Jeżdżę bez antywirusów od kilku lat i pewnie nie tylko mój pendrive jest nośnikiem wirusów, po za tym lata po różnych kompach i być może mógł się chłopak zarazić gdzie indziej, ale to mało prawpodobne. Pytanie: czy antywirus ustrzegł by mnie przed tym syfem czy tak czy siak wpadłaby blokada? sposób w jaki antywirus zmula wszystko mnie strasznie denerwował, dlatego ich w ogóle nie mam. To moja pierwsza taka pierdoła od 4 lat. Załączam logi: Log z usuwania OTL nie chce się załączyć z powodu braku uprawnień. Mimo wagi nie całych 9KB. Ani w opcji zaawansowanej, ani w opcji zwykłej. Wrzuciłbym to na serwer i podał, ale nie wiem czy to bezpieczne i zgodne z regulaminem. może taka forma będzie Ci odpowiadać: All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DrvIcon deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ORAHSSSessionManager deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TapiSysprep deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WcnEapAuthProxy deleted successfully. File C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239\WcnEapAuthProxy.exe not found. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\cbvcs deleted successfully. C:\WINDOWS\system32\urretnd.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\EXPLORER.EXE deleted successfully. EXPLORER.EXE moved successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:EXPLORER.EXE deleted successfully. C:\WINDOWS\System32\EXPLORER.EXE moved successfully. ========== FILES ========== File\Folder C:\WINDOWS\system32\EXPLORER.EXE not found. C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239 folder moved successfully. C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663 folder moved successfully. C:\Documents and Settings\Radek\Dane aplikacji\hellomoto folder moved successfully. C:\Documents and Settings\Tata\Dane aplikacji\hellomoto folder moved successfully. C:\WINDOWS\System32\optyhww1.dll moved successfully. C:\WINDOWS\System32\optyhww0.dll moved successfully. C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. G:\AutoRun.inf moved successfully. C:\d1vmq.exe moved successfully. D:\d1vmq.exe moved successfully. G:\d1vmq.exe moved successfully. D:\AUTORUN.FCB moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 32768 bytes ->Temporary Internet Files folder emptied: 69383 bytes ->FireFox cache emptied: 25585164 bytes ->Flash cache emptied: 456 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Radek ->Temp folder emptied: 31657368 bytes ->Temporary Internet Files folder emptied: 14744720 bytes ->Java cache emptied: 320830 bytes ->FireFox cache emptied: 55156168 bytes ->Flash cache emptied: 834 bytes User: Tata ->Temp folder emptied: 2350655 bytes ->Temporary Internet Files folder emptied: 251704 bytes ->Java cache emptied: 39720 bytes ->FireFox cache emptied: 100111141 bytes ->Flash cache emptied: 8467 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2675748 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 65536 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 222,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07242012_150715 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... To log z usuwania OTL. Skanowanie OTL po usunięciu jest w załączniku Dorzucam dla pewności UsbFix po Listening. AdwCleanerS1.txt OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Log z usuwania OTL nie chce się załączyć z powodu braku uprawnień. Mimo wagi nie całych 9KB. Ani w opcji zaawansowanej, ani w opcji zwykłej. Wrzuciłbym to na serwer i podał, ale nie wiem czy to bezpieczne i zgodne z regulaminem. Pomoc forum + zasady działu objaśniają, że załączniki akceptują tylko format *.TXT a to jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. I nie obramowuj tego tagiem CODE. Zadania skryptowe pomyślnie wykonane, AdwCleaner też swoje zrobił. Logowanie na inne konto ujawniło kolejne wpisy do czyszczenia. Ponadto, log z USBFix w ogóle nie pokazuje zawartości tego urządzenia zmapowanego jako G: G:\ -> Removable drive # 4 Gb (629 Mb free - 16%) [TOSHIBA] # FAT32 1. Poprawka na wpisy na drugim koncie. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1343024091-706699826-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=3d18fd7a-4d11-11e1-9d6e-00166fbe56d0&q=" [2012-02-01 22:13:56 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\tlshitbw.default\searchplugins\startsear.xml O4 - HKU\S-1-5-21-1343024091-706699826-725345543-1003..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe File not found O4 - HKU\S-1-5-21-1343024091-706699826-725345543-1003..\Run: [wsctf.exe] wsctf.exe File not found O4 - HKLM..\RunOnce: [] File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Przedstaw log z usuwania, wklej go do posta, bo nie jest długi. 2. Pobierz dane o zawartości pendrive. Zakładam, że jest ciągle pod literą G, w przeciwnym przypadku dostosuj liternictwo. Start > Uruchom > cmd i wpisz komendę: dir /a G:\ >C:\log.txt. Przedstaw wynikowy log.txt. . Odnośnik do komentarza
Redson Opublikowano 25 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2012 ok, log "krótki" ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{08C06D61-F1F3-4799-86F8-BE1A89362C85} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\ deleted successfully. Prefs.js: "Web Search" removed from browser.search.defaultengine Prefs.js: "Web Search" removed from browser.search.defaultenginename Prefs.js: "Web Search" removed from browser.search.order.1 Prefs.js: "http://startsear.ch/?aff=2&src=sp&cf=3d18fd7a-4d11-11e1-9d6e-00166fbe56d0&q=" removed from keyword.URL C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\tlshitbw.default\searchplugins\startsear.xml moved successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\cbvcs deleted successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ not found. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. OTL by OldTimer - Version 3.2.54.0 log created on 07262012_011955 log z USB masz dołączony. log.txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Log z USBFix nie wykazuje, by na urządzeniu G było coś jawnie szkodliwego. Prewencyjnie przez SHIFT+DEL skasuj Kosz urządzenia G:\RECYCLER. I kończymy czyszczenie jako takie: 1. Zabezpiecz się przez tym typem infekcji z autorun.inf. W Panda USB Vaccine zimmunizuj system (Computer Vaccination) jak i przenośne urządzenie (USB Vaccination). 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + odinstaluj USBFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Redson Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Wykrył. mbam-log-2012-07-29 (01-06-25).txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Hmmm, skan w MBAM pokazuje wyniki, które świadczą tak jakby o ... reinfekcji systemu z nośnika USB, bo to już było tu usuwane. Czy na pewno sprawdzaliśmy właściwy USB wtedy, nie było nic innego podpinanego? Czy przeprowadziłeś zabezpieczenia w Pandzie? 1. Wszystko do usunięcia z wyjątkiem tych dwóch (fałszywe alarmy): C:\Program Files\ALLPlayer\Plugins\Scripter's Spectrum.svp (Trojan.Downloader) -> Nie wykonano akcji.C:\WINDOWS\system32\dllcache\iexplore.exe (Trojan.FakeMS) -> Nie wykonano akcji. 2. W związku z zaskoczeniem w skanie proszę jednak o nowe logi OTL z opcji Skanuj + USBFix z opcji Listing. Nie był sprawdzany też GMER. . Odnośnik do komentarza
RA1 Opublikowano 21 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 (edytowane) Wyślij te pliki na speedyshare.com i podaj tu linka. Zgłoszę to do Malwarebytes. C:\Program Files\ALLPlayer\Plugins\Scripter's Spectrum.svp (Trojan.Downloader) -> Nie wykonano akcji. C:\WINDOWS\system32\dllcache\iexplore.exe (Trojan.FakeMS) -> Nie wykonano akcji. Edytowane 20 Września 2012 przez picasso 20.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi