Facebookowy wirus

[Unimatrix01]

Czy mogę prosić o przeanalizowanie logów? Chodzi o ten facebookowy wirus sprzed 3 dni.
Czekałam na plik jar, od koleżanki więc nie byłam zdziwiona gdy przyszedł. Problem polegał na tym, że plik jar który otrzymałam był wirusem na dodatek (żeby tego było mało) od imienniczki koleżank, która plik miała mi wysłać.

Szybko, bo po minucie zorientowałam się co to za puszka Pandory i wzięłam się do roboty. Prosiłabym jednak o przeanalizowanie logów z OTL w celu sprawdzenia co powinno zostać wykopane albo co przeoczyłam.

 

 

Log OTL: http://wklej.org/id/1377414/

Extras OTL: http://wklej.org/id/1377416/

 

ALE

 

 

Podobny temat założyłam na db i tam jeden gość próbował mi pomóc, jednak mistrzem kurtuazji i dobrego wychowania to on nie był, i zaznaczając jak wielką robi mi łaskę przy pomocy, obraził się wielce więc...

 

Przeanalizowałam programem Farbar Recovery Scan Tool 64-Bit Version i...

 

Log z FRST: http://wklej.org/id/1377510/

Addition: http://wklej.org/id/1377513/

 

Kolejnym krokiem było utworzenie fixlist.txt jaką mi podał

SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {73F40A59-24C8-4DED-B424-4269B19A1969} URL =
S3 andnetadb; \SystemRoot\System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
C:\Temp
C:\Users\Public\*.exe
C:\Users\ADMINI~1\AppData\Local\Temp\*.dll
C:\Users\Lynn\AppData\Local\Temp\*.exe
AlternateDataStreams: C:\Temp:pid1
AlternateDataStreams: C:\Temp:pid2
AlternateDataStreams: C:\Temp:srv

 

Więc po "fixowaniu" oto log wyniku http://wklej.org/id/1377741/
I kolejny scan FRST: http://wklej.org/id/1377738/

Czy ktoś byłby tak uprzejmy i przeanalizował czy logi są prawidłowe, oraz co tak naprawdę usunęłam (bo pan z db nie był łaskaw.) 
I co jeszcze powinnam zrobić? Będę bardz wdzięczna, bo sprawa jest pilna.

[picasso]

Wymagam tu podania linku do tematu prowadzonego na innym forum. Znalazłam samodzielnie: KLIK. Ten fiks do FRST to najwyraźniej przepuściłaś dwa razy, gdyż podany fixlog nie wykazuje żadnych napraw (wszystko "not found"), tylko pierwsza linia przetworzona (ale to się zawsze wykona powtórnie niezależnie od tego że już wpis poprzednio przetworzono). Właściwy fixlog jest na tamtym forum. Drobna uwaga do pomocnika: skoro jest usuwany folder C:\Temp, wszystkie strumienie ADS podeń podczepione są automatycznie usuwane, stąd zadanie tego w skrypcie nie miało sensu.

 

Unimatrix01, przedstaw mi co wykonałaś przed stworzeniem logów, gdyż podane raporty wykazywały jedynie minimalne ślady infekcji (tylko strumienie ADS), a ta infekcja tworzy także wpisy w starcie. Interesuje mnie więc w jaki sposób usuwano to i czy są dostępne jakieś logi ze skanerów antywirusowych.

 

 

 

 

.

[Unimatrix01]

Jak wspomniałam, czekałam na plik w jarze, moja wina, bo nie spojrzałam, która z imienniczek go wysłała. Antywirus wstępnie nic nie znalazł.

Dlatego otworzyłam plik. Ale już po minucie wiedziałam, co zrobiłam gdyż po otworzeniu msconfig i uruchamiania na samej górze widniał plik o nazwie 1 bez lokalizacji A dzień wcześniej przeprowadzałam pewne zmiany w systemie i dodatkowo stworzyłam punkt przywracania, z którego postanowiłam skorzystać, przynajmniej by spróbować, zapanować nad tym paskudztwem. Szczerze to efektów się nie spodziewałam, gdyż zawodziły kolejne programy do wyszukiwania tego. Dopiero po skanie dotarło do mnie, że jeśli to nowy twór, bazy danych wirusów i szkodliwego oprogramowania nie ma go jeszcze na swojej liście. Nawet sama znalazłam ten wirus i jego usunięcie nic mi nie dało, bo laptop już zamienił (zamieniał się) w zombie. Odłączyłam się od internetu, by ni pogłębiać dalszej infekcji (kto wie co jeszcze by ściągał z internetu).

Udało mi się bez problemu przywrócić system do poprzedniego stanu, oraz wczoraj antywirus znalazł dwa pliki, które były zainfekowane w folderze C:/temp

Dzisiaj skanowanie dodatkowo programem Malware Bytes...nic nie znalazło, a dysk skanuję dwa razy dziennie. 

[picasso]

Teraz mam jasny obraz sytuacji. Właśnie, ten "1" w starcie to był jeden ze składników, ale nie jedyny (powinien być jeszcze wpis "svchost" z komendą rejestracji szkodliwego strumienia). Tu cytuję z innego tematu jak to wygląda (pliki *.dat u każdego pod inną losową nazwą):

 

 

 

HKLM\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1

HKLM\...\Run: [svchost] => regsvr32 /s "C:\Temp:052CDA90.dat"

HKU\S-1-5-21-3426513747-2769345621-1612366341-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1

HKU\S-1-5-21-3426513747-2769345621-1612366341-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:052CDA90.dat"

 

 

 

Użyłaś jednak bardzo silne Przywracanie systemu (cieniowanie woluminu), więc to usunęło infekcję. Jedyny ślad po niej to był folder C:\Temp na dysku, ale to już adresowano skryptem FRST. Na tamtym forum zadano już usuwanie folderu C:\FRST, zrób jeszcze to:

 

1. Uruchom TFC - Temp Cleaner, a po nim DelFix.

 

2. Wyczyść stare punkty Przywracania systemu i utwórz nowy z bieżącej sytuacji: KLIK.

 

 

To tyle z mojej strony.

 

 

.

[Unimatrix01]

Wczoraj przy instalacji nowej gry stworzył się nowy punkt przywracania systemu, więc niejako dodatowo mi ulżyło. W takim razie bardzo Ci dziękuję. Ogromnie mi pomogłaś