Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
Objawy zainfekowania:
Dostałem zainfekowanego pendrive w którym z istniejących tam plików zrobiły się skróty.
W msconfig pojawiły się takie wpisy jak:
- ScreenSaverPro.scr
- Ujeyes
- Njeyel
Wykonywane działania:
Pendrive sformatowałem.
System przeskanowałem: Adwcleaner, Dr. Web Cure It!, Malwarebytes Anti-Malware.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj] OTL
[Aby zobaczyć linki, zarejestruj się tutaj] Extras
[Aby zobaczyć linki, zarejestruj się tutaj] log
[Aby zobaczyć linki, zarejestruj się tutaj] info
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Odinstaluj:
Mozilla Maintenance Service
Akamai NetSession Interface
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod: :OTL
O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Njeyel] C:\Documents and Settings\Komorowski\Application Data\Microsoft\Njeyel.exe File not found
O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Screen Saver Pro 3.1] C:\Documents and Settings\Komorowski\Application Data\ScreenSaverPro.scr (Dynex)
O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Ujeyes] C:\Documents and Settings\Komorowski\Application Data\Microsoft\Ujeyes.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O7 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
[2013-06-15 13:38:45 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\2.exe.gonewiththewings
[2013-06-15 13:36:22 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\temp.bin
[2013-06-15 13:36:22 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\ScreenSaverPro.scr
[2013-06-11 19:47:21 | 000,000,342 | ---- | M] () -- C:\WINXP\tasks\NIUpdateServiceCheckTask.job
@Alternate Data Stream - 150 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[EMPTYTEMP]
ściągnij autoruns [Aby zobaczyć linki, zarejestruj się tutaj] Kliknij w File>Save i zapisz jako AutoRuns.arn plik prześlij na jakiś hosting i podaj tutaj.
Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL
W AdwCleanerkliknij Odinstaluj
tachion napisał(a):Odinstaluj:
Mozilla Maintenance Service
Czy na pewno? To jest usługa pozwalająca na "cichą" aktualizację Mozilla Firefox:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak ogólnie stwarza to zagrożenie bezpieczeństwa i jest to wprowadzone od wersji 12 firefoxa i powinno się to odinstalować lub inaczej skonfigurować to w zakładce zaawansowane>aktualizacje i zaznaczyć opcję sprawdź dostępność aktualizacji,ale wymaga potwierdzenia ich instalacji
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] AutoRuns
[Aby zobaczyć linki, zarejestruj się tutaj] log
[Aby zobaczyć linki, zarejestruj się tutaj] Extras
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W Autorunskarcie Servicesodznacz
Adobe LM Service
AdobeFlashPlayerUpdateSvc
Autodesk Licensing Service
gupdate
gupdatem
SkypeUpdate
Microsoft SharePoint Workspace Audit Service
ose
odfajkuj też wszystkie komponenty National Instruments
W karcie logon
Google Update
SunJavaUpdateSched
W zakładce Internet Exploreri kluczu HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Odznacz wszystko
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod: :OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O32 - AutoRun File - [2013-04-08 20:55:23 | 000,241,281 | ---- | M] () - C:\AutoMapaSetupLog.txt -- [ NTFS ]
O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell\AutoRun\command - "" = G:\RunGame.exe
O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
[2013-06-16 19:12:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MicroWorld
[2013-06-16 19:12:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MicroWorld
[2013-06-15 14:09:51 | 000,000,000 | ---D | C] -- C:\rsit
[2013-01-08 22:36:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\National Instruments
[2013-05-30 18:42:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2013-04-24 00:06:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Boyx
[2012-11-27 20:07:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\gnupg
[2013-05-28 11:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Saypov
[2013-01-04 20:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Subversion
[2013-05-28 22:19:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Toipul
[2012-10-29 08:35:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\gnupg
[2012-10-28 16:34:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\gnupg
[2012-10-28 16:34:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\GNU
:Files
AUTORUN.INF /alldrives
C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
C:\WINXP\System32\TASKMGR.COM
C:\WINXP\System32\T.COM
C:\WINXP\System32\eEmpty.exe
:Commands
[EMPTYTEMP]
Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] log
Autodesk Licensing Service - z powrotem zaznaczyłem, bo mi wywalało błąd jak uruchamiałem AutoCada
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nic się nie wykonało właściwie,musisz to zrobić z konta na którym jesteś zalogowany.
W własne opcje skanowania skrypt wklej i wykonaj,komputer zostanie uruchomiony ponownie i po ponownym uruchomieniu komputera zostanie wyświetlony raport z wykonania,podaj ten raport tutaj.
Kod: :OTL
[2013-06-16 19:12:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MicroWorld
[2013-06-16 19:12:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MicroWorld
[2013-06-15 14:09:51 | 000,000,000 | ---D | C] -- C:\rsit
[2013-05-30 18:42:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2013-04-24 00:06:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Boyx
[2012-11-27 20:07:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\gnupg
[2013-05-28 11:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Saypov
[2013-01-04 20:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Subversion
[2013-05-28 22:19:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Toipul
[2012-10-29 08:35:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\gnupg
[2012-10-28 16:34:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\gnupg
[2012-10-28 16:34:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\GNU
[2013-05-30 21:21:38 | 000,000,000 | ---D | C] -- C:\Program Files\trend micro
:Files
AUTORUN.INF /alldrives
C:\WINXP\tasks\Adobe Flash Player Updater.job
C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
C:\WINXP\System32\TASKMGR.COM
C:\WINXP\System32\T.COM
C:\WINXP\System32\eEmpty.exe
:Commands
[EMPTYTEMP]
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] log po uruchomieniu
[Aby zobaczyć linki, zarejestruj się tutaj] log po skanowaniu OTL
Skrypt wykonałem w trybie awaryjnym na tym samym koncie osobistym na którym siedzę teraz w trybie normalnym.
Jeśli dalej będziesz uważał, że się nie poprawiło, to mogę uruchomić skrypt z konta administratora.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ściągnij systemlook [Aby zobaczyć linki, zarejestruj się tutaj] i wklej w okienko taką treść i kliknij look
Kod: :filefind
1.exe.gonewiththewings
rundll16.exe
logo1_.exe
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] Proszę log z systemlooka
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Siedzi sobie gadzina [Aby zobaczyć linki, zarejestruj się tutaj]
Ściągnij program Avenger[Aby zobaczyć linki, zarejestruj się tutaj] uruchom i kliknij ok i wklej w okienko taką zawartość:
Kod: Files to delete:
C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings
C:\WINXP\tasks\Adobe Flash Player Updater.job
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
C:\WINXP\System32\TASKMGR.COM
C:\WINXP\System32\T.COM
C:\WINXP\System32\eEmpty.exe
Kliknij: Execute ,system uruchomi się ponownie i zostanie wyświetlony raport z wykonania podaj go,jak i zrób ponowny skan w otl
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
Cytat: Error: Invalid script. A valid script must begin with a command directive. Aborting execution
To się wyświetla zaraz po wciścięciu Execute.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No tak chcemy usuwać a podstawowej komendy nie dałem
Wklej jeszcze raz to wszystko.
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] Avenger
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Infekcja zdjęta,teraz kolejne logi z OTL daj
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj] log
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hmm czy możesz wejść w tą lokalizacje i napisać mi czy są takie pliki tam.
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
Mam, wszystkie te pliki to puste foldery.
Mogę już zrobić porządkowanie w OTL?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wszystkie te puste foldery też usuń,w adwcleanerkliknij odinstaluj i przejdź do sprzątania w OTL .
Następnie uruchom autorunsi wszystkie pozycje z National Instrumentszaznacz z powrotem,chyba że w tym stanie jak są nie stanowią problemu z programem LabVIEW .
Ściągnij również program [Aby zobaczyć linki, zarejestruj się tutaj] i przeprowadź skan jak cos znajdzie to nie usuwaj tylko daj raport.
|