Zaloguj się

bajtelo · 15.06.2013, 13:15

Objawy zainfekowania:
Dostałem zainfekowanego pendrive w którym z istniejących tam plików zrobiły się skróty.
W msconfig pojawiły się takie wpisy jak:
- ScreenSaverPro.scr
- Ujeyes
- Njeyel

Wykonywane działania:
Pendrive sformatowałem.
System przeskanowałem: Adwcleaner, Dr. Web Cure It!, Malwarebytes Anti-Malware.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

log

[Aby zobaczyć linki, zarejestruj się tutaj]

info

**tachion** · 16.06.2013, 18:53

Odinstaluj:
Mozilla Maintenance Service
Akamai NetSession Interface

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Njeyel] C:\Documents and Settings\Komorowski\Application Data\Microsoft\Njeyel.exe File not found

O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Screen Saver Pro 3.1] C:\Documents and Settings\Komorowski\Application Data\ScreenSaverPro.scr (Dynex)

O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Ujeyes] C:\Documents and Settings\Komorowski\Application Data\Microsoft\Ujeyes.exe File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

O7 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

[2013-06-15 13:38:45 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\2.exe.gonewiththewings

[2013-06-15 13:36:22 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\temp.bin

[2013-06-15 13:36:22 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\ScreenSaverPro.scr

[2013-06-11 19:47:21 | 000,000,342 | ---- | M] () -- C:\WINXP\tasks\NIUpdateServiceCheckTask.job

@Alternate Data Stream - 150 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands

[EMPTYTEMP]

ściągnij autoruns

[Aby zobaczyć linki, zarejestruj się tutaj]

Kliknij w File>Save i zapisz jako AutoRuns.arn plik prześlij na jakiś hosting i podaj tutaj.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL

W AdwCleanerkliknij Odinstaluj

16.06.2013, 19:01

tachion napisał(a):Odinstaluj:
Mozilla Maintenance Service

Czy na pewno? To jest usługa pozwalająca na "cichą" aktualizację Mozilla Firefox:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 16.06.2013, 19:20

Tak ogólnie stwarza to zagrożenie bezpieczeństwa i jest to wprowadzone od wersji 12 firefoxa i powinno się to odinstalować lub inaczej skonfigurować to w zakładce zaawansowane>aktualizacje i zaznaczyć opcję sprawdź dostępność aktualizacji,ale wymaga potwierdzenia ich instalacji

bajtelo · 16.06.2013, 20:53

[Aby zobaczyć linki, zarejestruj się tutaj]

AutoRuns

[Aby zobaczyć linki, zarejestruj się tutaj]

log

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

**tachion** · 16.06.2013, 23:08

W Autorunskarcie Servicesodznacz

Adobe LM Service
AdobeFlashPlayerUpdateSvc
Autodesk Licensing Service
gupdate
gupdatem
SkypeUpdate
Microsoft SharePoint Workspace Audit Service
ose
odfajkuj też wszystkie komponenty National Instruments

W karcie logon

Google Update
SunJavaUpdateSched

W zakładce Internet Exploreri kluczu HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Odznacz wszystko

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153 

O32 - AutoRun File - [2013-04-08 20:55:23 | 000,241,281 | ---- | M] () - C:\AutoMapaSetupLog.txt -- [ NTFS ]

O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell - "" = AutoRun

O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell - "" = AutoRun

O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell - "" = AutoRun

O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell\AutoRun\command - "" = G:\RunGame.exe

O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell - "" = AutoRun

O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell - "" = AutoRun

O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe

[2013-06-16 19:12:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MicroWorld

[2013-06-16 19:12:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MicroWorld

[2013-06-15 14:09:51 | 000,000,000 | ---D | C] -- C:\rsit

[2013-01-08 22:36:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\National Instruments

[2013-05-30 18:42:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP

[2013-04-24 00:06:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Boyx

[2012-11-27 20:07:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\gnupg

[2013-05-28 11:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Saypov

[2013-01-04 20:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Subversion

[2013-05-28 22:19:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Toipul

[2012-10-29 08:35:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\gnupg

[2012-10-28 16:34:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\gnupg

[2012-10-28 16:34:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\GNU

:Files

AUTORUN.INF /alldrives

C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings

C:\WINXP\rundll16.exe

C:\WINXP\logo1_.exe

C:\WINXP\VDLL.DLL

C:\WINXP\System32\runouce.exe

C:\WINXP\RUNDL132.EXE

C:\WINXP\logo_1.exe

C:\WINXP\System32\TASKMGR.COM

C:\WINXP\System32\T.COM

C:\WINXP\System32\eEmpty.exe

:Commands

[EMPTYTEMP]

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL

bajtelo · 16.06.2013, 23:51

[Aby zobaczyć linki, zarejestruj się tutaj]

log

Autodesk Licensing Service - z powrotem zaznaczyłem, bo mi wywalało błąd jak uruchamiałem AutoCada

**tachion** · 17.06.2013, 18:26

Nic się nie wykonało właściwie,musisz to zrobić z konta na którym jesteś zalogowany.

W własne opcje skanowania skrypt wklej i wykonaj,komputer zostanie uruchomiony ponownie i po ponownym uruchomieniu komputera zostanie wyświetlony raport z wykonania,podaj ten raport tutaj.

Kod:
:OTL

[2013-06-16 19:12:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MicroWorld

[2013-06-16 19:12:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MicroWorld

[2013-06-15 14:09:51 | 000,000,000 | ---D | C] -- C:\rsit

[2013-05-30 18:42:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP

[2013-04-24 00:06:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Boyx

[2012-11-27 20:07:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\gnupg

[2013-05-28 11:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Saypov

[2013-01-04 20:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Subversion

[2013-05-28 22:19:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Toipul

[2012-10-29 08:35:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\gnupg

[2012-10-28 16:34:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\gnupg

[2012-10-28 16:34:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\GNU

[2013-05-30 21:21:38 | 000,000,000 | ---D | C] -- C:\Program Files\trend micro

:Files

AUTORUN.INF /alldrives

C:\WINXP\tasks\Adobe Flash Player Updater.job

C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings

C:\WINXP\rundll16.exe

C:\WINXP\logo1_.exe

C:\WINXP\VDLL.DLL

C:\WINXP\System32\runouce.exe

C:\WINXP\RUNDL132.EXE

C:\WINXP\logo_1.exe

C:\WINXP\System32\TASKMGR.COM

C:\WINXP\System32\T.COM

C:\WINXP\System32\eEmpty.exe

:Commands

[EMPTYTEMP]

bajtelo · 17.06.2013, 19:13

[Aby zobaczyć linki, zarejestruj się tutaj]

log po uruchomieniu

[Aby zobaczyć linki, zarejestruj się tutaj]

log po skanowaniu OTL

Skrypt wykonałem w trybie awaryjnym na tym samym koncie osobistym na którym siedzę teraz w trybie normalnym.
Jeśli dalej będziesz uważał, że się nie poprawiło, to mogę uruchomić skrypt z konta administratora.

**tachion** · 17.06.2013, 19:39

Ściągnij systemlook

[Aby zobaczyć linki, zarejestruj się tutaj]

i wklej w okienko taką treść i kliknij look

Kod:
:filefind

1.exe.gonewiththewings

rundll16.exe

logo1_.exe

bajtelo · 17.06.2013, 20:01

[Aby zobaczyć linki, zarejestruj się tutaj]

Proszę log z systemlooka

**tachion** · 17.06.2013, 20:54

Siedzi sobie gadzina

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij program Avenger

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom i kliknij ok i wklej w okienko taką zawartość:

Kod:
Files to delete:

C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings

C:\WINXP\tasks\Adobe Flash Player Updater.job

C:\WINXP\rundll16.exe

C:\WINXP\logo1_.exe

C:\WINXP\VDLL.DLL

C:\WINXP\System32\runouce.exe

C:\WINXP\RUNDL132.EXE

C:\WINXP\logo_1.exe

C:\WINXP\System32\TASKMGR.COM

C:\WINXP\System32\T.COM

C:\WINXP\System32\eEmpty.exe

Kliknij: Execute ,system uruchomi się ponownie i zostanie wyświetlony raport z wykonania podaj go,jak i zrób ponowny skan w otl

bajtelo · 18.06.2013, 00:03

Cytat: Error: Invalid script. A valid script must begin with a command directive. Aborting execution

To się wyświetla zaraz po wciścięciu Execute.

**tachion** · 18.06.2013, 17:45

No tak chcemy usuwać a podstawowej komendy nie dałem Smile

Wklej jeszcze raz to wszystko.

bajtelo · 18.06.2013, 20:38

[Aby zobaczyć linki, zarejestruj się tutaj]

Avenger

**tachion** · 18.06.2013, 21:08

Infekcja zdjęta,teraz kolejne logi z OTL daj

bajtelo · 18.06.2013, 21:16

[Aby zobaczyć linki, zarejestruj się tutaj]

log

**tachion** · 18.06.2013, 21:33

Hmm czy możesz wejść w tą lokalizacje i napisać mi czy są takie pliki tam.

C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe

bajtelo · 19.06.2013, 15:02

Mam, wszystkie te pliki to puste foldery.

Mogę już zrobić porządkowanie w OTL?

**tachion** · 19.06.2013, 18:00

Wszystkie te puste foldery też usuń,w adwcleanerkliknij odinstaluj i przejdź do sprzątania w OTL .
Następnie uruchom autorunsi wszystkie pozycje z National Instrumentszaznacz z powrotem,chyba że w tym stanie jak są nie stanowią problemu z programem LabVIEW .
Ściągnij również program

[Aby zobaczyć linki, zarejestruj się tutaj]

i przeprowadź skan jak cos znajdzie to nie usuwaj tylko daj raport.

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie