Objawy zainfekowania:
Zaatakował mnie wirus ukash Policja. Nie można było zamknąć okna, nie działały żadne klawisze.
Wykonywane działania:
Ściągnieto innym komputerze Combofix na pendrive. Włączono zainfekowany komputer w trybie awaryjnym z wierszem poleceń i odpalono Combofix z pendrive. Wirus zniknął, ale przy każdym odpalaniu komputera wyskakuje komunikat o "braku pliku jmwil.dat"
Logi:
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
RSIT
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Ten plik, to zapewne pozostałość po wirusie, która została w Autostarcie. Wg. mnie nie ma się czym martwić, ale czekaj na Tachiona.
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\Marcin\AppData\Local\Temp\tmp8E1B.tmp -- (WinRing0_1_2_0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marcin\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] ---- (aa05bp59)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Marcin\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3489242913-3416101119-3086607200-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3489242913-3416101119-3086607200-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-3489242913-3416101119-3086607200-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2013-05-05 01:02:50 | 000,001,029 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk
@Alternate Data Stream - 143 bytes -> C:\Users\Marcin\AppData\Roaming\Wartości oddzielone przecinkami (Windows).EML:OECustomProperty
:Files
C:\Windows\MusiccityDownload.exe
$RECYCLE.BIN /alldrives
RECYCLER /alldrives
:Commands
[EMPTYTEMP]
Przeskanuj na
[Aby zobaczyć linki, zarejestruj się tutaj]
:
Kod:
C:\Windows\System32\RegisterExe.exe
C:\Windows\System32\superalbum.pl_SuperAlbum6_uninstaller.exe
C:\Windows\System32\video.drv
Cytat: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Façade
Rozumiem, że to ta inteligentka gierka ?
log po wykonaniu skryptu
[Aby zobaczyć linki, zarejestruj się tutaj]
pliki przeksanowane, wszystko ok
tak to ta gierka, ale ja chyba nie jestem odpowiednio do niej inteligentny
Ogólnie to wszystko można przejść do sprzątania w
OTL
Występują jeszcze jakieś problemy ?
Zainstaluj
[Aby zobaczyć linki, zarejestruj się tutaj]
do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.
wypadałoby jeszcze usunąć skryptem następujące obiekty
Kod:
:OTL
:Files
C:\Users\Marcin\AppData\Local\Temp*.html
C:\ProgramData\.zreglib
:Commands
[EMPTYFLASH]
[EMPTYJAVA]
[REBOOT]
Dzięki Panowie, wygląda, że wszystko jest OK. Javę zaktualizowałem.