Objawy zainfekowania:
Dostałem zainfekowanego pendrive w którym z istniejących tam plików zrobiły się skróty.
W msconfig pojawiły się takie wpisy jak:
- ScreenSaverPro.scr
- Ujeyes
- Njeyel
Wykonywane działania:
Pendrive sformatowałem.
System przeskanowałem: Adwcleaner, Dr. Web Cure It!, Malwarebytes Anti-Malware.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
log
[Aby zobaczyć linki, zarejestruj się tutaj]
info
Odinstaluj:
Mozilla Maintenance Service
Akamai NetSession Interface
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Njeyel] C:\Documents and Settings\Komorowski\Application Data\Microsoft\Njeyel.exe File not found
O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Screen Saver Pro 3.1] C:\Documents and Settings\Komorowski\Application Data\ScreenSaverPro.scr (Dynex)
O4 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003..\Run: [Ujeyes] C:\Documents and Settings\Komorowski\Application Data\Microsoft\Ujeyes.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O7 - HKU\S-1-5-21-1659004503-329068152-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
[2013-06-15 13:38:45 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\2.exe.gonewiththewings
[2013-06-15 13:36:22 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\temp.bin
[2013-06-15 13:36:22 | 000,114,176 | ---- | C] (Dynex) -- C:\Documents and Settings\Komorowski\Application Data\ScreenSaverPro.scr
[2013-06-11 19:47:21 | 000,000,342 | ---- | M] () -- C:\WINXP\tasks\NIUpdateServiceCheckTask.job
@Alternate Data Stream - 150 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[EMPTYTEMP]
ściągnij autoruns
[Aby zobaczyć linki, zarejestruj się tutaj]
Kliknij w File>Save i zapisz jako AutoRuns.arn plik prześlij na jakiś hosting i podaj tutaj.
Następnie uruchom
OTLponownie i kliknij
Skanuj . Przedstaw nowy log
OTL
W
AdwCleanerkliknij
Odinstaluj
tachion napisał(a):Odinstaluj:
Mozilla Maintenance Service
Czy na pewno? To jest usługa pozwalająca na "cichą" aktualizację Mozilla Firefox:
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak ogólnie stwarza to zagrożenie bezpieczeństwa i jest to wprowadzone od wersji 12 firefoxa i powinno się to odinstalować lub inaczej skonfigurować to w zakładce zaawansowane>aktualizacje i zaznaczyć opcję sprawdź dostępność aktualizacji,ale wymaga potwierdzenia ich instalacji
[Aby zobaczyć linki, zarejestruj się tutaj]
AutoRuns
[Aby zobaczyć linki, zarejestruj się tutaj]
log
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
W
Autorunskarcie
Servicesodznacz
Adobe LM Service
AdobeFlashPlayerUpdateSvc
Autodesk Licensing Service
gupdate
gupdatem
SkypeUpdate
Microsoft SharePoint Workspace Audit Service
ose
odfajkuj też wszystkie komponenty
National Instruments
W karcie logon
Google Update
SunJavaUpdateSched
W zakładce
Internet Exploreri kluczu
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Odznacz wszystko
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O32 - AutoRun File - [2013-04-08 20:55:23 | 000,241,281 | ---- | M] () - C:\AutoMapaSetupLog.txt -- [ NTFS ]
O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5629b276-edc3-11e0-a299-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5629b277-edc3-11e0-a299-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{747a0efe-04b7-11e2-a647-001302145c7b}\Shell\AutoRun\command - "" = G:\RunGame.exe
O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{78f8fe4a-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell - "" = AutoRun
O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{78f8fe4d-e6bd-11e0-a27f-001302145c7b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
[2013-06-16 19:12:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MicroWorld
[2013-06-16 19:12:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MicroWorld
[2013-06-15 14:09:51 | 000,000,000 | ---D | C] -- C:\rsit
[2013-01-08 22:36:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\National Instruments
[2013-05-30 18:42:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2013-04-24 00:06:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Boyx
[2012-11-27 20:07:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\gnupg
[2013-05-28 11:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Saypov
[2013-01-04 20:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Subversion
[2013-05-28 22:19:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Toipul
[2012-10-29 08:35:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\gnupg
[2012-10-28 16:34:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\gnupg
[2012-10-28 16:34:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\GNU
:Files
AUTORUN.INF /alldrives
C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
C:\WINXP\System32\TASKMGR.COM
C:\WINXP\System32\T.COM
C:\WINXP\System32\eEmpty.exe
:Commands
[EMPTYTEMP]
Następnie uruchom
OTLponownie i kliknij
Skanuj . Przedstaw nowy log
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
log
Autodesk Licensing Service - z powrotem zaznaczyłem, bo mi wywalało błąd jak uruchamiałem AutoCada
Nic się nie wykonało właściwie,musisz to zrobić z konta na którym jesteś zalogowany.
W własne opcje skanowania skrypt wklej i wykonaj,komputer zostanie uruchomiony ponownie i po ponownym uruchomieniu komputera zostanie wyświetlony raport z wykonania,podaj ten raport tutaj.
Kod:
:OTL
[2013-06-16 19:12:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\MicroWorld
[2013-06-16 19:12:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\MicroWorld
[2013-06-15 14:09:51 | 000,000,000 | ---D | C] -- C:\rsit
[2013-05-30 18:42:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2013-04-24 00:06:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Boyx
[2012-11-27 20:07:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\gnupg
[2013-05-28 11:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Saypov
[2013-01-04 20:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Subversion
[2013-05-28 22:19:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komorowski\Application Data\Toipul
[2012-10-29 08:35:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\gnupg
[2012-10-28 16:34:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\gnupg
[2012-10-28 16:34:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\GNU
[2013-05-30 21:21:38 | 000,000,000 | ---D | C] -- C:\Program Files\trend micro
:Files
AUTORUN.INF /alldrives
C:\WINXP\tasks\Adobe Flash Player Updater.job
C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
C:\WINXP\System32\TASKMGR.COM
C:\WINXP\System32\T.COM
C:\WINXP\System32\eEmpty.exe
:Commands
[EMPTYTEMP]
[Aby zobaczyć linki, zarejestruj się tutaj]
log po uruchomieniu
[Aby zobaczyć linki, zarejestruj się tutaj]
log po skanowaniu OTL
Skrypt wykonałem w trybie awaryjnym na tym samym koncie osobistym na którym siedzę teraz w trybie normalnym.
Jeśli dalej będziesz uważał, że się nie poprawiło, to mogę uruchomić skrypt z konta administratora.
Ściągnij systemlook
[Aby zobaczyć linki, zarejestruj się tutaj]
i wklej w okienko taką treść i kliknij look
Kod:
:filefind
1.exe.gonewiththewings
rundll16.exe
logo1_.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
Proszę log z systemlooka
Siedzi sobie gadzina
[Aby zobaczyć linki, zarejestruj się tutaj]
Ściągnij program
Avenger[Aby zobaczyć linki, zarejestruj się tutaj]
uruchom i kliknij ok i wklej w okienko taką zawartość:
Kod:
Files to delete:
C:\Documents and Settings\Komorowski\Application Data\1.exe.gonewiththewings
C:\WINXP\tasks\Adobe Flash Player Updater.job
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
C:\WINXP\System32\TASKMGR.COM
C:\WINXP\System32\T.COM
C:\WINXP\System32\eEmpty.exe
Kliknij:
Execute ,system uruchomi się ponownie i zostanie wyświetlony raport z wykonania podaj go,jak i zrób ponowny skan w otl
Cytat: Error: Invalid script. A valid script must begin with a command directive. Aborting execution
To się wyświetla zaraz po wciścięciu Execute.
No tak chcemy usuwać a podstawowej komendy nie dałem
Wklej jeszcze raz to wszystko.
[Aby zobaczyć linki, zarejestruj się tutaj]
Avenger
Infekcja zdjęta,teraz kolejne logi z OTL daj
[Aby zobaczyć linki, zarejestruj się tutaj]
log
Hmm czy możesz wejść w tą lokalizacje i napisać mi czy są takie pliki tam.
C:\WINXP\rundll16.exe
C:\WINXP\logo1_.exe
C:\WINXP\VDLL.DLL
C:\WINXP\System32\runouce.exe
C:\WINXP\RUNDL132.EXE
C:\WINXP\logo_1.exe
Mam, wszystkie te pliki to puste foldery.
Mogę już zrobić porządkowanie w OTL?
Wszystkie te puste foldery też usuń,w
adwcleanerkliknij odinstaluj i przejdź do sprzątania w
OTL .
Następnie uruchom
autorunsi wszystkie pozycje z
National Instrumentszaznacz z powrotem,chyba że w tym stanie jak są nie stanowią problemu z programem
LabVIEW .
Ściągnij również program
[Aby zobaczyć linki, zarejestruj się tutaj]
i przeprowadź skan jak cos znajdzie to nie usuwaj tylko daj raport.