Objawy zainfekowania:
Inny komputer w sieci informuje (SMART SECURITY ESET) że jego porty są skanowane przez "zainfekowany" komputer.
Wykonywane działania:
OTL, RSIT
Aktywny aktualny NOD32
Logi:
Extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
RSIT:
LOG:
[Aby zobaczyć linki, zarejestruj się tutaj]
INFO:
[Aby zobaczyć linki, zarejestruj się tutaj]
Odinstaluj:
Mozilla Maintenance Service
Do OTL w okienko własne opcje skanowania skrypt wklej i wykonaj:
Kod:
OTL
PRC - [2013-05-24 15:15:32 | 000,667,648 | ---- | M] () -- C:\Users\X\Desktop\CEnter_pomocnik.exe
SRV - [2013-05-24 15:15:32 | 000,667,648 | ---- | M] () [Auto | Running] -- C:\Users\X\Desktop\CEnter_pomocnik.exe -- (AmmyyAdmin)
DRV - File not found [Kernel | System | Stopped] -- System32\drivers\FNETURPX.SYS -- (FNETURPX)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\X\AppData\Local\Temp\catchme.sys -- (catchme)
O4 - Startup: C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dyski.cmd ()
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O15 - HKU\S-1-5-21-3900291703-1472712241-2652049803-1000\..Trusted Domains: sharepoint.com ([acenter] https in Trusted sites)
O15 - HKU\S-1-5-21-3900291703-1472712241-2652049803-1000\..Trusted Domains: sharepoint.com ([acenter-my] https in Trusted sites)
[2013-10-15 10:52:24 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013-10-15 10:52:11 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013-05-11 11:34:43 | 000,000,000 | ---D | M] -- C:\Users\X\AppData\Roaming\pdfforge
[2013-10-15 11:26:22 | 000,000,000 | ---D | C] -- C:\ProgramData\AMMYY
@Alternate Data Stream - 848 bytes -> C:\Users\X\Documents\Prośba o umieszczenie reklamy.eml:OECustomProperty
:Files
$RECYCLE.BIN /alldrives
C:\Windows\tasks\*.*
C:\.BIN
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\NIRCMD.exe
:Commands
[EMPTYTEMP]
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij skanuj i przedstaw raport z niego.
Podaj raport z
SecurityCheckuruchom i naciśnij dowolny klawisz,poczekaj aż program zakończy działanie
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom
OTLponownie i kliknij
Skanuj . Przedstaw nowy log
OTLoraz raport po wykonaniu.
TDSS:
[Aby zobaczyć linki, zarejestruj się tutaj]
Security Check:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Do OTL wklej i wykonaj,jak w normalnym trybie nie pójdzie to spróbuj w awaryjnym.
Kod:
:OTL
PRC - [2013-03-18 15:58:41 | 003,160,782 | ---- | M] (CEnter) -- C:\CQL\CQL.EXE
PRC - [2011-07-06 10:26:05 | 000,667,648 | ---- | M] () -- C:\Users\X\Desktop\Skróty\CEnter_pomocnik.exe
[2013-10-17 15:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\AMMYY
[2013-10-15 17:16:43 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2013-10-15 10:52:38 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013-10-15 10:52:38 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013-10-15 10:52:38 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013-10-15 10:52:38 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013-10-15 10:52:38 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013-10-15 10:52:38 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013-10-15 10:52:38 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013-10-15 10:52:38 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
:Commands
[EMPTYTEMP]
Po zakończeniu skrypta przez program i ponownym uruchomieniu komputera powinien wyświetlić się raport z wykonania,podaj mi go.
Pliki skasowało w trybie normalnym:
Kod:
All processes killed
========== OTL ==========
No active process named CQL.EXE was found!
Process CEnter_pomocnik.exe killed successfully!
C:\ProgramData\AMMYY folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.
C:\Program Files\Enigma Software Group folder moved successfully.
C:\Windows\SWREG.exe moved successfully.
C:\Windows\SWSC.exe moved successfully.
C:\Windows\NIRCMD.exe moved successfully.
C:\Windows\PEV.exe moved successfully.
C:\Windows\MBR.exe moved successfully.
C:\Windows\sed.exe moved successfully.
C:\Windows\grep.exe moved successfully.
C:\Windows\zip.exe moved successfully.
File PTYTEMP] not found.
OTL by OldTimer - Version 3.2.69.0 log created on 10182013_081051
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Skan z OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
OK przejdź do sprzątania w OTL.