Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Objawy zainfekowania:
Po uruchomieniu systemu pojawiają się ikony pulpitu a następnie wszystko znika i pojawia sie biały ekran. System winxp. Działa tylko przycisk wyłączenia laptopa. W trybie awaryjnym z obsługą sieci działa ok na koncie o nazwie admin. Na drugim koncie o nazwie arwar po klinięciu ikony wyboru użytkownika restart systemu.
Wykonywane działania:
Ponieważ jest to laptop kolegi, wiem że uruchamiał niestety combofixa 
CHyba żaden antywirus niezainstalowany
Logi:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
RSIT:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja:
14
Logi muszą być wygenerowane z poziomu konta na którym występuje problem. Wejdź do trybu bezpieczeństwa z obsługą wiersza poleceń, zaloguj się na właściwe konto, i uruchom z linii komend OTL w celu wygenerowania nowych logów.
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Oki - za chwilę spróbuję to zrobić.
Dodano: 28 sty 2013, 16:19
Teraz wklejam logi po zalogowaniu na konto zainfekowane:
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
OTL extras: [Aby zobaczyć linki, zarejestruj się tutaj]
RSIT: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja:
14
Uruchom OTLi w sekcji własne opcje skanowania /skryptwklej:
Kod: :OTL
O20 - HKU\S-1-5-21-299502267-1644491937-725345543-1004 Winlogon: Shell - (C:\Documents and Settings\arwar\Dane aplikacji\skype.dat) - C:\Documents and Settings\arwar\Dane aplikacji\skype.dat ()
[2013-01-28 15:35:40 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\arwar\Dane aplikacji\skype.ini
[2002-09-23 13:00:00 | 000,098,304 | ---- | C] () -- C:\Documents and Settings\arwar\Dane aplikacji\skype.dat
[2012-11-05 19:11:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\OpenCandy
[2012-10-18 18:51:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Axyfy
[2012-11-05 21:13:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Onytfy
[2012-09-29 21:43:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Qeow
[2012-09-21 21:50:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Ubzo
[2012-09-29 21:43:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Uvvugo
[2012-08-27 10:16:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Vulcan
[2012-09-02 10:53:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\YDP
[2012-11-06 08:03:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Ypho
[2012-11-11 13:18:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\arwar\Dane aplikacji\Incredibar.com
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"26507:UDP"=-
"27451:TCP"=-
:Commands
[emptytemp]
Kliknij wykonaj skrypt . Zatwierdź restart komputera. (System zostanie odblokowany)
Następnie uruchom OTLponownie i kliknij Skanuj . Pokaż nowy log OTL.Txt (bez extras)
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Skrypt zadziałał tak jak napisałeś 
A to nowy log OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja:
14
Po infekcji nie ma już śladu, więc możesz przejść do kroków końcowych :
Uruchom OTLi w sekcji własne opcje skanowania /skryptwklej:
Kod: :OTL
IE - HKU\S-1-5-21-299502267-1644491937-725345543-1004\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8KVavOwN&i=26
O3 - HKU\S-1-5-21-299502267-1644491937-725345543-1004\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
:Commands
[emptytemp]
. Uruchom ponownie komputer.
Po restarcie odpal OTL ponownie i wykonaj sprzątanie.
Zaktualizuj do najnowszej wersji [Aby zobaczyć linki, zarejestruj się tutaj] lub całkowicie ją odinstaluj.
Adobe Flash Player -> [Aby zobaczyć linki, zarejestruj się tutaj]
Wyczyść punkty przywracnia systemu [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Wszystko wykonane System działa idealnie.
Jeszcze raz wielkie dzięki defacto19
Pozdrawiam.
|
