Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Objawy zainfekowania:
Po uruchomieniu systemu pojawiają się ikony pulpitu a następnie wszystko znika i pojawia sie ekran o zablokowaniu komputera. Bez połączenia z internetem - tylko biały ekran. System win7 32bit. W trybie awaryjnym z obsługą sieci następuje restart systemu. Komputer uruchomiłem w trybie awaryjnym z wierszem polecenia.
Wykonywane działania:
Ponieważ jest to komputer znajomego - nie wiem czy próbował coś z tym robić 
Żaden antywirus niezainstalowane
Pozdrawiam i czekam na pomoc 
Logi:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
RSIT:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 424
Liczba wątków: 44
Dołączył: 07.12.2012
Reputacja:
47
Spróbujmy manualnie. Jesteś zainfekowany Ransomware Reveton
Kod: [2012-01-11 11:28:53 | 000,128,512 | ---- | C] () -- C:\Users\dyrektor\AppData\Roaming\skype.dat
Wejdź w tryb awaryjny z wierszem polecenia. Wpisz explorer (tryb awaryjny z obługą sieci nie działa, to normalne)
Pojawi się pulpit i menu start. Wpisz %appdata%i usuń znajdujący się tam plik skype.dat
Zrestartuj komputer i wszystko powinno działać
Podaj nowe logi OTL i przeskanuj system programem [Aby zobaczyć linki, zarejestruj się tutaj]
0x DEADBEEF
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Oki - usunąłem plik skype.dati faktycznie komputer zaczął działać normalnie
Teraz skanuję programem Malwarebytes.
Poniżej logi po usunięciu pliku skype.dat
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras:
[Aby zobaczyć linki, zarejestruj się tutaj]
Log z programu Malwarebytes'' Anti Malware:
[Aby zobaczyć linki, zarejestruj się tutaj]
Pliki wykryte przez program usunąłem.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
To nie wszystko,są jeszcze elementy infekcji i śmieci w postaci toolbarów itp.
Odinstaluj pierwsze:
Conduit Engine
Softonic-Polska Toolbar
Zrób skan OTLjeszcze raz i podaj tutaj ale już bez extras
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Odinstalowałem Conduit Enginenatomiast nie mogłem odinstalować Softonic Polska Toolbar - pojawiał się komunikat: Could not open Install.log file
OTL log:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod: :OTL
DRV - File not found [Kernel | On_Demand | Unknown] ---- (aw49c2jh)
IE - HKLM\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
IE - HKU\S-1-5-21-4214269931-1932279701-4052543396-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-4214269931-1932279701-4052543396-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-4214269931-1932279701-4052543396-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-4214269931-1932279701-4052543396-1000\..\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)
O4 - HKLM..\Run: []File not found
O4 - HKU\S-1-5-21-4214269931-1932279701-4052543396-1000..\Run: [Buuqyxa] C:\Users\dyrektor\AppData\Roaming\Yvqe\ypace.exe File not found
O4 - HKU\S-1-5-21-4214269931-1932279701-4052543396-1000..\Run: [Ewazdakany] C:\Users\dyrektor\AppData\Roaming\Nezow\esbyr.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
[2012-12-13 15:41:46 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Alywc
[2012-09-27 10:02:07 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Aqilv
[2012-09-24 14:02:51 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Iduz
[2012-12-13 09:11:27 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Nezow
[2012-12-11 17:53:27 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Omih
[2013-03-26 09:35:27 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\uonet [010949]
[2013-04-22 12:16:29 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Vulcan
[2012-09-26 10:04:44 | 000,000,000 | ---D | M] -- C:\Users\dyrektor\AppData\Roaming\Yvqe
:Files
C:\Users\dyrektor\AppData\Roaming\skype.ini
C:\ProgramData\Ament.ini
C:\Users\dyrektor\AppData\Roaming\5999801.exe
C:\Users\dyrektor\AppData\Roaming\4538576.exe
C:\Users\dyrektor\AppData\Roaming\1725329.exe
C:\Users\dyrektor\AppData\Roaming\1485744.exe
C:\Users\dyrektor\AppData\Local\jy34y0t832qh1ysyf47152m2ud5tl8ela
C:\ProgramData\jy34y0t832qh1ysyf47152m2ud5tl8ela
:Commands
[clearallrestorepoints]
[EMPTYTEMP]
Zainstaluj [Aby zobaczyć linki, zarejestruj się tutaj] do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.
Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Wszystko wykonane.
Log z OTL-a:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Softonic znikł już ale nie wszystko zostało usunięte,w trybie awaryjnym z tego samego konta wykonaj jeszcze raz skrypt i tym razem pokaż raport z wykonania.
Kod: :OTL
[2013-05-14 11:29:32 | 000,000,004 | ---- | C] () -- C:\Users\dyrektor\AppData\Roaming\skype.ini
[2012-12-13 09:54:31 | 000,000,057 | ---- | C] () -- C:\ProgramData\Ament.ini
[2011-07-11 11:39:04 | 000,000,000 | ---- | C] () -- C:\Users\dyrektor\AppData\Roaming\5999801.exe
[2011-07-11 11:39:04 | 000,000,000 | ---- | C] () -- C:\Users\dyrektor\AppData\Roaming\4538576.exe
[2011-07-11 11:39:04 | 000,000,000 | ---- | C] () -- C:\Users\dyrektor\AppData\Roaming\1725329.exe
[2011-07-11 11:39:04 | 000,000,000 | ---- | C] () -- C:\Users\dyrektor\AppData\Roaming\1485744.exe
[2011-06-02 10:18:49 | 000,011,334 | -HS- | C] () -- C:\Users\dyrektor\AppData\Local\jy34y0t832qh1ysyf47152m2ud5tl8ela
[2011-06-02 10:18:49 | 000,001,602 | -HS- | C] () -- C:\ProgramData\jy34y0t832qh1ysyf47152m2ud5tl8ela
:Commands
[EMPTYTEMP]
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Wszystko zrobione.
Log OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ok teraz się wykonało możesz przejść do sprzątania w OTL .
Wyłącz i włącz funkcje przywracania systemu [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Wszystko działa tak jak powinno.
Pozdrowienia dla chomikosaoraz szczególnie dla tachiona- jesteś wielki
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Bez tachiona to furum zemrze
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 11
Liczba wątków: 2
Dołączył: 28.01.2013
Reputacja:
0
Tak jak powiedziałeś 
|
