bazwo
(Dominiqued)
20 Sierpień 2011 22:11
#1
Witam,
Na dysku pojawił się personal shield pro wraz z zapewne innymi wirusami. Uniemożliwione jest instalowanie/włączanie czegokolwiek itp. itd.
Po powrocie z urlopu okazało się, że jeszcze zasilacz się spalił. Więc zmuszony byłem do podpięcia dysku do innego komputera, i uruchomienie w trybie awaryjnym, aby uzyskać logi. Zainfekowane partycje dysku to E: F: G:
-RSIT
http://wklej.org/id/580130/txt/
-OTL
http://wklej.org/id/580132/txt/
http://wklej.org/id/580134/txt/
-SR
http://wklej.org/id/580136/txt/
-MBR
http://wklej.org/id/580137/txt/
Nie wiem, czy dobrze zostały skany przeprowadzone, ponieważ do tego komputera były podłączone dwa dyski, 1. ten który był tam na stałe, i 2. ten zainfekowany. A system został uruchomiony z tego pierwszego dysku.
ps.
wie ktoś może, gdzie można się czymś takim zarazić
Leon1
(Leon$)
20 Sierpień 2011 22:48
#2
w logach jest pokazany czysty system
musisz to zrobić na swoim kompie
bazwo
(Dominiqued)
21 Sierpień 2011 12:50
#3
Leon1
(Leon$)
21 Sierpień 2011 16:52
#4
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q= ” FF - HKLM\Software\MozillaPlugins@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins@thrixxx.com/WebLaunch: File not found FF - HKCU\Software\MozillaPlugins@thrixxx.com/WebLaunch: File not found [2010-07-30 16:57:26 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\qrqkb9q3.default\extensions\toolbar@ask.com [2009-06-07 10:49:41 | 000,000,682 | ---- | M] () – C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\qrqkb9q3.default\searchplugins\ask.xml O3 - HKU\S-1-5-21-329068152-823518204-1801674531-500…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [bigDog303] File not found O4 - HKU\S-1-5-21-329068152-823518204-1801674531-500…\Run: [Oluceru] C:\WINDOWS\mshad320.dll (Broadcom Corp.) O4 - HKLM…\RunOnce: [WIAWizardMenu] C:\WINDOWS\System32\sti_ci.dll (Microsoft Corporation) O4 - HKU\S-1-5-21-329068152-823518204-1801674531-500…\RunOnce: [nM13602NmNlN13602] C:\Documents and Settings\All Users\Dane aplikacji\nM13602NmNlN13602\nM13602NmNlN13602.exe () O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.) O24 - Desktop Components:0 () - http://i.ebayimg.com/21/!BZRm+JgBmk%7 … %7E_12.JPG O24 - Desktop Components:1 () - http://farm7.static.flickr.com/6124/600 … 3e7e_b.jpg O33 - MountPoints2{1e296bee-31dd-11df-97c8-00c0df131082}\Shell\AutoRun\command - “” = I:\krwyrv0d.exe O33 - MountPoints2{1e296bee-31dd-11df-97c8-00c0df131082}\Shell\open\Command - “” = I:\krwyrv0d.exe O33 - MountPoints2{d8145ba5-f551-11de-96e4-00c0df131082}\Shell\AutoRun\command - “” = H:\3exi.exe O33 - MountPoints2{d8145ba5-f551-11de-96e4-00c0df131082}\Shell\open\Command - “” = H:\3exi.exe O33 - MountPoints2{d8145ba6-f551-11de-96e4-00c0df131082}\Shell\AutoRun\command - “” = 3exi.exe O33 - MountPoints2{d8145ba6-f551-11de-96e4-00c0df131082}\Shell\open\Command - “” = 3exi.exe [2011-08-12 18:45:24 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\nM13602NmNlN13602 [2011-08-12 22:01:00 | 000,000,250 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job O36 - AppCertDlls: ckcnuirt - (C:\WINDOWS\system32\oodbrint.dll) - C:\WINDOWS\system32\oodbrint.dll () [2011-08-12 18:45:50 | 000,049,664 | -H-- | M] () – C:\WINDOWS\System32\oodbrint.dll [2011-08-12 18:45:25 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\nM13602NmNlN13602 @Alternate Data Stream - 88 bytes -> C:\Documents and Settings\Administrator\Pulpit\OTL.exe:SummaryInformation @Alternate Data Stream - 214 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:C895616B @Alternate Data Stream - 162 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B3D74A13 @Alternate Data Stream - 140 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DE406C3E @Alternate Data Stream - 1280 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:04cSIGGpGsHUYgdaEYl3 @Alternate Data Stream - 1238 bytes -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\KFO7J4gp:rMdR2pQkwBp03maUApGB @Alternate Data Stream - 1237 bytes -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\AGj8nSs9vlY9g:dBlX6iDMU3DRuZoei8h9yRox @Alternate Data Stream - 1206 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:xb90HzhRe16h9dZbolZ5sId @Alternate Data Stream - 1194 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:kp77hUbIEBqBPa7Vc37Ww @Alternate Data Stream - 1161 bytes -> C:\Program Files\Common Files\System:W2HJKnfd4Xfybes0q @Alternate Data Stream - 1137 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:tStYl2lUxD9aVODREELfEFex @Alternate Data Stream - 1132 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:GJWlUFU1MY9CWmXirZs50VOMZA @Alternate Data Stream - 1130 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:XcAHvSTcNfzPfHCGEDOYRJG @Alternate Data Stream - 1092 bytes -> C:\Program Files\Common Files\System:AkzmM8wutYzO9h8t @Alternate Data Stream - 1085 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:qzjbLpUcCoEl601tXXuLFrb @Alternate Data Stream - 1079 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:pkLaFox1HOzfPF6MpCFWc1Jlsdc4 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
bazwo
(Dominiqued)
21 Sierpień 2011 19:20
#5
Leon1
(Leon$)
21 Sierpień 2011 19:28
#6
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
W OTL kilknij CleanUp (Sprzątanie)
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
bazwo
(Dominiqued)
21 Sierpień 2011 19:34
#7
Dzięki wielkie, i wyrazy uznania