yrpen
(yrpen)
21 Sierpień 2009 18:02
#1
Mam zainfekowany komputer oraz prawdopodobnie 2 pendrive’y (wirus związany z autostartem).
W menadżerze zadań są dwa wpisy “explorer.exe” oraz “EXPLORER.EXE”, podejrzanie też wyglądają: RUNDLL32.EXE, ALERTM~1.EXE
Każdy z pendrive dostał opcję autoodtwarzania po podłączeniu go do tego komputera.
Poza tym nie mogę wyłączyć autoodtwarzania w systemie (Przechodzę przez “Konfiguracja komputera/Szablony administracyjne”, następnie powinien istnieć folder “System” którego nie mam).
Log z HJT:
http://wklejto.pl/41015
PS: W HJT wpisy z linji numer: 14, 41, 56 nie chcą się “sfixować”
deFco247
(deFco247)
21 Sierpień 2009 18:06
#2
To jest infekcja z pendrive.
Pokaż log OTL .
deFco247
(deFco247)
21 Sierpień 2009 18:57
#4
Tutaj jest jedna biblioteka, która wygląda na Confickera, z którym OTL może sobie nie poradzić.
W Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2006-10-25 09:32:36 | 00,036,864 | RHS- | M] (Microsoft Corporation) – C:\WINDOWS\System32\EXPLORER.EXE PRC - [2004-08-04 00:44:20 | 01,033,728 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\explorer.exe O2 - BHO: (ToggleEN Toolbar) - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) O2 - BHO: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFree.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (ToggleEN Toolbar) - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFree.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-73586283-1409082233-725345543-1003…\Toolbar\WebBrowser: (ToggleEN Toolbar) - {038CB5C7-48EA-4AF9-94E0-A1646542E62B} - C:\Program Files\ToggleEN\tbTogg.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-73586283-1409082233-725345543-1003…\Toolbar\WebBrowser: (Free Lunch Design Toolbar) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - C:\Program Files\Free_Lunch_Design\tbFree.dll (Conduit Ltd.) O4 - HKU\S-1-5-21-73586283-1409082233-725345543-1003…\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKU\S-1-5-21-73586283-1409082233-725345543-1003…\Run: [wsctf.exe] File not found O32 - AutoRun File - [2004-08-04 00:44:02 | 00,059,308 | RHS- | M] () - G:\AutoRun.inf – [FAT32] O33 - MountPoints2{623000ac-a7f3-11dd-85d2-4d6564696130}\Shell\AutoRun\command - “” = G:\EXPLORER.EXE – [2006-10-25 09:32:36 | 00,036,864 | RHS- | M] (Microsoft Corporation) O33 - MountPoints2{623000ac-a7f3-11dd-85d2-4d6564696130}\Shell\explore\Command - “” = G:\EXPLORER.EXE – [2006-10-25 09:32:36 | 00,036,864 | RHS- | M] (Microsoft Corporation) O33 - MountPoints2{623000ac-a7f3-11dd-85d2-4d6564696130}\Shell\open\Command - “” = G:\EXPLORER.EXE – [2006-10-25 09:32:36 | 00,036,864 | RHS- | M] (Microsoft Corporation) O33 - MountPoints2{674d890f-1950-11de-876d-4d6564696130}\Shell - “” = AutoRun :Services upifjatpl :Files C:\WINDOWS\System32\qlktbtj.dll C:\Program Files\Free_Lunch_Design C:\Program Files\ToggleEN C:\Documents and Settings\admin.ADMIN-4AA133D09\Ustawienia lokalne\Dane aplikacji\Free_Lunch_Design :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy OTL.txt
deFco247
(deFco247)
21 Sierpień 2009 20:44
#6
Coś dwa z tych trojanów nie chcą schodzić.
Wklej w OTL:
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy OTL.txt
yrpen
(yrpen)
21 Sierpień 2009 21:40
#7
Usuwanie:
http://wklejto.pl/41041
Skan:
http://wklejto.pl/41042
#EDIT #
Wydaje mi się, ze ten trojan ma jakiś wpis w rejestrze odnawiający go co rozruch systemu.
deFco247
(deFco247)
22 Sierpień 2009 09:46
#8
No to mamy buga w OTL-u.
Nie potrafi usuwać ten infekcji ze względu na nazwę pliku. :?
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Otwórz Notatnik i wklej do niego:
Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru.
yrpen
(yrpen)
23 Sierpień 2009 18:57
#9
Niestety temat do zamknięcia, system Windows (w tym też awaryjny) nie chce się uruchomić Pozostanie mi format dysku C oraz instalacja “świeżego” systemu.
A co do innych sprzętów, to czyszczenie 3 pendrive oraz 2 laptopów (założę oddzielne tematy)