wolek14
11 Maj 2013 16:45
#1
Witam.
Kumpel na laptopie złapał to coś. Tryb awaryjny działa, więc wpierw odpaliłem tam KVRT, znalazł mi pliki .exe z wirusem Trojan-Ransom.Win32.Foreign.bzr , i wykonał jakieś specjalne leczenie. Ja przeglądnałem autostart najpierw w msconfig, później autoruns, i brak śladów jakiegokolwiek dziwnego pliku. Z resztą zostawiłem aktywne tylko 3 wpisy systemowe dla pewności. Rejestr przeglądłem z grubsza, i też tego czego szukałem tam nie ma. Aktualnie dołożyłem Dr.Weba, poza Delta nic nie znalazł. Jednak przy logowaniu w normalnym trybie dalej pozostało białe tło (bez niczego), którego nie umiem się pozbyć. Dodatkowo widze, że gośc bawił się Combofixem, i powywalało mu jakieś sterowniki. Ale kosmetyką zajmę się później. Pomożecie?
OTL
Extras
Atis
11 Maj 2013 17:09
#2
Log należy utworzyć na zainfekowanym koncie użytkownika, a teraz jesteś na wbudowanym Administrator.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – c:\program files\common files\akamai\netsession_win_a74ca62.dll – (Akamai) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\ZDPSp50.sys – (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS.0\system32\ZDCndis5.SYS – (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\UIUSYS.SYS – (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS.0\system32\PCANDIS5.SYS – (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) O4 - HKU.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart_uninst_.lnk = C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp_uninst_.bat () O4 - Startup: C:\Documents and Settings\South\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Dane aplikacji\lsass.exe.vir (Microsoft Corporation) [2012-11-21 19:22:55 | 000,033,280 | ---- | C] (Microsoft Corporation) – C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Uruchom system w normalnym trybie i odinstaluj Avast lub Norton Internet Security.
Odinstaluj:
BrowserProtect
Ask Toolbar
AVG Security Toolbar
Akamai NetSession Interface Service
MediaBar
DAEMON Tools Toolbar
Delta toolbar
Searchqu Toolbar
Softonic-Polska Toolbar
Norton Security Scan
iLivid
McAfee Security Scan Plus
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Usuń.
Kliknij Skanuj i pokaż nowy log z OTL.
wolek14
11 Maj 2013 17:41
#3
Zainfekowane konto nie działa w trybie awaryjnym. Po próbie logowania następuje “uruchomienie ponowne” (łagodne).
Niestety po wykonaniu skryptu bez zmian - wciąż białe tło.
Usuwanie
OTL
Atis
11 Maj 2013 18:02
#4
Uruchom OTL i kliknij Nic.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
Atis
11 Maj 2013 18:19
#6
Wklej i kliknij Wykonaj skrypt:
Uruchom w normalnym trybie i wykonaj pozostałe zalecenia.
wolek14
11 Maj 2013 19:43
#7
Ok, wszystko ogarnięte.
Jest jakiś sposób bez logów żeby to odtworzyć?
Dzięki wielkie za pomoc!
Atis
11 Maj 2013 22:54
#8
Nie wiem, co to znaczy żeby to odtworzyć?
Plik skype.dat powinien być wykrywany przez skanery które wymieniłeś na początku.
W rejestrze zapisany jest w wartości Shell:
Plik widoczny Autoruns:
http://wstaw.org/m/2013/05/12/trojan_skype.dat.png
Poza tym miałeś pokazać nowy log z OTL.
