Infekcja nazwa "Reveton.P"

[atasuke]

Witam

Właczyłem dzisiaj rano komputer by pracować a tu nagle zonk . Twój komputer został zablokowany i chciałbym dodał jakieś informacje do rejestru czego nie uczyniłem i mogłem odrazu wejść na pulpit.

Uruchomiłem najnowszego Otl :

 

Logi:

 

 

 

Przeglądając logi wpadło mi w oko parę nie potrzebnych wpisów przykładowo:

 

[2013-01-09 13:31:25 | 000,189,192 | ---- | C] (ÐšÐ¾Ñ€Ð¿Ð¾Ñ€Ð°Ñ†Ð¸Ñ ÐœÐ°Ð¹ÐºÑ€Ð¾Ñофт) -- C:\Users\Szkuner\wgsdgsdgdsgsd.exe

 

z ruskim certyfikatem

 

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Microsoft Security Essentials

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Java 7 Update 9

Adobe Flash Player 11.5.502.146

Adobe Reader XI

Mozilla Firefox (17.0.1)

Mozilla Thunderbird (17.0.)

````````Process Check: objlist.exe by Laurent````````

Microsoft Security Essentials MSMpEng.exe

Microsoft Security Essentials msseces.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

 

System to 64 bitowy windows 7 .

 

Ps

Systemu ja używam zawsze dbam sobie o wszystkie aktualizacje a tu taka niespodzianka. Prosze o pomoc i wskazówki . Niczego nie ruszałem i nie uruchamiałem żadnych aplikacji usuwających.

[picasso]

Nuriel, faktycznie zonk. Ty tu ze swoim systemem?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Szkuner\wgsdgsdgdsgsd.dll
C:\Users\Szkuner\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\dsgsdgdsgdsgw.reg
C:\ProgramData\dsgsdgdsgdsgw.bat
C:\Users\Szkuner\AppData\Roaming\YourFileDownloader
 
:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtAtDtA0DyBtB0FtDtD0AtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=520054711"
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtAtDtA0DyBtB0FtDtD0AtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=520054711"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtAtDtA0DyBtB0FtDtD0AtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=520054711"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtAtDtA0DyBtB0FtDtD0AtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=520054711"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[atasuke]

Przesyłam log z usuwania:

 

Oraz nowy skan z OTL :

 

[picasso]

Wszystko wykonane. Nic więcej od infekcji nie widzę. Drobne korekty i kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{386D64A2-7635-C911-E521-106765081CC2}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. W OTL uruchom Sprzątanie.

 

3. W Dzienniku zdarzeń masz błąd WMI numer 10. Napraw: KLIK.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj poniższe, są nowsze wersje: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417009FF}" = Java 7 Update 9 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
"Mozilla Thunderbird 17.0 (x86 pl)" = Mozilla Thunderbird 17.0 (x86 pl)

 

 

 

.

[atasuke]

Wykonałem wszystkie zalecenia temat można zamknąć. Wielkie dzieki za szybką pomoc.