Podejrzenie infekcji "skrótowej"

[TheLawPL]

Witam!

 

Podejrzewam infekcję z pena poprzez skrót LNK.

Kilka dni przyszedł do mnie kumpel z penem by zgrać mi muzykę. Niby w Komputerze pokazywało że jest zapełniony, ale były same skróty. Mimo moich ostrzeżeń mój brat otworzył jeden z nich.

 

Jeszcze nie zrobiłem logów, bo trzeba odinstalować sterownik wirtualnych napędów. Użyłem deinstalatora, chciałem skasować pozostałości w rejestrze, ale próba ich skasowania kończy się błędem. Próba przejęcia uprawnień kończy się takim komunikatem
Co muszę zrobić żeby pozbyć się tych resztek (zamierz ponownie zainstalować daemona po wszystkim) i móc zrobić logi?

Z góry dziękuję za pomoc

[picasso]

Jeszcze nie zrobiłem logów, bo trzeba odinstalować sterownik wirtualnych napędów. Użyłem deinstalatora, chciałem skasować pozostałości w rejestrze, ale próba ich skasowania kończy się błędem. Próba przejęcia uprawnień kończy się takim komunikatem

Należy zacząć resetować podklucz cfg. I zostaw już ten wątek. Czynny sterownik SPTD ma znaczenie dla raportów (tylko GMER), ale nie odpadkowy klucz (zajmę się nim potem). Dostarcz wymagane tu raporty, a dodatkowo jeszcze USBFix z opcji Listing przy podpiętym podejrzanym pendrive.

 

 

.

[TheLawPL]

Zrobiłem logi OTLa, FSRT i USBfix dla podejrzanego pena.
Przy skanie FSRT wyskoczył mi błąd "Brak dysku", musiałem z 3 razy dać Anuluj by kontynuować.
Oprócz pena chciałem też przeskanować kartę pamięci od telefonu, ale skanowanie USBfix skończyło się błędem, więc log z tego skanu będzie niepełny.

 

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

UsbFix Listing 4 - pen DANIEL-KOMPUTER.txt

UsbFix Listing 5 - memorka DANIEL-KOMPUTER.txt

[picasso]

Jeśli chodzi o system, to nie jest zainfekowany, do wykonania będą tylko raczej "kosmetyzujące" działania (usunięcie staroci / zbędników oraz wpisów pustych). Jeśli chodzi o urządzenia:

- Pendrive jest zainfekowany. Czy na nim mają być jakieś dane zasadnicze? W ogóle nie widać żadnych innych obiektów niż infekcja i Kosz...

- Natomiast w tym niepełnym skanie karty nic szkodliwego nie widać (ale skan wadliwy). Do wykonania:

 

2. Przy podpiętym pendrive (zakładam, że nadal jest pod literą N). Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
URLSearchHook: HKCU - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File
SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={84DEF224-EB6B-4B42-83AE-8E6EA340AFC9}&mid=24004ae50d7a47d6a7f5d156806c4916-2dc6982b7568081f90c514ef7a0b89703d856f35&lang=pl&ds=AVG&pr=fr&d=2011-11-21 17:24:26&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={84DEF224-EB6B-4B42-83AE-8E6EA340AFC9}&mid=24004ae50d7a47d6a7f5d156806c4916-2dc6982b7568081f90c514ef7a0b89703d856f35&lang=pl&ds=AVG&pr=fr&d=2011-11-21 17:24:26&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml
HKLM\...\Run: [vProt] - C:\Program Files\AVG Secure Search\vprot.exe [2552856 2014-02-06] ()
HKU\S-1-5-21-3952292846-3212615212-848792422-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [1266712 2013-06-03] (AVG Secure Search)
HKU\S-1-5-21-3952292846-3212615212-848792422-500\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [1266712 2013-06-03] (AVG Secure Search)
HKU\S-1-5-21-3952292846-3212615212-848792422-1000\...\Run: [AdobeBridge] - [X]
HKU\S-1-5-21-3952292846-3212615212-848792422-1000\...\MountPoints2: {07c89c34-3791-11e0-9767-001fc688a0e5} - L:\Setup.exe
HKU\S-1-5-21-3952292846-3212615212-848792422-1000\...\MountPoints2: {b7ccd15b-daf9-11e0-8338-001fc688a0e5} - M:\blank.exe
HKU\S-1-5-21-3952292846-3212615212-848792422-1001\...\MountPoints2: {76e158d8-1b67-11e0-844f-001fc688a0e5} - K:\install.exe
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
S3 XDva397; \??\C:\Windows\system32\XDva397.sys [X]
Task: {01719A20-7E16-431F-974C-762764C404E9} - System32\Tasks\{170528A4-3334-410D-946A-9464E21273B0} => D:\Diablo 2\Diablo II.exe
Task: {04381E46-14E2-4935-B7C8-804700F7C8DD} - System32\Tasks\{E3B5FDE5-A47C-4F30-B1AE-B78748B53C6F} => C:\Program Files\Kolekcja Klasyki\Blitzkrieg 2 Złota Edycja\EXE\bin\splash.exe
Task: {045DF0BA-2F76-408D-AA5D-6DA384BD2D81} - System32\Tasks\{EC0DFC8F-449D-438C-B867-609CDC2CB330} => C:\Program Files\Kolekcja Klasyki\Blitzkrieg 2 Złota Edycja\EXE\bin\Game.exe
Task: {1D524971-5D8E-4269-931E-8340B5FC7C2F} - System32\Tasks\{3B5BC0D7-63FC-4F4F-BCF6-09E64B7A22AF} => D:\Diablo 2\Diablo II.exe
Task: {35BD9BD2-3E8C-4509-9440-8EA076620B03} - System32\Tasks\{EEE0AA61-384D-4080-A8C0-72F4AC2B3B2E} => D:\WWE Impact 2010 v2\WWE Impact.exe
Task: {450725A5-3E68-45CF-A1D0-31F4D208FE11} - System32\Tasks\{FAA323FB-A7F8-4587-9D2B-ED63B5167A45} => D:\Diablo 2\Diablo II.exe
Task: {4B86798C-DA57-40E3-8449-DBB2DC608B2E} - System32\Tasks\{03CB6BA7-DCFD-4770-BAB2-62E783FEF7D8} => D:\WWE Impact 2010 v2\WWE Impact.exe
Task: {4F788AAC-E5C7-415A-B614-528A86FC052F} - System32\Tasks\{801A25AA-4CE2-4AD3-84D1-3C67BC50B7A2} => E:\AutoRun.exe
Task: {7774BCC1-6386-4D1C-87A2-66F59186A284} - System32\Tasks\{185EBFC9-0C64-4CBA-9BC7-A194B217439A} => C:\Program Files\Kolekcja Klasyki\Blitzkrieg 2 Złota Edycja\EXE\bin\splash.exe
Task: {C7848410-6575-42EB-9F22-D59E71D1830A} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{1891A318-998D-451C-9CC2-6B98DD12EA8B}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{1891A318-998D-451C-9CC2-6B98DD12EA8B}.exe
C:\Program Files\is.dat
C:\Program Files\uik.dat
N:\*.lnk
N:\*.vbs
N:\autorun.inf
N:\RECYCLER
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj zbędnik AVG Security Toolbar. Wypadałoby od razu też usunąć starego antywirusa AVG 2011.

 

3. Wyczyść przeglądarki ze śmieci / wpisów odpadkowych (zakładki i hasła nie zostaną naruszone):

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Niedomyślne rozszerzenia zostaną wyzerowane, ale potem je przeinstalujesz.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Następnie zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie Włącz.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing przy podpiętym pendrive. Dołącz plik fixlog.txt.

 

 

 

 

.

[TheLawPL]

Załączam log FSRT i USBFix.

Chyba wszystko w porządku

 

Ten pen jest kolegi, więc mogę mu go oddać niezarażonego (niektórzy mają na nich takie syfy, że szok - skróty, nie skróty, dziwne exeki).

FRST.txt

UsbFix Listing 6 DANIEL-KOMPUTER.txt

[picasso]

Zabrakło pliku fixlog.txt.

[TheLawPL]

Oto i on

Fixlog.txt

[picasso]

1. Jeśli chodzi o Twój system: nie ma śladów resetu wtyczek Google Chrome (nadal widoczne puste wpisy), ani poprawnej deinstalacji AVG Security Toolbar (to jest komponent sponsoringowy antywirusa) oraz starego AVG.

 

2. Jeśli chodzi o pendrive, FRST miał problem z usunięciem podskładowych folderu Kosza na urządzeniu. Niby cały folder oznaczony jako "usunięty", ale w logu nadal ma starą datę utworzenia (17/02/2014) jaka była na początku. Poprawka. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: N:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zrób nowy log USBFix z opcji Listing.

 

 

.

[TheLawPL]

Załączam fixlog

 

Jak znajdę czas to zaktualizuję AVG do wersji 2014

UsbFix Listing 7 DANIEL-KOMPUTER.txt

Fixlog.txt

[picasso]

Folder Kosza pomyślnie usunięty z urządzenia. Obecnie pendrive jest "goły" (nic na nim nie ma). Finalizacja zadań:

 

1. Usunięcie narzędzi: odinstaluj USBFix, przez SHIFT+DEL skasuj FRST i folder C:\FRST oraz resztę logów/narzędzi.

 

2. U siebie w systemie wykonaj zaległe kroki. Na dalszą metę pełna aktualizacja Windows, bo stan obecny to:

 

Microsoft Windows 7 Ultimate (X86) OS Language: Polish

Internet Explorer Version 8

 

 

 

.

[TheLawPL]

Dziękuję za pomoc. Przynajmniej mogłem poszerzyć wiedzę na temat tego typu syfów (parę razy miałem do czynienia z OTL)