Infekcja z pendriv'a

[stam222]

Witam,

Dopisałem chyba bo nie chodzi o mojego laptopa a laptopa kolegi a mamy,ze tak powiem małe kłopoty językowe .Chodzi o laptopa Acer Aspire 5610Z

Vista Home premium SP1

procesor;Genuine Intel CPU T2080 @1.73GHz 1.73 GHz

Ram; 1.oo GB

system 32 bit

 

Kolega prosił mnie czy bym mu nie przeinstalował systemu,więc pomyślałem,że czemu nie bo i tak nie mam nic ciekawszego w tej chwili do roboty ale nie bardzo wiedziałem jak to zrobić.Tzn.wiedziałem ale nie mogłem bo kiedy uruchamiałem system (wciskając F12) to pojawiało mi się coś takiego ;

 

Path:\Windows|system32\winload.exe

Parition: 2

hard disk:2bdde4ef

[/noexecute=optin ]

 

No i w zasadzie nie potrafiłem tego ugryźć. Ale wiem,że to nie ten dział a pisze tylko dlatego żeby przybliżyć wam jak i co.Potem kolega stwierdził ,że chciał przeinstalować system bo złapał wirusa od innego golegi właśnie przez użycie pen'a.Ponoc skanował kilka razy komputer McAfee i wykrył mu kilka wirusów po czym je usunął tymże programem.

Twierdzi,że nie może odinstalować Firefoxa a poza tym język w przeglądarce zmienił mu się na arabski .Twierdzi tez że zacinają mu się programy wszystko się muli i zawiesza.

Wiem,że to wszystko jest mało precyzyjne ale jeżeli macie chwilkę to bardzo bym prosił o zerknięcie w załączniki.

Dziękuje już teraz.

OTL.Txt

Extras.Txt

gm...er.txt

[Landuss]

Rzeczywiście są ślady infekcji z pendrive, ale generalnie infekcji nie widzę w stanie czynnym a są jedynie szczątki. Usuniemy to co widać.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.yahoo.com"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com"
IE - HKU\S-1-5-21-2224077044-4220218775-1867633401-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.smartwebsearch.net/index.php?from=3"
FF - prefs.js..browser.search.defaultenginename: "www.google-feed.net"
FF - prefs.js..browser.search.defaulturl: "http://search.yahoo.com/search?fr=ffsp1&p="
FF - prefs.js..browser.startup.homepage: "http://www.smartwebsearch.net/index.php?from=3"
FF - prefs.js..extensions.enabledItems: toolbar@alot.com:2.4.6000
FF - prefs.js..keyword.URL: "http://www.smartwebsearch.net/index.php?form=5&q="
[2010/11/29 06:27:29 | 000,000,000 | ---D | M] (ALOT Toolbar) -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\extensions\toolbar@alot.com
[2010/11/29 06:31:02 | 000,002,232 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\alot-search.xml
[2011/01/02 14:55:31 | 000,001,747 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\ask.uk.xml
[2010/12/21 07:05:01 | 000,002,138 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\GoogleFeed.xml
[2009/08/18 20:45:43 | 000,002,386 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\siteadvisor.xml
O4 - HKLM..\Run: [cssrs] C:\Windows\System32\cssrs.exe File not found
O4 - HKU\S-1-5-21-2224077044-4220218775-1867633401-1000..\Run: [internet Start Service] G:\ms~~\svchost.exe File not found
O4 - HKU\S-1-5-21-2224077044-4220218775-1867633401-1000..\Run: [æ牥å ç•¯r]  File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Odinstaluj śmieci - Google Toolbar / Yahoo! Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[stam222]

Wielkie dzięki Landuss.

Zrobiłem wszystko wg.wskazówek i chyba jest ok.

Raz jeszcze dzięki.

Log w załączniku.

Pozdrawiam

OTL.Txt

[Landuss]

Usuwanie pomyślnie wykonane. Czynności końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine

 

3. Obowiązkowe aktualizacje do wykonania:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

"{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8

"{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8

Uzupełnij Service Pack 2, pozostałe wyliczone aplikacje zaktualizuj: INSTRUKCJE.

 

I ten język przydało by się zmienić bo według nagłówka jest na arabskim:

 

Locale: 00000401 | Country: المملكة العربية السعودية | Language: ARA | Date Format: M/d/yyyy

 

 

 

Edytowane 17 Października 2011 przez picasso
12.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso