Problem z xp security 2012

[Peppers]

Witam! Jak w temacie mam problem z tym "czyms" (bo nie wiem nawet jak to nazwac). Wczoraj wchodząc na jakąś stronę nagle wyskoczył mi komunikat z xp security 2012 przegladarka sie nagle wyłączyła i zaczęło sie jakieś skanowanie, ktorego nie dalo sie przerwac . Następnie zablokowalo mi wiekszosc programow w tym przeglądarke. Próbowałem usunąc to dziadostwo za pomoca Malwarebytes Anti-Malware niestety bez rezultatów. Więcej nie robiłem nic. Teraz pracuje na innym koncie i jest w miare normalnie ale chcialbym sie pozbyc tego dziadostwa ze swojego komputera.

[picasso]

Teraz pracuje na innym koncie i jest w miare normalnie ale chcialbym sie pozbyc tego dziadostwa ze swojego komputera.

 

Logi muszą być zrobione z poziomu konta które ma problem. Log z innego konta pokazuje zawartość nie tego rejestru co trzeba. Pobierz z przyklejonego wersję COM OTL, wejdź na konto zainfekowane i stwórz log.

[Peppers]

Już zrobione. Proszę!

OTL.Txt

Extras.Txt

[picasso]

Tak, na tym koncie jest ten gagatek powodujący otwieranie każdego pliku EXE przez plik infekcji:

 

O35 - HKU\S-1-5-21-682003330-1454471165-725345543-1003..exefile [open] -- "C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\vji.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-682003330-1454471165-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\vji.exe" -a "%1" %* ()

Ponadto, jest tu mapowanie pozostawione po podpinaniu zarażonego nośnika USB oraz adware-paski w przeglądarkach (weszły z nieuważnymi instalacjami Unlocker / uTorrent i WinAmp).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKU\S-1-5-21-682003330-1454471165-725345543-1003..exefile [open] -- "C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\vji.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-682003330-1454471165-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\vji.exe" -a "%1" %* ()
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"3701398461"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\Marcin\USTAWI~1\Temp\0.3763506573128206.exe"=-
 
:Files
autorun.inf /alldrives
C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\w32on35c57t754
C:\Documents and Settings\All Users\Dane aplikacji\w32on35c57t754
C:\Documents and Settings\All Users\Dane aplikacji\1250322638
C:\Documents and Settings\Marcin\Dane aplikacji\9318146.exe
C:\Documents and Settings\Marcin\Dane aplikacji\8256261.exe
C:\Documents and Settings\Marcin\Dane aplikacji\4686906.exe
C:\Documents and Settings\Marcin\Dane aplikacji\1425623.exe
C:\Documents and Settings\Marcin\Dane aplikacji\OpenCandy
C:\Documents and Settings\Marcin\Dane aplikacji\PriceGong
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien automatycznie otworzyć się log z wynikami usuwania. EXE zaczną działać.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci paskowe (Conduit Engine, QuickStores-Toolbar, uTorrentBar Toolbar, Winamp Toolbar) oraz zbędnik Akamai NetSession Interface. Otwórz menedżer rozszerzeń Firefox i odmontuj po raz drugi ten sam zestaw śmieci paskowych.

 

3. Wygeneruj nowy zestaw logów: OTL z opcji Skanuj (Extras nie potrzebuję już) oraz z AD-Remover trybu skanu. Dołącz także log z wynikami usuwania otrzymanymi w punkcie 1.

 

 

 

.

Edytowane 12 Sierpnia 2011 przez picasso
12.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso