Security Sphere 2012

[horrida]

Witam ponownie,

 

Tym razem zainfekowany został komputer stacjonarny z Win 7 64 bit. Chodzi o zgłaszany niedawno przez innego użytkownika Security Sphere 2012. Objawy to:

 

- podmiana tapety na niebieską

- ciągle migające komunikaty o zainfekowaniu na pasku zadań "Warning: Your computer is infected"

- uruchamiające się co kilka minut okno pseudoantywirusa z bardzo utrudnionym go wyłączeniem

- W przeciwienstwie do poprzedniego użytkownika zgłaszającego ten problem potrafię eksplorować katalogi. Jednak programy nie działają, w tym także OTL

- raporty przedstawiam z trybu awaryjnego.

 

 

Moja prośba dotyczy usunięcia tego świństwa oraz pomocy w doborze antywirusa. Na skanowanym komputerze jest w tym momencie trial Kasperskego.

OTL.Txt

Extras.Txt

[picasso]

1. Z poziomu Trybu awaryjnego uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3256287372-3208080009-2151116292-1000..\RunOnce: [fF31166NfPaL31166] C:\ProgramData\fF31166NfPaL31166\fF31166NfPaL31166.exe ()
[2011-10-12 20:07:36 | 000,000,000 | ---D | C] -- C:\ProgramData\fF31166NfPaL31166
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Powinien automatycznie otworzyć się log z wynikami usuwania.

 

2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję). Dołącz log z wynikami usuwania z punktu 1.

 

Na wszelki wypadek otwórz w Notatniku + zaprezentuj zawartość pliku autorun.inf z dysku I (choć przypuszczam, że to nic szkodliwego, tzn. plik firmowy):

 

O32 - AutoRun File - [2010-01-26 17:15:22 | 000,000,191 | ---- | M] () - I:\autorun.inf -- [ NTFS ]

 

 

 

.

[horrida]

Wykonane.

 

 

Oto treść pliku autorun.inf z dysku I (ten dysk jest zewnętrzny i jakieś tam oprogramowanie było fabrycznie, być może to właśnie to):

 

[autorun]

;** Default Startup Program **
;** This is the text and default program that will appear in the Windows AutoPlay dialog box

action=Get Started
open=Get_Started_for_Win.exe

OTL.Txt

10122011_235317.txt

[picasso]

Zadanie prawie zrobione. Co ciekawe, OTL nie zdołał usunąć folderu jakoby nie istniał (przy czym linię wcześniej z niego usuwał plik):

 

Folder C:\ProgramData\fF31166NfPaL31166\ not found.

 

Folder nadal jest na dysku:

 

[2011-10-12 20:07:36 | 000,000,000 | ---D | C] -- C:\ProgramData\fF31166NfPaL31166

 

1. Przez SHIFT+DEL skasuj w/w z dysku.

 

2. W OTL uruchom Sprzątanie.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes' Anti-Malware i przedstaw wynikowy log (o ile coś zostanie wykryte).

 

 

PS. A plik autorun.inf wygląda jak część firmowego oprogramowania tego dysku.

 

 

.

[horrida]

ok. Wykonane. Log zdaje się nic nie wykrył na c: ale jest masę czegoś na dyskach rzadko przeze mnie używanych.

mbam-log-2011-10-13 (19-33-56).txt

[picasso]

1. MBAM: Połowa wyników to pochodna skopiowania z innego systemu (XP) katalogu profilu wraz z całym jego inwentarzem (czyli i bezużyteczne katalogi Temp). Przez SHIFT+DEL skasuj z dysku te foldery:

 

f:\documents and settings\Damian\ustawienia lokalne\Temp

i:\seagate500\C\Reszta\documents and settings\Damian\ustawienia lokalne\Temp

i:\RECYCLER

 

Natomiast czyszczenie System Volume Information (Przywracanie systemu) odbędzie się po wykonaniu tych instrukcji: INSTRUKCJE. Czyszczenie punktów robić dla każdego dysku po kolei.

 

2. Na zakończenie należy wykonać aktualizacje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

Brak Service Pack 1 + Internet Explorer 9, stary Flash (obie wersje: dla Firefox i IE) i Adobe Reader. Szczegóły aktualizacyjne: INSTRUKCJE.

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso