Skocz do zawartości

Analiza pod kątem wirusów


Nights

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcję tu widzę, czyli pliki update.exe + lua8.exe w Autostarcie, a przypuszczalna droga ich nabycia to trefna paczka do Tibia:

 

O4 - Startup: C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\update.exe ()

O4 - Startup: C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\lua8.exe ()

[2011-07-14 09:57:02 | 000,487,863 | ---- | C] () -- C:\WINDOWS\update.exe

[2011-07-14 09:57:00 | 000,108,217 | ---- | C] () -- C:\WINDOWS\os4.exe

[2011-07-14 09:56:57 | 000,059,904 | ---- | C] () -- C:\WINDOWS\zlib1.dll

 

W systemie widać też szczątki innych wpisów infekcyjnych oraz adware FunWebProducts i profilinstylin.

 

 

1. Przejdź do Dodaj / Usuń programy i odinstaluj zbędniki SearchCore for Browsers + Windows iLivid Toolbar

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\update.exe
C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Menu Start\Programy\Autostart\lua8.exe
C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\facemoods.com
C:\Program Files\profilinstylin
C:\WINDOWS\update.exe
C:\WINDOWS\os4.exe
C:\WINDOWS\zlib1.dll
C:\FOUND.*
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=""
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@funwebproducts.com/Plugin]
[HKEY_CURRENT_USER\SOFTWARE\Mozilla\Firefox\Extensions]
"{EB132DB0-A4CA-11DF-9732-0E29E0D72085}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ares"=-
"Kookos"=-
"Nwiz Drivers"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"WinDefender"=-
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (NoIPDUCService)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

3. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj (extras już zbędne), AD-Remover z opcji Scan oraz zaległy GMER. Dołącz też log z wynikami usuwania pozyskany w punkcie 2. I sprawdź co jest w tych folderach:

 

[2011-10-21 16:02:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\DBV

[2011-10-18 19:10:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\LRdon

[2011-10-16 13:23:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\T-D-B

[2011-10-15 18:32:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\Tibia

[2011-10-15 11:19:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\lola.LAUDA-04D4AA233.002\Dane aplikacji\dbkfo

 

 

 

.

Odnośnik do komentarza
Punkt pierwszy został wykonany na końcu, przez przypadek.

 

Kolejność była obrana celowo, ze względu na: skrypt OTL czyścił Tempy, które mogły się zapełnić po procesach deinstalacji, a poza tym logi końcowe miały potwierdzić na ile deinstalacja była kompletna. I teraz nie jestem pewna, czy to co widać w OTL + AD-Remover to szczątki po zalecanych deinstalacjach (załączę na usuwanie mimo to).

 

 

1. W logach OK, tylko drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SearchquMediabarTb]
[-HKEY_LOCAL_MACHINE\Software\Trymedia Systems]
[-HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DATAMNGR"=-
 
:Files
C:\Program Files\SearchCore for Browsers
C:\Program Files\Windows iLivid Toolbar
C:\Documents and Settings\All Users\Dane aplikacji\PopCap Games
C:\Documents and Settings\All Users\Dane aplikacji\Trymedia
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Uporządkuj po używanych narzędziach: odinstaluj AD-Remover i użyj Sprzątanie w OTL.

 

3. Prewencyjna wymiana haseł Tibia

 

4. Ważne aktualizacje do wykonania. W OTL Extras widać:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X (10.0.1) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

Fatalny poziom zabezpieczeń Windows - brak Service Pack 3. A pozostałe zakreślone do aktualizacji (Flash tu punktowany to wtyczka Internet Explorer). Szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE.

 

5. Na koniec czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

 

Potwierdź wykonanie wszystkiego, podsumuj w jakim stanie jest system, czy nadal wolno chodzi i co tu jeszcze wymaga naprawy.

 

 

 

.

Edytowane przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...