bpm Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Dobry wieczór, trafił mi się mocno zainfekowany komputer z Windows XP SP2, z kompletnym brakiem aktualizacji czegokolwiek, wyłączonym Avastem i objawami cytuję: "zawieszania się i mulenia". Skan MBAM na początek wykrył niewiele (niestety log przepadł), TDSSKiller jak i Dr.WEB Curelt! znalazły infekcję w C:\WINDOWS\system32 o nazwie klaqcy.dll i miał to być trojan. Z tego co rzuca sie oczy od razu: skan z GMER oraz OTL wskazują na C:\DOCUME~1\xxx\USTAWI~1\Temp\ffdyyfod.sys Objawy jakie zaobserwowałem to: - brak dostępu do ukrytych plików oraz folderów - infekcja każdego pendrive'a robakiem: net-worm.win32.kido!ik oraz worm.win32.conficker!ik Bardzo proszę o pomoc co pozostało do usunięcia. OTL Extras Gmer Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 W logach nie widać aktywnej infekcji a jedynie ślady Conficker. Wykonaj poniższe zalecenia: 1. Odinstaluj starego Avasta za pomocą Avast Uninstall Utility 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-436374069-1606980848-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found [2012-06-05 14:00:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask :Files Recycler /alldrives :Services ffdyyfod :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "4215:TCP"=- [HKEY_USERS\S-1-5-21-436374069-1606980848-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" [-HKEY_USERS\S-1-5-21-436374069-1606980848-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Prezentujesz nowe logi z OTL infekcja każdego pendrive'a robakiem: net-worm.win32.kido!ik oraz worm.win32.conficker!ik "Kido" = "Jeefo" a więc rodzaj infekcji plików wykonywalnych .exe, ale tu nie wygląda by to się dostało na system. Jeśli na tych pendrivach nie ma nic ważnego to można je sformatować, w innym wypadku powinny zostać podpięte, a ty powinieneś wykonać raport z USBFix z opcji Listing Odnośnik do komentarza
bpm Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Gotowe, oto nowe logi: OTL Extras i na wszelki wypadek: USBFix Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Na wszelki wypadek te pendrivy też wyczyścisz. Montuj więc taki skrypt do OTL (oczywiście pendrivy mają być podpięte tak jak były): :Files $Recycle.Bin /alldrives Recycler /alldrives Do wglądu możesz dać tylko log z usuwania i wypowiedz się czy po tych zabiegach coś się poprawiło i ogólnie jakie są tu jeszcze problemy. Odnośnik do komentarza
RA1 Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 "Kido" = "Jeefo" a więc rodzaj infekcji plików wykonywalnych .exe, ale tu nie wygląda by to się dostało na system. Jeśli na tych pendrivach nie ma nic ważnego to można je sformatować, w innym wypadku powinny zostać podpięte, a ty powinieneś wykonać raport z USBFix z opcji Listing Przepraszam, ale Kido to chyba Conficker: http://pl.wikipedia.org/wiki/Conficker "Conficker znany także jako Downup, Downadup lub Kido - jeden z groźniejszych ze znanych dotychczas robaków komputerowych." Odnośnik do komentarza
bpm Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Nie zauważyłem już nic niepokojącego. Doinstalowałem właśnie SP3 i chyba czas na końcowe sprzątanie Odnośnik do komentarza
Landuss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 W takim razie zakładam, ze wiesz co robić bo nie pierwszy raz to wykonujesz i tłumaczyć nie muszę. Dodam tylko, ze IE, Java i Adobe Reader tez wymagają aktualizacji. Odnośnik do komentarza
bpm Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Tak wiem, dzięki serdeczne za pomoc. Miłego dnia życzę i pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi