Log OTL - po infekcji Pendriva

Post22 gru 2011, 08:04

Witam!

Po podłączeniu obcego Pendriva, Eset wychwycił trojana w pliku autorun.inf, plik usunąłem ale chciałem się upewnić czy czegoś nie zostawił po sobie w systemie.
Oto logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję za pomoc.

.

Post22 gru 2011, 13:11

Infekcji nie widać.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MsConfig - StartUpReg: Google Update - hkey= - key= - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O8 - Extra context menu item: Pobierz plik wideo we Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm File not found
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - prefs.js..browser.search.defaultenginename: "Web Search..."

:Files
C:\Users\tomek\AppData\Local\Temp*.html

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

F.

Post22 gru 2011, 13:25

Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> Widnows Defender.

Następnie z podłączonymi pamięciami przenośnymi użyj UsbFix -> Dostępne tylko dla zarejestrowanych użytkowników z opcji Deletion i podaj utworzony log.

Następnie odinstaluj -> Malwarabytes Anti-Malware (zła forma), HijackThis i Your Uninstaller! (masz Revo).

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Disabled | Running] -- -- (MBAMSwissArmy)
IE - HKU\S-1-5-21-3416256065-2437309570-1270218652-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3416256065-2437309570-1270218652-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = pl
IE - HKU\S-1-5-21-3416256065-2437309570-1270218652-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5F 72 37 2A FF 17 CA 01 [binary data]
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2010-11-27 11:25:25 | 000,000,000 | ---D | M] (oldbar) -- C:\Users\tomek\AppData\Roaming\mozilla\Firefox\Profiles\33o1u4yq.default\extensions\{46868735-c3fa-47ce-8ce7-cce51a66aceb}
[2011-11-14 07:02:56 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\tomek\AppData\Roaming\mozilla\Firefox\Profiles\33o1u4yq.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
O8 - Extra context menu item: Pobierz plik wideo we Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm File not found
MsConfig - StartUpReg: Google Update - hkey= - key= - File not found
@Alternate Data Stream - 175 bytes -> C:\ProgramData\TEMP:A31FAD21
@Alternate Data Stream - 162 bytes -> C:\ProgramData\TEMP:1CE11B51
@Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:6C67D791
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:A9662AE0

:Files
C:\Users\tomek\AppData\Local\Temp*.html
C:\Users\tomek\Desktop\Flash_Disinfector.exe
C:\Users\tomek\AppData\Roaming\ArcaVirMicroScan
C:\Windows\msds.dat
C:\Users\tomek\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
C:\Etka7.txt
C:\Program Files\FlashFXP

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"00TCrdMain"=-
"BtTray"=-
"HSON"=-
"KeePass 2 PreLoad"=-
"Kernel and Hardware Abstraction Layer"=-
"NotebookHardwareControl"=-
"PSQLLauncher"=-
"Simpo PDF Creator Pro Server"=-
"SmoothView"=-
"TOSDCR"=-
"TPwrMain"=-
[HKEY_USERS\S-1-5-21-3416256065-2437309570-1270218652-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"Zentimo xStorage Manager"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\FlashFXP\FlashFXP.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\FlashFXP\FlashFXP.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Totalcmd]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, wykonane dokładnie zgodnie z tym -> http://hotfix.pl/articles.php?article_id=143.

Post22 gru 2011, 19:37

temat do zamknięcia - autor już uzyskał pomoc na forum DP.

Post22 gru 2011, 20:45

Ech... . Mógł przynajmniej poinformować, ze nie tylko tu rozwikłuje problem. Wesołych Świat

.