Live Security Platinum - prośba o pomoc

[prusaqq]

Witam,

 

kolejny problem z cyklu Live Security Platinum, bardzo proszę o pomoc w usunięciu tego ustrojstwa. Udało mi się wygenerować jedynie logi z OTL-a, jeżeli chodzi o GMER-a w czasie skanowania restartowało komputer. Mam nadzieje, że to wystarczy.

 

OTL:

http://wklej.to/Yyk60

 

EXTRAS:

http://wklej.to/9IPw2

 

Pozdrawiam!

[Landuss]

W logach aktywny rootkit ZeroAccess. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[prusaqq]

Dziekuję za szybką odpowiedź. Przesyłam wynikowego loga z SystemLook:

 

http://wklej.to/7RyNE

 

Pozdrawiam.

[Landuss]

1. Start > Uruchom > cmd i wklep te dwie komendy:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- J:\EVEREST Corporate Edition\kerneld.wnt -- (EverestDriver)
[2012-07-16 16:45:28 | 000,000,000 | ---D | M] (DealPly) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\6ygz613s.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [AC3filter] C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe File not found
O4 - HKLM..\Run: [Adobe Driver Update] C:\Documents and Settings\user\Ustawienia lokalne\Temp\adbreader.exe (CPNIGa AfKia HQ70Dzb)
O4 - HKLM..\Run: [ChromeUpdate] C:\Documents and Settings\user\dmdsrs.exe (mpcfrt pkur vtfk chrre)
O4 - HKLM..\Run: [HP OrderReminder Cleaner] C:\WINDOWS\hporclnr.exe ()
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\WINDOWS\iqs.exe ()
O4 - HKLM..\Run: [RERGMEZEM0Y1RENCMTQ2NT] C:\Documents and Settings\user\protw.exe (Piriform Ltd)
O4 - HKLM..\Run: [Windows Explorer] C:\Documents and Settings\user\Dane aplikacji\explorer.exe (VD RdP9cLBNah Rt9)
O4 - HKLM..\Run: [Windows Login access] C:\Documents and Settings\user\Dane aplikacji\web2net.exe (pk pomici)
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [AC3filter] C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe File not found
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Adobe Driver Update] C:\Documents and Settings\user\Ustawienia lokalne\Temp\adbreader.exe (CPNIGa AfKia HQ70Dzb)
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [audiodg_PL.exe] C:\Documents and Settings\user\Moje dokumenty\audiodg_PL.exe (Logitech inc)
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Microsoft DLL Registration] C:\Documents and Settings\user\Dane aplikacji\regsrv64.exe (RcLkhUcRIy Rs4 U0)
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Microsoft Firevall Engine] c:\WINDOWS\iqs.exe ()
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Microsoft Windows System] C:\Documents and Settings\user\P-7-78-8964-9648-3874\windll.exe ()
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [svchost] C:\Documents and Settings\user\Dane aplikacji\windows.exe ()
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [windows] C:\Documents and Settings\user\Ustawienia lokalne\Temp\svchost.exe ()
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Windows Explorer] C:\Documents and Settings\user\Dane aplikacji\explorer.exe (VD RdP9cLBNah Rt9)
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Windows Primary Login] C:\Documents and Settings\user\Dane aplikacji\R-344233-5553-2-32\update32.exe (YHo4zX RyTOJi DHh5ffh)
O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\RunOnce: [6F63A5C4000D220777AFE07581CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5C4000D220777AFE07581CB3F95\6F63A5C4000D220777AFE07581CB3F95.exe ()
F3 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004 WinNT: Load - (C:\Documents and Settings\user\protw.exe) - C:\Documents and Settings\user\protw.exe (Piriform Ltd)
F3 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004 WinNT: Run - (C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 931 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaoazc.bat (Codejock Software)
 
:Files
C:\sftmanager.exe
C:\mine.exe
C:\wbmsft.exe
C:\WINDOWS\Installer\{b68c3ddb-85e9-11e1-a61b-aba3efdbd1d2}
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\{b68c3ddb-85e9-11e1-a61b-aba3efdbd1d2}
C:\Documents and Settings\All Users\Dane aplikacji\529C544A0000A21B5EC99E870CDF10C2
C:\Documents and Settings\All Users\Dane aplikacji\6F63A5C4000D220777AFE07581CB3F95
C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\user\Dane aplikacji\R-344233-5553-2-32
C:\Documents and Settings\user\Dane aplikacji\-1474755677.dll
netsh winsock reset /C
 
:Reg
[HKEY_USERS\S-1-5-21-1708537768-1677128483-1801674531-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: DealPly

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook tak jak poprzednio.

[prusaqq]

Witam ponownie, od razu dziękuję za pomoc, wykonałem wszystko wg instrukcji, poniżej wspomniane logi:

 

OTL:

http://wklej.to/V0cLN

 

System Look:

http://wklej.to/VeiQR

 

Pozdrawiam!

[Landuss]

Sytuacja zdecydowanie się poprawiła, ale jeszcze pójdzie poprawka. Wklej kolejny skrypt do OTl o takiej zawartości:

 

:Files
netsh winsock reset /C
 
:OTL
O7 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: AC3filter = C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe
[2012-07-17 15:43:45 | 000,274,944 | RHS- | C] (mpcfrt pkur vtfk chrre) -- C:\Documents and Settings\user\dmdsrs.exe
[2012-07-09 06:25:56 | 000,946,176 | ---- | C] (Ufasoft) -- C:\Documents and Settings\user\mine.exe
[2012-07-03 09:13:00 | 000,300,032 | -H-- | M] () -- C:\Documents and Settings\user\Dane aplikacji\svchost64.exe
[2012-07-03 06:32:28 | 000,090,112 | ---- | M] () -- C:\WINDOWS\System32\molml.exe
[2012-07-11 06:31:33 | 000,002,346 | ---- | C] () -- C:\Documents and Settings\user\Pulpit\Live Security Platinum.lnk
 
:Commands
[reboot]

 

Klik w Wykonaj skrypt, nowy log ze skanowania do oceny.

[prusaqq]

Zrobione.

 

Log z OTL:

http://wklej.to/oIMqO

 

Pozdrawiam!

[Landuss]

Wygląda, że jest dobrze. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL oraz usuń ten plik z dysku C:\WINDOWS\System32\xregew.exe

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Przeskanuj się za pomocą Malwarebytes Anti-Malware

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.