Trojan w systemie

[darkness202]

Witam, dziś przy załączeniu komputera pojawił się błąd związany z ładowaniem pliku sshnas21.dll. Z tego co czytałem to jest to trojan. Niestety nie wiem jak go usunąć. Załączam logi.

OTL.Txt

Extras.Txt

[picasso]

Pytanie wstępne, czy infekcja przypadkiem nie pojawiła się zaraz po uruchomieniu "cukierka", ponieważ w zestawie plików świeżo utworzonych pliki infekcji występują zaraz po "Windows.7.Loader.v1.8.1-DAZ":

 

[2010-08-24 18:54:42 | 000,198,144 | ---- | C] (ApexDC++ Development Team) -- C:\Windows\Ufyteb.exe
[2010-08-24 18:48:06 | 000,198,144 | ---- | C] (ApexDC++ Development Team) -- C:\Windows\Ufytea.exe
[2010-08-24 18:47:55 | 000,246,272 | ---- | C] (ApexDC++ Development Team) -- C:\Windows\SysWow64\sshnas21.dll
[2010-08-24 18:44:55 | 000,000,000 | ---D | C] -- C:\Users\Admin\Desktop\Windows.7.Loader.v1.8.1-DAZ

 

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [cspjj.exe] C:\Users\Admin\AppData\Local\Temp\cspjj.exe ()
O4 - HKU\S-1-5-21-1963668041-4211016539-1382123895-1000..\Run: [cspjj.exe] C:\Users\Admin\AppData\Local\Temp\cspjj.exe ()
O4 - HKU\S-1-5-21-1963668041-4211016539-1382123895-1000..\Run: [XBV6RD5SZF] C:\Users\Admin\AppData\Local\Temp\Ulh.exe (ApexDC++ Development Team)
[2010-08-24 19:07:41 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010-08-24 19:07:41 | 000,000,246 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010-08-24 18:52:54 | 000,198,144 | ---- | M] (ApexDC++ Development Team) -- C:\Windows\Ufyteb.exe
[2010-08-24 18:48:02 | 000,198,144 | ---- | M] (ApexDC++ Development Team) -- C:\Windows\Ufytea.exe
[2010-08-24 18:47:55 | 000,246,272 | ---- | M] (ApexDC++ Development Team) -- C:\Windows\SysWow64\sshnas21.dll
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces przez Wykonaj skrypt. Nastąpi restart a po nim otrzymasz log z usuwania.

 

2. W panelu usuwania programów odmontuj niechciany dodatek śmieciarski Ask Toolbar. Przypuszczalnie wpuszczony przez nieuważną instalację KMPlayer.

 

3. Wytwarzasz nowy zestaw logów z OTL opcją Skanuj. Dołączasz także log powstały z usuwania z punktu 1.

 

 

 

.

[darkness202]

Całkiem możliwe, póki co testuję sobie tą windę no i chciałem ją aktywować. Ale mam gdzieś na innym dysku windowsa 7 z msdna dla studentów to sobie kiedyś zainstaluję

 

Załączam logi.

 

Edit:

Aktualizacja logów: odinstalowałem teraz dopiero, wcześniej nie zauważyłem tego bo szukałem pod nazwą ask a było pod pandora tv.

08242010_194931.txt

Extras.Txt

OTL.Txt

[picasso]

Całkiem możliwe, póki co testuję sobie tą windę no i chciałem ją aktywować. Ale mam gdzieś na innym dysku windowsa 7 z msdna dla studentów to sobie kiedyś zainstaluję

 

"Cukierek" do wyrzucenia.

 

Infekcja wygląda na usuniętą, ale zadania nie zostały wykonane do końca. Ominąłeś punkt 2, czyli deinstalację Ask Toolbar:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

 

Zadanie to miało być wykonane przed wytworzeniem logów końcowych, by w logach było widać na ile proces deinstalacji był poprawny, bo ten śmieć lubi zostawiać ślady w przeglądarkach. Proszę wykonaj to i podmień w poprzednim poście logi z OTL (główny + extras), a ja tu zedytuję post po uzyskaniu nowego materiału co dalej.

 

 

EDIT:

 

Aktualizacja logów: odinstalowałem teraz dopiero, wcześniej nie zauważyłem tego bo szukałem pod nazwą ask a było pod pandora tv.

 

Ja go nadal widzę na liście Dodaj/Usuń i może to wpis ukryty:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

 

1. Usunięcie mini odpadków po deinstalacji Ask. W OTL wklej do wykonania skrypt:

 

:OTL
O3 - HKU\S-1-5-21-1963668041-4211016539-1382123895-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]

 

Tym razem pójdzie szybko i bez restartu. Po wykonaniu zadania w OTL wywołaj funkcję Sprzątanie, co zlikwiduje kwarantannę OTL oraz sam program.

 

2. Następnie wykonaj pełne skanowanie przez Malwarebytes' Anti-Malware i zgłoś się tu z wynikami.

 

 

 

.

[darkness202]

Poniżej log z malware: (chyba już wsio )

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Wersja bazy: 4470

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

2010-08-24 22:08:21

mbam-log-2010-08-24 (22-08-21).txt

 

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowano obiektów: 213509

Upłynęło: 17 minut(y), 1 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 3

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 0

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\SOFTWARE\XBV6RD5SZF (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

(Nie znaleziono zagrożeń)

[picasso]

Na sam koniec zawsze obowiązkowe jest oczyszczenie folderów Przywracania systemu, w celu usunięcia potencjalnych kopii szkodników. Patrz tutaj: INSTRUKCJE.

Edytowane 9 Listopada 2011 przez picasso
27.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso