Live Security Platinum - Microsoft Security Essentials Alert

[Milten99]

Dobry wieczór.

Mam problem z Live Security Platinum.

Proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Są tu ślady wykraczające poza inferencję Live Security Platinum. M.in. notowalna infekcja z nośników wymiennych, a na dysku U zlokalizowany podejrzany ukryty plik autorun.inf.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\RunOnce: [6F638BFEEF77633894FCAC724A1743B3] C:\Documents and Settings\All Users\Dane aplikacji\6F638BFEEF77633894FCAC724A1743B3\6F638BFEEF77633894FCAC724A1743B3.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs) -  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\Documents and Settings\Właściciel\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\All Users\Dane aplikacji\6F638BFEEF77633894FCAC724A1743B3
C:\Documents and Settings\Właściciel\Dane aplikacji\download2
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\9zzs1u01.default\searchplugins\badoo.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\9zzs1u01.default\searchplugins\startsear.xml
U:\autorun.inf
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft]
"idln2"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Odinstaluj adware:

- Przez Panel sterowania: PandoraTV Toolbar, PandoraTV Toolbar Updater, VshareComplete, vShare.tv plugin 1.3.

- W Firefox w Dodatkach: PandoraTV Toolbar, RadioBar Toolbar, VshareComplete. Również ustaw inną stronę startową niż badoo.com.

- W Google Chrome w Rozszerzeniach wszystko co związane z vShare. Ponadto, przestaw stronę startową z startsear.ch na coś innego.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER (jak w instrukcjach podane, należy usunąć przed skanem sterownik SPTD) oraz USBFix z opcji Listing. Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

[Milten99]

Dzień dobry,

Starałem się wykonać wszystko zgodnie z podanymi instrukcjami.

 

Teraz, gdy normalnie uruchomię system po około 20 minutach pojawia się:

 

Microsoft Security Essentials Alert:

 

Your system has been blocked for security reasons.

 

Reason: Virus

OTL.Txt

GMER.txt

AdwCleanerS1.txt

UsbFix Listing.txt

[picasso]

Mówiłam, że należy przed skanem GMER usunąć sterownik SPTD. Nie zrobiłeś tego. Ale już ten wątek zostaw. Natomiast nie wszystko zostało usunięte, nie chce puścić wpis trojana w UserInit + plik autorun.inf z urządzenia też się nie upłynnił. Ale ten log z USBFix nie został zrobiony przy podpiętym dysku przenośnym, który uprzednio był widzialny pod literą U:

 

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 29,29 Gb Total Space | 5,49 Gb Free Space | 18,74% Space Free | Partition Type: NTFS
Drive D: | 45,23 Gb Total Space | 32,54 Gb Free Space | 71,95% Space Free | Partition Type: NTFS
Drive U: | 1,87 Gb Total Space | 1,25 Gb Free Space | 66,97% Space Free | Partition Type: FAT

 

Lub w Trybie awaryjnym urządzenie nie jest widziane. Log jest pod kątem właśnie tego dysku. Leży na nim ukryty podejrzany plik autorun.inf. Powtórz skan.

 

 

.

[Milten99]

Przy pierwszej próbie Pendrive był podpięty. Zrobiłem jeszcze raz.

UsbFixListing2.txt

[picasso]

Twój pendrive jest zainfekowany, każdorazowe jego podpięcie uruchamia infekcję z autorun.inf, które odwołuje się do killVBS.vbs, a to dziwo wstawia się jako wpis startowy Windows. Należy wyczyścić pendrive, oczywiście punkt 1 w poniższej instrukcji wykonujesz przy podpiętym urządzeniu:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
U:\autorun.inf
U:\killVBS.vbs
U:\system.exe
U:\FOUND.000
RECYCLER /alldrives
 
:OTL
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs) -  File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100013
FF - prefs.js..extensions.enabledItems: {3697b17c-b572-4862-a5e6-7f922c0f3403}:1.1
FF - prefs.js..keyword.URL: "http://badoo.com/startpage/?source=bsb&q="
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. W Google Chrome ostały się odnośniki do wtyczek vShare:

 

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Ich usunięcie wymaga edycji pliku Preferences Google Chrome, tak jak w punkcie 3 tego tematu: KLIK. Z tym że ścieżka na XP oczywiście inna, czyli:

 

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

3. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. Dołącz log z wynikami usuwania z punktu 1.

 

 

 

.

[Milten99]

Odnośnie:

Microsoft Security Essentials Alert:

 

Your system has been blocked for security reasons.

 

Zrobiłem zdjęcie ipodem tego, co się pokazuje. Niestety zdjęcie jest niskiej jakości, a cyfrówka pojechała na wakacje. Mam nadzieję, że uda się coś na nim zobaczyć.

 

 

 

Jeżeli chodzi o punkt drugi z powyższego postu to nie mogę otworzyć i znaleźć tego folderu i pojawia się błąd, że system windows nie może go odnaleźć.

[picasso]

Zrobiłem zdjęcie ipodem tego, co się pokazuje. Niestety zdjęcie jest niskiej jakości, a cyfrówka pojechała na wakacje. Mam nadzieję, że uda się coś na nim zobaczyć.

 

Bardzo słabo to widzę. To coś w tym stylu: KLIK?

 

 

Jeżeli chodzi o punkt drugi z powyższego postu, to wklejając "%localappdata%\Google\Chrome\User Data\Default" pokazuje się błąd, że windows nie może znaleźć takiego pliku.

 

A mówiłam:

 

Z tym że ścieżka na XP oczywiście inna, czyli:

 

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

To tę ścieżkę masz wkleić w pasku adresów eksploratora...

 

 

.

[Milten99]

Tak. Moja sytuacja wygląda tam samo jak ta opisana w temacie, który od Ciebie dostałem.

 

Wklejałem tą drugą scieżkę i pojawia się taki sam błąd. Zresztą każda z podanych przez Ciebie ścieżek powoduje, że pokazuje się błąd.

[picasso]

Tak. Moja sytuacja wygląda tam samo jak ta opisana w temacie, który od Ciebie dostałem.

 

Na razie podaj mi logi po wykonaniu wszystkich w/w operacji. Ocenię co się wykonało z poprzedniej partii zadaniowej.

 

 

Wklejałem tą drugą scieżkę i pojawia się taki sam błąd. Zresztą każda z podanych przez Ciebie ścieżek powoduje, że pokazuje się błąd.

 

Przepraszam, rozkodowało znaki "ł". Poprawiłam już. To ma być oczywiście:

 

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

 

.

[Milten99]

Dodaje najnowsze logi.

UsbFix.txt

Log.txt

OTL.Txt

[picasso]

Eh, kurcze. Ja już ze zmęczenia zaczynam siadać (od rana tu siedzę). Oczywiście u Ciebie też jest fałszywy "Skype" i to on te komunikaty zgłasza:

 

O4 - HKCU..\Run: [skypePM] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Skype\SkypePM.exe (ACD Systems, Ltd.)

 

To będziemy usuwać. Natomiast jest osobny problem, ten wpis nie chce zniknąć:

 

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs) -  File not found

 

OTL go usuwał, podobnie jak pliki z pendrive, niestety wszystko wróciło na miejsce.

 

 

1. Uruchom zgodnie z wytycznymi ComboFix.

 

2. Przedstaw raport, który utworzy, oraz nowy log z OTL z opcji Skanuj + USBFix z opcji Listing.

 

 

 

.

[Milten99]

Dzisiaj już nie będę Cię męczył.

Postaram się wszystko wysłać jutro rano. Dziękuję za pomoc

[picasso]

Ten skan z ComboFix od razu wdrażaj i podsyłaj logi w miarę możliwości teraz. Jeszcze tu jestem i może coś zdziałamy szybciej. Skan ComboFix rób przy podpiętym pendrive.

[Milten99]

Logi z Combofix, OTL i UsbFix

Combofix.txt

OTL6.Txt

UsbFix3.txt

[picasso]

Mam pytanie o log z OTL: sekcja skanu Google Chrome wygląda bardzo dziwnie, nie ma nawet nagłówka opisowego i wszystko "doklejone" do skanu Firefox, czy log na pewno nie był manipulowany ręcznie?

 

ComboFix usunął tę podróbkę Skype oraz pomyślnie zresetował wartość UsetInit ustawioną na killVBS.vbs. Niestety pendrive nadal zainfekowany (pliki killVBS.vbs + autorun.inf).

 

1. Akcja przy podpiętym pendrive, z poziomu Trybu normalnego. Otwórz Notatnik i wklej w nim:

 

File::
U:\autorun.inf
U:\killVBS.vbs

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Przedstaw: raport z ComboFix oraz nowy log z USBFix z opcji Listing.

 

 

 

.

[Milten99]

Dołączam nowe logi. Poprzednimi nie manipulowałem, zresztą i tak nie dałbym rady, bo się na tym nie znam.

UsbFix4.txt

ComboFix2.txt

[picasso]

Log w ogóle nie wskazuje, by ComboFix widział urządzenie. Brak również śladów, że CFSCript miał zawartość z dyrektywą File::, nie ma takiego rekordu w logu ... Oczywiście na pendrive bez zmian, te same pliki siedzą. Z innej strony:

 

1. Otwórz Notatnik i wklej w nim:

 

U:
attrib -r -s -h U:\autorun.inf
attrib -r -s -h U:\killVBS.vbs
del /q U:\autorun.inf
del /q U:\killVBS.vbs
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

2. Jeśli w oknie pojawią się błędy, przeklej je. Jeśli zaś każde z poleceń przejdzie do nowej linii bez błędu, zrób nowy log USBFix z opcji Listing.

 

 

 

.

[Milten99]

Nie pojawiły się błędy zatem zrobiłem zgodnie z podanymi wskazówkami.

UsbFix5.txt

[picasso]

I tym razem się udało. Zniknęły obiekty infekcyjne z urządzenia. Możemy przejść do tej partii:

 

1. Zimmunizuj pendrive pod kątem infekcji autorun.inf. W Panda USB Vaccine zastosuj opcję USB Vaccination. W konsekwencji na urządzeniu powstanie falsyfikat autorun.inf blokujący tworzenie takich plików infekcji.

 

2. Odinstaluj USBFix. W AdwCleaner zastosuj Uninstall.

 

3. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\Właściciel\Pulpit\ComboFix.exe" /uninstall

 

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie.

 

4. Dla pewności zrób skan w Kaspersky Virus Removal Tool. Jeżeli coś wykryje, przedstaw te wyniki.

 

 

Poprzednimi nie manipulowałem, zresztą i tak nie dałbym rady, bo się na tym nie znam.

 

Jak mówię, dziwnie to teraz wygląda w kontekście tego, że zadałam tylko edycję pliku Preferences. Było:

 

 

 

========== Chrome ==========

 

CHR - homepage: http://www.google.pl/

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}

CHR - homepage: http://www.google.pl/

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\21.0.1180.79\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\21.0.1180.79\pdf.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\21.0.1180.79\gcswf32.dll

CHR - plugin: Shockwave Flash (Disabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\PepperFlash\11.1.31.203\pepflashplayer.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\windows\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL

CHR - plugin: RealPlayer™ G2 LiveConnect-Enabled Plug-In (32-bit) (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll

CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npdrmv2.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npwmsdrm.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Program Files\Windows Media Player\npdsplay.dll

CHR - plugin: Google Update (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll

CHR - plugin: Picasa (Enabled) = C:\Program Files\Google\Picasa3\npPicasa3.dll

CHR - plugin: Java™ Platform SE 6 U32 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll

CHR - plugin: Java Deployment Toolkit 6.0.320.5 (Enabled) = C:\windows\system32\npdeployJava1.dll

CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll

CHR - Extension: YouTube = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\

CHR - Extension: Szukaj w Google = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\

CHR - Extension: Gmail = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

 

 

Aktualnie jest tylko:

 

 

 

CHR - Extension: No name found = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\

CHR - Extension: No name found = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\

CHR - Extension: No name found = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

 

 

Czy Google Chrome zostało odinstalowane?

 

 

 

.

Edytowane 29 Sierpnia 2012 przez picasso
Od autora: "Netbook został już oddany (...) i nie ma z nim problemów." Temat zamykam. //picasso