Live Security Platinum i Rootkit.Dropper

[bpm]

Dzień dobry,

 

dziś zainfekowany laptop Live Security Platinum oraz rootkitem "Dropper" z systemem Windows VISTA x32. Do tego z zauważonych objawów nie działa Centrum Zabezpieczeń. Z infekcją "poradził" sobie MBAM, już nie startuje, ale zapewne coś jeszcze zostało do usunięcia. Bardzo proszę o analizę logów.

 

OTL

Extras

MBAM

[picasso]

Z infekcją "poradził" sobie MBAM, już nie startuje, ale zapewne coś jeszcze zostało do usunięcia.

 

MBAM nie wszystko usunął, pozostał folder na dysku. Na temat tego drugiego wyniku:

 

C:\Users\Laptop\AppData\Roaming\Thinstall\IVO Glossary\400000b700002i\TesterSAPI.exe (Rootkit.Dropper) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

Ten wynik to raczej fałszywy alarm na paczkach portable robionych via Thinstall. Podobne z forum: KLIK. Niemniej cały katalog Thinstall możesz usunąć z dysku.

 

 

Do tego z zauważonych objawów nie działa Centrum Zabezpieczeń.

 

Zapewne Centrum jest wyłączone. W logu jest polisa HideSCAHealth, charakterystyczna wtedy, gdy infekcja chce ukryć określony defekt / manipulację w usługach.

 

 

 

---

1. Przez Panel sterowania odinstaluj adware Conduit Engine, Download Updater (AOL LLC), uTorrentBar Toolbar, Winamp Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKU\S-1-5-21-388999240-2682098879-2730998892-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120520075140350&tb_oid=20-05-2012&tb_mrud=20-05-2012"
IE - HKU\S-1-5-21-388999240-2682098879-2730998892-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-388999240-2682098879-2730998892-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120520075140350&tb_oid=20-05-2012&tb_mrud=20-05-2012"
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\ipswuio.sys -- (ipswuio)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\I386\AsProcOb.sys -- (ASUSProcObsrv)
 
:Files
C:\ProgramData\036DFF8502CC5968D86509982F3B707C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

3. Uruchom AdwCleaner i zastosuj Delete.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz log z Farbar Service Scanner. Dołącz log z usuwania AdwCleaner.

 

 

 

 

.

[bpm]

MBAM nie wszystko usunął, pozostał folder na dysku. Na temat tego drugiego wyniku:

 

Dlatego właśnie słowo poradził napisałem w "cudzysłowiu"

 

Logi gotowe:

 

OTL

FSS

ADWCleaner

[picasso]

1. Mini poprawka na szczątki po paskach. Zapuszczaj w OTL skrypt o postaci:

 

:OTL
IE - HKU\S-1-5-21-388999240-2682098879-2730998892-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKU\S-1-5-21-388999240-2682098879-2730998892-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found

 

Porządki: Uninstall w AdwCleaner + Sprzątanie w OTL.

 

2. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Wyłączony Windows Defender pomijam (antywirusa należy zainstalować).

 

3. Na liście zainstalowanych jest Norton Internet Security. To jakiś wpis odpadkowy. Skasuj go posługując się tym narzędziem uruchomionym w trybie auto: KLIK.

 

4. Naprawa błędu WMI numer 10 widocznego w Dzienniku zdarzeń: KB950375.

 

5. Znajome Ci czyszczenie folderów Przywracania systemu oraz aktualizacje:

 

Internet Explorer (Version = 8.0.6001.19298)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

 

+ Service Pack dla Microsoft SQL Server 2005: KB913089

 

 

.

[bpm]

Wszystko wykonane według zaleceń. Dziekuję za pomoc. Jeśli to koniec temat jest do zamknięcia.

 

Co do antywirusa, jest zainstalowany cały czas - Ashampoo Anti-Malware. Przeinstalować go?

[picasso]

Co do antywirusa, jest zainstalowany cały czas - Ashampoo Anti-Malware. Przeinstalować go?

 

Nie ma potrzeby. Aczkolwiek jest to nienajnowsza wersja.

 

 

[bpm]

Nie jest najnowsza? To wersja 1.21, kurczę nowszej nie znalazłem tego antywira.

[picasso]

Nie ma nowszej wersji. Mam na myśli, że to program dwuletni (datowanie komponentów z 2010).

[bpm]

W sumie racja, ale jak taki chce to ma, można jedynie doradzić zmianę. Dzieki raz jeszcze.

 

P.S. Teraz mi sie trafił komp zainfekowany, właśnie przechodzi skanowanie, nowy temat założę. Pozdrawiam.