Wirus typu Conficker - problem z dostępem do bezpiecznych stron internetowych

[grzegorzw92]

Witam serdecznie

 

W pierwszej kolejności zauważyłem, że nie mogę dostać się do konta bankowego przez Firefoxa. Za każdym razem zamiast zalogowania się na konto, wyświetla się strona banku z komunikatem "Trwa weryfikacja proszę czekać". Logując się przez Operę nie było żadnych trudności. Pouczony artykułami pomocy Mozilli, chciałem przeskanować komputer skanerem online (Panda Activescan). Zamiast dostania się na stronę, zwracany jest komiunikat Google: "404. That’s an error The requested URL /activescan/ was not found on this server". Podobnie jest z innymi skanerami i przy próbach ściągnięcia oprogramowania antywirusowego-> przekierowanie na stronę wyszukiwarki Google. Nie mogę dostać się również na stronę główną Microsoft'u.

 

Przeskanowałem komputer programami Malwarebytes Anti-Malware i Avira Free Antivirus ( załączam raport z programu Malwarebytes Anti-Malware; przy dodaniu raportów z Aviry wyświetla się komunikat: "Nie masz uprawnień do wysyłania tego typu plików"). Problem niestety nie zniknął.

 

Postępowałem wg instrukcji zamieszczonych na forum. Po użyciu programu DTProAgent w celu usunięcia oprogramowania emulującego napędy i restarcie systemu, otrzymałem komunikat: " Ten program wymaga przynajmniej Windows 2000 ze SPTD 1.43 albo wyżej. Debugger jądra musi być zdeaktywowany". Oprócz tego, wszystko przebiegło jak powinno.

 

Proszę o pomoc:)

 

 

Results of screen317's Security Check version 0.99.51

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.65.0.1400

JavaFX 2.1.1

Java 6 Update 31

Java 7 Update 7

Adobe Flash Player 10 Flash Player out of Date!

Adobe Flash Player 11.4.402.265

Adobe Reader X (10.1.4)

Mozilla Firefox (15.0.1)

````````Process Check: objlist.exe by Laurent````````

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

GMER.txt

mbam-log-2012-09-22 (11-29-41).txt

[picasso]

Posługujesz się nienajnowszym OTL 3.2.65.1. On by pokazał więcej bez dodatkowych skanów. Infekcja jest tu obecna, w tym ZeroAccess. Wymagane dodatkowe skany:

 

1. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:filefind
services.exe

 

Klik w Look.

 

2. Zrób log z Farbar Service Scanner.

 

 

Postępowałem wg instrukcji zamieszczonych na forum. Po użyciu programu DTProAgent w celu usunięcia oprogramowania emulującego napędy i restarcie systemu, otrzymałem komunikat: " Ten program wymaga przynajmniej Windows 2000 ze SPTD 1.43 albo wyżej. Debugger jądra musi być zdeaktywowany". Oprócz tego, wszystko przebiegło jak powinno.

 

Otrzymujesz ten komunikat, bo nieprawidłowa kolejność deinstalacji tu zaistniała. Usunałeś jako pierwszy sterownik SPTD, a po tym niemożliwa staje się już deinstalacja samego programu. Skutki to pozostawienie wpisu startowego programu, który próbuje się uruchamiać i nie może, bo SPTD brak:

 

DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd)
 
O4 - HKU\S-1-5-21-602162358-484763869-839522115-1003..\Run: [DAEMON Tools Pro Agent] C:\Program Files\DAEMON Tools Pro\DTProAgent.exe (DT Soft Ltd.)

 

Kolejność powinna być następująca: najpierw deinstalujesz program, po tym usuwasz sterownik SPTD. W aktualnej sytuacji wystarczy, że narzędziem SPTDinst przywrócisz sterownik SPTD.

 

 

.

[grzegorzw92]

Przesyłam skany Problem ze sterownikiem SPTD rozwiązany

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:08 on 24/09/2012 by Grzegorz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\{fc03f7fb-3cc1-a328-fc52-5db496d923aa}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="wbemess.dll"

"ThreadingModel"="Both"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [21:02 15/04/2009] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 108544 bytes [19:13 20/11/2008] [22:44 03/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [21:04 15/04/2009] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\ServicePackFiles\i386\services.exe -----c- 109056 bytes [20:58 02/08/2008] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [17:30 26/10/2001] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [21:02 15/04/2009] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

FSS.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
"{724D43A0-0D85-11D4-9908-00400523E39A}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Ugluveih"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\explorer.exe"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]

 

Adnotacja dla innych czytających: import dopasowany do Windows XP.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Uruchom ten plik z dwukliku i zresetuj system.

 

2. Pobierz najnowszy OTL: KLIK. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\Installer\{fc03f7fb-3cc1-a328-fc52-5db496d923aa}
C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\{fc03f7fb-3cc1-a328-fc52-5db496d923aa}
C:\Documents and Settings\Grzegorz\Dane aplikacji\Otruol
C:\Documents and Settings\Grzegorz\Dane aplikacji\Iwuwf
C:\Documents and Settings\Grzegorz\Dane aplikacji\Inab
C:\Documents and Settings\All Users\Dane aplikacji\036DFF61DAEFB4AA5F8DD92181CB3EF3
 
:Services
IKANLOADER2
e4usbaw
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner.

 

 

.

[grzegorzw92]

Po kliknięciu Wykonaj skrypt w OTL program zaciął się, czekałem 20 min, nie było reakcji. Zrestartowałem system. Wykonać go jeszcze raz?

[picasso]

Wykonaj, choć pewnie jednak coś zostało już usunięte i będzie "not found".

[grzegorzw92]

Tym razem się udało

FSS.txt

OTL.Txt

[picasso]

Zadania wykonane. Czy objawy ustąpiły?

 

1. Wymagana mała poprawka na już pusty wpis po infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-602162358-484763869-839522115-1003..\Run: [ugluveih] "C:\Documents and Settings\Grzegorz\Dane aplikacji\Otruol\yqtyi.exe" File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną i skaner Farbar.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie widać u Ciebie zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 ----> odinstaluj (już masz najnowszą Java 7)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera / Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu" = Gadu-Gadu 7.7
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

 

Gadu-Gadu 7.7 też tu jest zakreślone z powodów: brak pełnej obsługi własnej sieci + brak stosownych zabezpieczeń (nieszyfrowane łączenia). Proponuję alternatywny nowoczesny program z obsługą sieci Gadu: WTW. Pełny opis komunikatora: KLIK.

 

 

.

[grzegorzw92]

Objawy ustąpiły nie mogę wyjść z podziwu

 

Czy to już wszystko? Jeśli tak, to czy mógłbym prosić o jakieś wskazówki jak się zabezpieczyć przed podobnymi atakami?

[picasso]

To już wszystko. W kwestii zabezpieczeń: podstawy podane (aktualizacje oprogramowania), dodatkowo możesz się też zainteresować komercyjną wersją Malwarebytes Anti-Malware (rezydent ma mechanizmy Malware Execution Prevention + dynamiczne blokowanie serwerów malware).

 

 

 

.

 

[grzegorzw92]

Bardzo, ale to bardzo dziękuję za pomoc I wielki szacunek za umiejętności. Postaram się zrehabilitować chociaż w małym stopniu

 

 

Jeszcze tylko jedno pytanie: przed chwilą chciałem usunąć plik i otrzymałem komunikat: " kosz na dysku c:\ jest uszkodzony lub nieprawidłowy. Czy chcesz opróżnić kosz na tym dysku?" Teraz każdy usunięty plik ginie bezpowrotnie, zamiast lądować w koszu. Przez dezynfekcją nic takiego się nie działo. Czy zainstalować poprawkę hxxp://support.microsoft.com/kb/297760/pl czy może jest inny sposób?

[picasso]

Jeszcze tylko jedno pytanie: przed chwilą chciałem usunąć plik i otrzymałem komunikat: " kosz na dysku c:\ jest uszkodzony lub nieprawidłowy. Czy chcesz opróżnić kosz na tym dysku?"

 

Start > Uruchom > cmd i wpisz komendę rd /s /q C:\RECYCLER. Po tym spróbuj skasować obojętnie co, by sprawdzić czy Kosz się zregeneruje.

 

 

Czy zainstalować poprawkę hxxp://support.microsoft.com/kb/297760/pl czy może jest inny sposób?

 

To się nie aplikuje. W artykule widać stare datowanie plików i komentarz: "Ten problem został rozwiązany po raz pierwszy w dodatku Service Pack 1 dla systemu Windows XP.". Masz znacznie nowsze wersje plików w systemie, bo jest tu SP3:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)

 

 

 

.

[grzegorzw92]

Po wpisaniu komedy otrzymałem komunikat:

 

C:\RECYCLER\S-1-5-~1 - Odmowa dostępu.

[picasso]

Należy zresetować uprawnienia obiektów w Koszu. Wstępnie pokaż mi co w nim jest. Uruchom SystemLook i wklej do skanu:

 

:dir
C:\RECYCLER /s

 

 

 

.

[grzegorzw92]

Skan SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:40 on 25/09/2012 by Grzegorz

Administrator - Elevation successful

 

========== dir ==========

 

C:\RECYCLER - Parameters: "/s"

 

---Files---

None found.

 

C:\RECYCLER\S-1-5-21-602162358-484763869-839522115-1003 d--hs-- [15:43 03/08/2008]

 

-= EOF =-

[picasso]

W linii komend cmd wklej po kolei te komendy:

 

cacls C:\RECYCLER\S-1-5-21-602162358-484763869-839522115-1003 /E /G Wszyscy:F

rd /s /q C:\RECYCLER

 

 

.

 

[grzegorzw92]

Kosz naprawiony

 

Jeszcze raz dziękuję Pani za pomoc