470a1234.exe - skróty zamiast folderów na pendrive

[luki]

Witam,

podobnie jak w przypadku junior88 na pendrivach ( szt. 3) pojawiły mi się skróty zamiast folderów. Na dwóch próbowałem to usunąć Usbfixem i formatem ale problem powraca w formie skrótu do recyclera. Na trzecim niepodejmowałem żadnych działań. Załączam aktualne logi.

Z góry dziekuje za pomoc

OTL.Txt

Extras.Txt

UsbFix.txt

[picasso]

Log z OTL zrobiony nieprawidłowo, opcja Rejestr została ustawiona na Wszystko, a ma być Użyj filtrowania. Zabrakło obowiązkowego raportu z GMER. Tym bardziej, że skróty na urządzenia to nie jest główna i najgroźniejsza tu infekcja. W systemie działa rootkit ZeroAccess.

 

Czyli na teraz proszę o dostarczenie logów z GMER + Farbar Service Scanner.

 

 

 

.

[luki]

Dziękuję za szybką odpowiedź.

 

Rozumiem, oddawna planowałem format, teraz nadarza się okazja.. oczywiście jeżeli to rozwiąże problem. GMER za każdym razem zacina kompa w czasie właściwego skanowania a tryb awaryjny sie nie uruchamia i nie moge go odtworzyć przy pomocy pakietu z kaspersky ( ich strona mi nie działa, pobierałem od was) wyświetla się komunikat o braku Windows>\system32\ntoskunl.exe.

Przydałoby mi się pare rzeczy z dysku i nagrałbym je najchetniej na pena ale złapał to cuś 470a1234.exe. Jeżeli jest taka opcja to najchętniej pozbył bym się najpierw tego świństwa z pena, pozgrywał co mi jest potrzebne, strzelił format, nagrał jakiś antywirus, przeskanował to co nagrałem tak żeby się znowu nie zalęgło i żył przez jakiś czas w spokoju. Jeżeli to nierozwiązuje problemu to oczywiście będe wykonywał kolejne polecenia co do czyszczenia. W załączniku poprawiony Log z OTL, z preskanu z GMER i FSS

OTL.Txt

GM.txt

FSS.txt

[picasso]

Prócz trojana ZeroAccess są tu też szczątki Live Security Platinum. Podejrzewam, że ZeroAccess wszedł w parze, a ograniczyłeś się tylko do usunięcia powierzchownej infekcji Live Security Platinum i zostałeś z nie wiadomo jak długo działającym ZeroAccess. ZeroAccess uszkodził usługi, log z Farbar Service Scanner pokazuje brak usług Centrum zabezpieczeń i Windows Update. Natomiast ja tu nie widzę żadnego obiektu, który odtwarza skróty LNK na urządzeniach ... I będę usuwać preferencyjnie Kosze z wszystkich dysków.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="C:\\WINNT\\system32\\wbem\\wbemess.dll"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINNT\Installer\{4d5cf815-a991-be27-8959-ae1705869036}
C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\{4d5cf815-a991-be27-8959-ae1705869036}
C:\Documents and Settings\All Users\Dane aplikacji\6F638BFE166ADE16BB7225DB81CB3EF3
C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\5esuaogd.default\searchplugins\askcom.xml
C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\5esuaogd.default\searchplugins\sweetim.xml
C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\5esuaogd.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Babylon
RECYCLER /alldrives
J:\*lnk
G:\*lnk
 
:OTL
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q="
IE - HKU\S-1-5-21-2000478354-329068152-682003330-1003\..\SearchScopes\{902E30CB-E07A-4AB2-BC88-904D861D0528}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=E14AFD8C-D673-4BCC-A839-854D5FB1E647&apn_sauid=5E774008-4B99-4D07-8F46-BAE963BA9F51"
O4 - HKLM..\RunOnce: [filetripgzri]  File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\UIUSys.sys -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\DCalexico.sys -- (DCALEXICO)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Spróbuj ponowić GMER:

 

 

GMER za każdym razem zacina kompa w czasie właściwego skanowania

 

Spróbuj po kolei odznaczać sekcje do skanowania, aż trafisz w tę, która tworzy problem.

 

 

tryb awaryjny sie nie uruchamia i nie moge go odtworzyć przy pomocy pakietu z kaspersky ( ich strona mi nie działa, pobierałem od was) wyświetla się komunikat o braku Windows>\system32\ntoskunl.exe.

 

Strona Kasperskiego w ogóle się nie otwiera? Jaki błąd? a co do Trybu awaryjnego to zrób zdjęcie z tego jak to wygląda, bo jakoś nie umiem sobie tego wyobrazić.

 

 

.

[luki]

GMER nie trawi sekcji IAT/EAT. Głównie zatrzymuje się na IAT:C:\WINNT\system32\hal.dll ale z raz zdażyło mu się przejść ten plik i zatrzymać sie gdzieś indziej. Log z pozostałych sekcji w załączniku.

 

Strony http://www.kaspersky.pl .com .ru u mnie się nie otwierają: "Firefox nie może odnaleźć serwera www.kaspersky.pl." Na innym kompie nie ma z nimi problemu.

 

Foto z niestartującego trybu awaryjnego: http://imageshack.us/a/img812/7295/201210181794.png - niestety mam nieco uszkodzoną matryce w górnej części i nie ma dalej tekstu po partition a na pewno coś tam jeszcze jest.

OTL.Txt

GM.txt

[picasso]

Tak podejrzewałam. GMER pokazuje ukryty obiekt w starcie i to on jest przyczyną regeneracji skrótów, a pewnie i blokady strony Kasperskiego (i innych serwerów antymalware).

 

---- Registry - GMER 1.0.15 ----
 
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Ujawaq             C:\Documents and Settings\Andrzej\Dane aplikacji\Ujawaq.exe
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache@C:\Documents and Settings\Andrzej\Dane aplikacji\Ujawaq.exe  Ujawaq
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache@@shell32.dll,-28964             Wybrana zosta?a opcja wy?wietlania chronionych plik?w systemu operacyjnego (pliki z atrybutami Systemowy i Ukryty) w Eksploratorze Windows.  S? to pliki wymagane do uruchamiania i pracy systemu Windows. Usuni?cie lub edycja tych plik?w mog? spowodowa? niemo?no?? korzystania z komputera. Czy na pewno chcesz wy?wietla? te pliki?
 
---- Files - GMER 1.0.15 ----
 
File            C:\Documents and Settings\Andrzej\Dane aplikacji\Ujawaq.exe             930962 bytes executable

 

1. Uruchom zgodnie ze wskazówkami ComboFix. On powinien się tym zająć, a także naprawić uszkodzone przez ZeroAccess usługi.

 

2. Przedstaw raport wynikowy z ComboFix oraz nowe logi: USBFix z opcji Listing, Farbar Service Scanner.

 

 

 

.

[luki]

oto logi

FSS.txt

ComboFix.txt

UsbFix.txt

[picasso]

ComboFix odbudował usługi Windows, ale nie ruszył tego ukrytego gagatka. Działania manualne:

 

1. Otwórz Notatnik i wklej w nim:

 

Rootkit::
c:\documents and settings\Andrzej\Dane aplikacji\Ujawaq.exe
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ujawaq"=-
 
File::
c:\documents and settings\All Users\Menu Start\Programy\Autostart\$McRebootA5E6DEAA56$.lnk

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
G:\*.lnk
I:\*.lnk
J:\*.lnk
rd /s /q G:\RECYCLER /C
rd /s /q I:\RECYCLER /C
rd /s /q J:\RECYCLER /C
attrib /d /s -s -h G:\* /C
attrib /d /s -s -h I:\* /C
attrib /d /s -s -h J:\* /C

 

Klik w Wykonaj skrypt.

 

3. Przedstaw wynikowy log z ComboFix oraz nowy USBFix z opcji Listing.

 

 

.

[luki]

były lekkie problemy z Combofixem ale jakoś wybrnąłem za to peny wróciły do normy. Ciekawe jak z resztą

ComboFix.txt

UsbFix.txt

[picasso]

za to peny wróciły do normy. Ciekawe jak z resztą

 

Wróciły do normy, bo wykonałeś moje ostatnie zalecenia. ComboFix przez mnie poinstruowany usunął ukryty wpis startowy (ten wpis regenerował na urządzeniach skróty LNK kierowane na otwieranie brzydkich rzeczy w Koszach + ukrywał inną zawartość) oraz mój skrypt do OTL wyczyścił urządzenia i zdjął atrybuty HS (ukryty systemowy) z reszty danych. Tylko jedna uwaga: poprzednio w logu USBFix były widzialne trzy zdefektowane urządzenia zmapowane pod literami: G, I, J. Teraz log pokazuje tylko G i J. Czy na pewno skrypt do OTL puszczałeś przy wszystkich podpiętych?

 

Jak mówię, zadania pomyślnie wykonane. Sprawdź czy możesz otwierać stronę Kasperskiego. Również powinien zniknąć ten problem. Zanim przejdę jednak dalej mamy jeszcze ten feler:

 

 

tryb awaryjny sie nie uruchamia (...) wyświetla się komunikat o braku Windows>\system32\ntoskunl.exe.

 

Otwórz w Notatniku plik C:\boot.ini i przeklej tu jego zawartość.

 

 

 

.

[luki]

tak, wszytkie były podpięte, kaspersky chodzi normalnie.

 

w boot.ini jest:

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

[picasso]

Wrócę na moment do raportu z ComboFix, otóż on faktycznie podaje, że ntoskrnl.exe jest modyfikowany (brak podpisu cyfrowego + dziwna suma kontrolna 7F7B62984E191AC852637A657993F907):

 

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2012-05-05 . F0E6C89AB059B7CDD7991940C634889A . 2193920 . . [5.1.2600.6223] . . c:\winnt\Driver Cache\i386\ntoskrnl.exe
[-] 2012-05-05 . 7F7B62984E191AC852637A657993F907 . 2193920 . . [5.1.2600.6223] . . c:\winnt\system32\ntoskrnl.exe
[7] 2012-05-05 . F0E6C89AB059B7CDD7991940C634889A . 2193920 . . [5.1.2600.6223] . . c:\winnt\system32\dllcache\ntoskrnl.exe
[7] 2012-05-05 . 73EBA89776A0BD9D359AAAEBB152BCDB . 2193920 . . [5.1.2600.6223] . . c:\winnt\$hf_mig$\KB2707511\SP3QFE\ntoskrnl.exe
[7] 2012-04-11 . 7F1A4FFC01C9218C3EA1FFC8DCEC4171 . 2193920 . . [5.1.2600.6206] . . c:\winnt\$NtUninstallKB2707511$\ntoskrnl.exe
[7] 2012-04-11 . 833DE0A926DA4CCBCE6DD67FEDCC3EB2 . 2193920 . . [5.1.2600.6206] . . c:\winnt\$hf_mig$\KB2676562\SP3QFE\ntoskrnl.exe
[7] 2011-10-26 . 61B8C37768680B3CFBBA9E13983D2C3C . 2194048 . . [5.1.2600.6165] . . c:\winnt\$NtUninstallKB2676562$\ntoskrnl.exe
[7] 2011-10-26 . 1B2010D88940E442770AD3B8A7F45330 . 2194048 . . [5.1.2600.6165] . . c:\winnt\$hf_mig$\KB2633171\SP3QFE\ntoskrnl.exe
[7] 2010-12-09 . 8A302601BE409E59260BB8ADE7CC6BC2 . 2194048 . . [5.1.2600.6055] . . c:\winnt\$hf_mig$\KB2393802\SP3QFE\ntoskrnl.exe
[7] 2009-02-10 . 67DD50DFE7736999AE3C59699F9698B4 . 2190464 . . [5.1.2600.5755] . . c:\winnt\$hf_mig$\KB956572\SP3QFE\ntoskrnl.exe

 

Wymień plik kopią mającą poprawne parametry.

 

1. Otwórz Notatnik i wklej w nim:

 

FCopy::
c:\winnt\system32\dllcache\ntoskrnl.exe c:\winnt\system32\ntoskrnl.exe

 

Plik zapisz pod nazwą CFScript.txt. Uruchom w taki sam sposób jak poprzednio.

 

2. Przedstaw log wynikowy + podaj mi informację czy start do Trybu awaryjnego wchodzi.

 

 

 

.

[luki]

tak, awaryjny startuje bez problemu

ComboFix.txt

[picasso]

Coś ten log z ComboFix dziwnie wygląda, dawałam ręczną komendę zamiany pliku ze ścieżki C:\WINNT\system32\dllcache, plik został zaś podstawiony z C:\WINNT\Driver Cache\i386, co wygląda na auto-procedurę w narzędziu a nie CFSCript. To już jednak nie jest istotne która procedura się uruchomiła, gdyż użyty przez ComboFix do zamiany plik z Driver Cache i tak miał identyczne parametry jak plik przeze mnie wskazywany w dllcache. Pliki o identycznej sumie kontrolnej F0E6C89AB059B7CDD7991940C634889A:

 

[7] 2012-05-05 . F0E6C89AB059B7CDD7991940C634889A . 2193920 . . [5.1.2600.6223] . . c:\winnt\Driver Cache\i386\ntoskrnl.exe
[7] 2012-05-05 . F0E6C89AB059B7CDD7991940C634889A . 2193920 . . [5.1.2600.6223] . . c:\winnt\system32\dllcache\ntoskrnl.exe

 

Suma sumarum: plik naprawiony. Przejdź do tej części zadaniowej:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Andrzej\Pulpit\ComboFix.exe" /uninstall

 

Gdy komenda ukończy, w OTL zastosuj Sprzątanie. Odinstaluj także USBFix.

 

2. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[luki]

coś mu się udało znaleźć

mbam-log-2012-10-19 (13-41-06).txt

[picasso]

1. Wyniki MBAM: nic ciekawego, instalatory wprowadzające adware oraz aktywator. Usunąć to można.

 

2. Zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Log notuje wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 35
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> doinstaluj SP1
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINNT\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()

 

3. Na wszelki wypadek zmień hasła logowania w serwisach.

 

PS. Widzę też Gadu-Gadu 10. Poczytaj o alternatywach z obsługą sieci Gadu: KLIK. Liczą się: WTW, Kadu, Miranda, AQQ.

 

 

.