Win32/Agent.TUM koń trojański w csrss.exe

[matisss]

Witam prosze o pomoc w usunięciu infekcji, dostałem komunikat od ESET NOD32 o treści: "Skaner przy uruchamianiu plik Pamięć operacyjna » C:\Users\Mateusz\AppData\Roaming\csrss.exe odmiana zagrożenia Win32/Agent.TUM koń trojański nie można wyleczyć" Jako że zbytnio sie nie znam prosze o pomoc z góry dziekuje.

Extras.Txt

OTL.Txt

[picasso]

Widać tę infekcję w raporcie. I wygląda to na trojana nabytego w jakiejś lewej paczce związanej z grą Metin.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487"
IE - HKU\S-1-5-21-4031025185-515548669-1338716211-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{9513D826-F565-4F65-86EE-2736C6C2CA09}?q={searchTerms}"
IE - HKU\S-1-5-21-4031025185-515548669-1338716211-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487"
IE - HKU\S-1-5-21-4031025185-515548669-1338716211-1000\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
O4 - HKLM..\Run: [Client Server Runtime Process] C:\Users\Mateusz\AppData\Roaming\System32\csrss.exe ()
O4 - HKLM..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Mateusz\AppData\Roaming\csrss.exe ()
O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found
O4 - HKLM..\Run: [service Host Process for Windows] C:\Users\Mateusz\AppData\Roaming\svchost.exe ()
O4 - HKU\S-1-5-21-4031025185-515548669-1338716211-1000..\Run: [Client Server Runtime Process] C:\Users\Mateusz\AppData\Roaming\System32\csrss.exe ()
O4 - HKU\S-1-5-21-4031025185-515548669-1338716211-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Mateusz\AppData\Roaming\csrss.exe ()
O4 - HKU\S-1-5-21-4031025185-515548669-1338716211-1000..\Run: [service Host Process for Windows] C:\Users\Mateusz\AppData\Roaming\svchost.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Running] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\Users\Mateusz\AppData\Roaming\System32
C:\Users\Mateusz\AppData\Roaming\svchost.ex,
C:\Users\Mateusz\AppData\Roaming\rundll32.exe
C:\Users\Mateusz\AppData\Roaming\rundll32.ex)
C:\Users\Mateusz\AppData\Local\Temp*.html
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Przez Panel sterowania odinstaluj adware Brothersoft Toolbar. Pozbądź się też Norton Security Scan (pewnie to była instalacja sponsorowana).

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[matisss]

Ps. Dziekuje za szybka odpowiedz:)

OTL.Txt

AdwCleanerS2.txt

[picasso]

Skrypt w ogóle nie wykonany, wszystko jak było tak jest nadal. Przejdź w Tryb awaryjny i poowtórz próbę.

[matisss]

po powtorzeniu proby

OTL.Txt

[picasso]

Teraz wykonane jak należy.

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{e8de9422-3b2c-4243-bf6f-235da84d8ef8}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e8de9422-3b2c-4243-bf6f-235da84d8ef8}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do kosza.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób pełny skan za pomocą Malwarebytes Anti-Malware (wybierz darmową wersję). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[matisss]

po przeskanowaniu wykryto 3 infekcje

dolaczam logi

mbam-log-2012-11-15 (20-47-28).txt

[picasso]

1. Wyniki MBAM: Exploit.Drop.GS to składnik infekcji UKASH i to czym prędzej skasuj, natomiast ten zduplikowany game.exe nie jest jasny dla mnie, ale w związku z tym, że tu były trojany nabyte przez jakieś lewe dodatki też usuń. Po usuwaniu ponów czyszczenie folderów Przywracania systemu.

 

2. Prewencyjnie wymień hasła w grach i serwisach.

 

3. Zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg raportu posiadasz:

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.16982)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Przede wszystkim: krytyczny poziom aktualizacji Windows, brak tu pakietów SP1 + SP2 oraz IE9 i reszty wydanych lat, system jest też zablokowany i nie dostarczane są mu żadne łaty (dopuszczony próg: Vista SP2). Wykonaj pełną aktualizację Windows. Następnie odinstaluj wszystkie wyliczone starsze pozycje Adobe i Java, zastąp najnowszymi wersjami. Po wykonaniu wszystkich kroków zgłoś się tu i potwierdź przeprowadzenie operacji, gdyż tak niski poziom aktualizacyjny brzmi podejrzanie, może jest jakiś błąd uniemożliwiający aktualizacje systemowe...

 

 

Uwaga poboczna: posiadasz Gadu-Gadu 10. Proponuję lżejsze zamienniki z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[matisss]

No to tak pobralem 68 nowych aktualizacji zainstalowalem Service Pack 1 maly problem z instalacja Service Pack 2(malo miejsca na dysku, oczyscilem troche dysk) uaktualnlilem adobe reader/flash/shockwave/java

[picasso]

maly problem z instalacja Service Pack 2(malo miejsca na dysku, oczyscilem troche dysk)

 

Rzeczywiście, nie zwróciłam na to uwagi:

 

Drive C: | 43,93 Gb Total Space | 4,20 Gb Free Space | 9,55% Space Free | Partition Type: NTFS
Drive D: | 97,66 Gb Total Space | 71,56 Gb Free Space | 73,28% Space Free | Partition Type: NTFS
Drive E: | 146,48 Gb Total Space | 129,39 Gb Free Space | 88,33% Space Free | Partition Type: NTFS
Drive F: | 177,67 Gb Total Space | 169,17 Gb Free Space | 95,21% Space Free | Partition Type: NTFS

 

Czy partycja C jest osobym dyskiem fizycznym czy może tylko partycją składową większego dysku? Jeśli to drugie, to proponuję oderwać kawałek miejsca z innej partycji sąsiadującej z C i dołożyć do C, by się nie borykać wiecznie z problemem małej ilości wolnego miejsca. Do wglądu ten temat: KLIK.

 

 

 

.

[matisss]

posiadam jeden dysk jednak jak chce dodac nieprzydzielona pamiec do dysku c to nie mam opcji rozszerz wolumin dostepnej:<

[picasso]

Czy wolne miejsce styka się z C? Jeśli nie, nie można połączyć. Poza tym: posłuż się alternatywnym programem do takiej operacji.

[matisss]

dobra dziekuje za pomoc:)

[picasso]

"Dobra" = ale na czym stoisz? Co zrobiłeś, czy jest nadal problem, co widać w diskmgmt.msc (obrazek pokaż)?

[matisss]

nie da sie polaczyc tej partycji odzielonej z dyskiem c:<

[picasso]

Przecież w ogóle nie wydzieliłeś miejsca, to jak Ty chcesz doklejać? Nie można sklejać dwóch partycji ze sobą, partycję można złączyć tylko z miejscem nieprzydzielonym. Najpierw musisz zmniejszyć partycję D > powstanie miejsce nieprzydzielone > dopiero wtedy można to nieprzydzielone dokleić do C. I z D wydziel tak z 10-20 GB wolnego.

 

 

.

[matisss]

^^

[picasso]

Miejsce nieprzydzielone nie sąsiaduje z C, nie można ich złączyć. Skierowałam Cię przecież do tematu w dziale Windows 7, gdzie to jest zaznaczone. Na dodatek: 2,80GB? To za mało, prędzej czy później znów problemy z miejscem. Z innej strony: doklej z powrotem to co wydzieliłeś z D do D (opcja Rozszerz wolumin dla D). Następnie posłuż się jednym z proponowanych przeze mnie programów zewnętrznych i za jego pomocą wykrój z D nieprzydzielone, ale tak by było po lewej stronie i stykało się z C, wtedy można połączyć z C.

 

 

 

.

Edytowane 17 Grudnia 2012 przez picasso
17.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso