Złapany wirus, problemy z otwarciem panelu sterowania

[mateyrox]

Witam, dziś sciagnąłem pewien plik, a że sie spieszylem nie zdazylem go przeskanowac, oto co wychodzi po wrzuceniu pliku na http://virusscan.jotti.org/

 

AntiVir TR/Dropper.Gen

eset Win32/PSW.Tibia.NGI

ikarus Trojan.Win32.Agent

sophos Mal/Generic-L

 

Objawy sa takie, komputer jest wolniejszy, wczesniej nie moglem wejsc do panelu sterowania, start -> panel sterowania i widziałem okno na ułamek sekundy ktore zaraz znika. Chciałem zrobic przywracanie systemu, ale tam rowniez nie mogę się dostac. Teraz nie moge zalogowac sie na swoje konto, podaje hasło, komputer dosc dlugo mysli i pokazuje mi sie komunikacik, ze dokonano niedozwolonej zmiany w systemie Windows i mam do wyboru:

dowiedz sie wiecej online

zamknij okno (przy tej opcji cały cykl sie powtarza...)

 

(dodatkowo od jakiegos czasu mam problem z data w komputerze, po wylaczeniu musze ja ponownie nastawiac, ale watpie zeby to mialo jakis zwiazek z powyzsza sprawa)

 

przepraszam ze tak, ale przy dodawaniu zalacznika wyskakuje mi blad

 

http://www.wklej.org/id/872050/txt/

http://www.wklej.org/id/872051/txt/

[picasso]

przepraszam ze tak, ale przy dodawaniu zalacznika wyskakuje mi blad

 

Jaki błąd? A logi przeniosłam na serwis wklej.org, lepiej się nadaje do prezentacji raportów tekstowych.

 

 

dziś sciagnąłem pewien plik, a że sie spieszylem nie zdazylem go przeskanowac, oto co wychodzi po wrzuceniu pliku

 

Ale zapomniałeś podać co to za plik ... Oceniając logi: złapałeś keyloggera z trefnej paczki Tibia. W starcie plik svghost.exe, a w modułach jest załadowany plik rjlb.dll:

 

========== Modules (No Company Name) ==========
 
MOD - [2012-11-13 17:27:12 | 000,005,632 | ---- | M] () -- C:\Windows\System32\rjlb.dll

 

Plik ten podstawia krytyczny systemowy plik ws2_32.dll. Nie można usunąć rjlb.dll "z ręki", bo padnie system, w pierwszej kolejności należy przywrócić poprawną wersję ws2_32.dll.

 

1. Podaj mi skan na wystąpienia pliku ws2_32.dll. Uruchom SystemLook

 

:filefind
ws2_32.dll

 

Klik w Look. Przedstaw wynikowy raport.

 

2. Obowiązkowym logiem jest także GMER.

 

 

(dodatkowo od jakiegos czasu mam problem z data w komputerze, po wylaczeniu musze ja ponownie nastawiac, ale watpie zeby to mialo jakis zwiazek z powyzsza sprawa)

 

Zapawne bateryjka BIOS do wymiany. Nieprawidłowa data ma konsekwencje, m.in. z aktywacją systemu mogą być problemy. W Dzienniku zdarzeń sypie błędami:

 

Error - 2012-11-15 17:20:31 | Computer Name = Mati-PC | Source = Winlogon | ID = 4102
Description = Licencja systemu Windows jest nieprawidłowa. Błąd 0xC004F027. Wartość
 zasad 0x00000000.

 

W nagłówku OTL dziwny odczyt na temat typu edycji:

 

Windows Vista Unlicensed product Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)

 

 

 

.

[mateyrox]

taki blad

OTL.Txt

 

Wysyłanie ominięte (Błąd IO)

 

systemlook:

http://wklej.org/id/872135/

 

Z tym GMERem to sa normalnie czary, pierwszy raz wyszukiwałem i znalazlo kilkanascie plików pisanych na czerwono, ale zanim program skonczył wyszukiwanie to sie zawiesił, za drugim podejsciem juz tych plików na czerwono nie bylo, ale po raz kolejny nie zdazylem wkleic wynikow bo komputer sie zresetowal, etraz walcze trzeci raz

 

http://wklej.org/id/872166/

 

co do licencji to nie mam pojecia o co tam moze chodzic, Vista jest oryginalna, zapisana na jakiejs ukrytej partycji- tak mówil pan sprzedawca

Edytowane 16 Listopada 2012 przez mateyrox

[picasso]

Wysyłanie ominięte (Błąd IO)

 

Błąd po Twojej stronie. Być może z powodu infekcji.

 

 

co do licencji to nie mam pojecia o co tam moze chodzic, Vista jest oryginalna, zapisana na jakiejs ukrytej partycji- tak mówil pan sprzedawca

 

Przecież mówię, że nieprawidłowa data w systemie szkodzi. I jak mówię: prawdopodobnie padła bateria, dlatego czas nie jest utrzymywany.

 

 

Z tym GMERem to sa normalnie czary, pierwszy raz wyszukiwałem i znalazlo kilkanascie plików pisanych na czerwono, ale zanim program skonczył wyszukiwanie to sie zawiesił, za drugim podejsciem juz tych plików na czerwono nie bylo, ale po raz kolejny nie zdazylem wkleic wynikow bo komputer sie zresetowal, etraz walcze trzeci raz

 

Brak czerwonych nie oznacza braku szkodliwych modyfikacji, są w raporcie wpisy świadczące o aktywności trojana. Log z GMER zrobiłeś w złych warunkach, nie usunąłeś emulacji: KLIK. Działa ofensywny sterownik SPTD:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ase81p41)
DRV - [2011-06-18 23:32:49 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Plik ws2_32.dll definitywnie zmodyfikowany. W SystemLook niezgodna suma kontrolna. W GMER kupa hooków również poświadczająca modyfikację.

 

 

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\ws2_32.dll

 

Jeśli system poprosi o restart, zrób to. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie wykonuj podanych poniżej czynności tylko od razu zgłoś się na forum.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\System32\rjlb.dll
C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svghost.exe
C:\Users\Mati\AppData\Roaming\253E7
C:\Users\Mati\AppData\Roaming\DE325
C:\Users\Mati\AppData\Local\Temp*.html
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=a5b92fcf-356e-11e1-ac4b-0022152d2a67&q={searchTerms}"
IE - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US"
IE - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=a5b92fcf-356e-11e1-ac4b-0022152d2a67&q={searchTerms}"
IE - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\SearchScopes\{DC2E6597-442A-4DF8-8287-C83EC5499742}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\InprocServer32 File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O3 - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O3 - HKU\S-1-5-21-1088693145-2037981005-2474215736-1004\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos-beta/OnlineScanner.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
"ProxyEnable"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Usuń wszelki dodatki do Tibia ostatnio pobrane (boty / changery), wpuszczają trojany.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowe logi: SystemLook na ten sam warunek co poprzednio, OTL z opcji Skanuj (już bez Extras), GMER (po zdjęciu sterownika SPTD jak ogłoszenie mówi). Dołącz log utworzony przez AdwCleaner.

 

 

.

Edytowane 17 Grudnia 2012 przez picasso
17.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso