MSIL/Packed.Confuser.B w autorun.inf, explorer.exe, setup.exe

[martiens666]

Witam

 

Od Dnia wczorajszego nie mogę wyłączyć komputera w trybie normalnym( tryb awaryjny zamyka system). ESET 5 wariuje i wykazuje, że zainfekowane są pliki autorun.inf, explorer.exe oraz setup.exe. Zagrożeniem jest MSIL/Packed.Confuser.B . Nie pozwala on nawet Zrobić diagnostyk Programem OTL( testowałem OTL i po jakimś czasie zamknął się a plik został usunięty). Udało mi się zrobić diagnostykę Progremem DDS, OTS, RSIT. Czy jest jakieś wyjście z tej sytuacji? Dziękuje z góry za pomoc.

 

Edit. Plik msconfig.exe również jest zainfekowany ;(

OTS.Txt

dds.txt

[picasso]

Za dużo logów, albo OTS albo DDS albo RSIT. Zostawiam tylko te, z których dane biorę.

 

 

Edit. Plik msconfig.exe również jest zainfekowany ;(

 

Nie systemowy, to trojan dodany wtórnie:

 

============== Running Processes ===============
.
C:\Users\User\Drivers\explorer.exe
 
mRun: [Windows Explorer] C:\Users\User\Drivers\msconfig.exe
uRun: [Windows Explorer] C:\Users\User\Drivers\msconfig.exe
 
2012-11-19 19:37:14	102912	--sha-r-	C:\setup.exe
2012-11-19 19:36:49	--------	d-sh--w-	C:\Users\User\Drivers

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /v "Windows Explorer" /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Windows Explorer" /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\Users\User\Drivers
 
DeleteFile:
C:\autorun.inf
C:\setup.exe
C:\windows\SysWow64\tmp40.tmp
C:\windows\SysWow64\tmp3F.tmp
C:\windows\SysWow64\shoCAE.tmp
C:\windows\SysWow64\shoAA59.tmp
C:\windows\SysWow64\drivers\vprrfuh.sys
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Przez Panel sterowania odinstaluj adware uTorrentBar Toolbar.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób logi z OTL z opcji Skanuj (by powstał plik Extras, opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania"). Dołącz log utworzony przez AdwCleaner. Wklej też do posta zawartość raportu BlitzBlank.

 

 

 

.

[martiens666]

Dziękuje za Szybką odpowiedz;) A więc tak wykonałem wszystkie kroki i dodaje Logi. Dodam tylko że przy każdej próbie rebutowania komputera wyskakuje blue screen tak samo jest odkąd mam problem z tymi plikami. Odnośnie Blitzblank.log to przy dodaniu plików do postu dostaje informacje że nie mam uprawnień do wysyłania tego typu plików. Zawartość dodaje w codzie

 

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application

OTL.Txt

AdwCleanerS1.txt

Extras.Txt

[picasso]

Zasady działu = załączniki przyjmują tylko *.TXT (wystarczy zmiana nazwy pliku), nie wklejaj treści w CODE, a poza tym mówiłam "Wklej do posta zawartość raportu BlitzBlank". Blitzblank nic nie zrobił. Infekcja nadal czynna. Inna metoda:

 

1. Pobierz narzędzie FRST x64 i umieść na pendrive.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\Users\User\Drivers
C:\autorun.inf
C:\setup.exe
D:\autorun.inf
D:\setup.exe
C:\windows\SysWow64\drivers\vprrfuh.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /v "Windows Explorer" /f
1 mkyolinw; C:\Windows\SysWOW64\drivers\vprrfuh.sys [61440 2012-11-20] ()

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Restartujesz do Windows.

 

4. Restart do Windows. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz fixlog.txt.

 

 

 

.

[martiens666]

Doszedłem do punktu 3, I podczas uruchamiania systemu wciskam klawisz F8 lecz nie uruchamia mi się WinRE... Jest tylko dźwięk przy naciśnięciu lub pisk przy przytrzymaniu tego klawisza. Nie wiem co mam robić...

[picasso]

Odłącz komputer od zasilania. Odczekaj kilka minut. Uruchom komputer i spróbuj z klawiszem F8.

[martiens666]

Dziękuje za podpowiedz Oto Logi

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 18-11-2012

Ran by SYSTEM at 2012-11-20 19:50:24 Run:1

Running from G:\

 

==============================================

 

C:\Users\User\Drivers moved successfully.

C:\autorun.inf moved successfully.

C:\setup.exe moved successfully.

D:\autorun.inf moved successfully.

D:\setup.exe moved successfully.

C:\windows\SysWow64\drivers\vprrfuh.sys moved successfully.

 

========= reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /v "Windows Explorer" /f =========

 

Operacja ukonczona pomyslnie.

 

 

========= End of Reg: =========

 

mkyolinw service deleted successfully.

 

==== End of Fixlog ====

OTL.Txt

[picasso]

FRST wykonał pomyślnie zadanie. Ale pojawił się nowy obiekt infekcji + wymagane też poprawki na poprzednie, bo nie mogłam w FRST dać na usuwanie wszystkich wpisów rejestru (komenda Reg: nie interpretuje pliku NTUSER.DAT użytkownika). Lecimy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2388659095-55667830-214554767-1000..\Run: [Windows Explorer] C:\Users\User\Drivers\msconfig.exe File not found
O4 - HKU\S-1-5-21-2388659095-55667830-214554767-1000..\Run: [winsvchost] C:\Users\User\AppData\Roaming\Identities\{E7927442-8v23-436B-8409-951D004DCD3B}\winsvchost.exe ()
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
IE - HKU\S-1-5-21-2388659095-55667830-214554767-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKU\S-1-5-21-2388659095-55667830-214554767-1000\..\SearchScopes\{2BEAF402-4053-4363-9DE9-A7C95CF9C855}: "URL" = "http://search.avg.com/?d=4ed8c9d7&i=23&tp=chrome&q={searchTerms}&lng={language}&nt=1"
[2012-01-02 22:05:08 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\AVG10
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Internet Explorer: korekta domyślnych wyszukiwarek po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Firefox: wyczyść przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[martiens666]

Dziękuje za kolejne instrukcje oto log

OTL.Txt

[picasso]

1. Nie ma oznak wykonania tego:

 

3. Firefox: wyczyść przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

To nadal aktualne, bo w Firefox jest adware (BS Player Community Toolbar + AVG Secure Search). Po resecie powstanie na Pulpicie folder "Stare dane programu Firefox" i ten do śmieci.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie (usunie też RSIT i DDS), BlitzBlank i FIX dokasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[martiens666]

Nie rozumiem czemu się nie wyczyścił Firefox. Zrobiłem zgodnie z poleceniem i Friefox uruchomił się ponownie. Usunełem wszystkie programy programy diagnostyczne, zainstalowałem Malwara i zrobiłem log z wykrytych zagrożeń. Oto on

mbam-log-2012-11-21 (11-04-43).txt

[picasso]

zainstalowałem Malwara i zrobiłem log z wykrytych zagrożeń.

 

A właśnie mnie zastanawiał ten folder w logu OTL. Przez SHIFT+DEL skasuj cały katalog C:\Users\User\Documents\Windows.

 

 

Nie rozumiem czemu się nie wyczyścił Firefox. Zrobiłem zgodnie z poleceniem i Friefox uruchomił się ponownie.

 

Ja też nie wiem, choć zauważyłam, że takie rzeczy czasem się dzieją. Użytkownik mówi, że Firefox zresetowany, a znaków brak. To zadam pytanie: czy aktualnie w Firefox widzisz rozszerzenie BS Player Community Toolbar oraz wyszukiwarkę AVG Secure Search?

 

 

.

[martiens666]

Usunąłem Folder i odinstalowałem Firefoxa I chyba już wszystko Gra ! Dziękuje Pani Bardzo za pomoc w rozwiązaniu mojego problemu! Mam tylko jeszcze jedno pytanie Posiadam 4GB ramu i zauważyłem że w menadzerze urządzeń wykorzystywane jest 40% tj, 1.6 GB ramu bez pracy innych zbędnych programów. Czy to nie za dużo?;]

[picasso]

Na zakończenie:

 

1. W związku z tym, że były tu kolejne zmiany konfiguracyjne (dodatkowy trojan wykryty przez MBAM + usuwanie Firefox) ponownie wyczyść foldery Przywracania systemu.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java™ 6 Update 27 (64-bit)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 27
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{D64833F8-860D-4216-8EDC-DD08AD68C0B5}" = LibreOffice 3.4
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

W podsumowaniu: odinstaluj wszystkie wyliczone stare Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zaktualizuj LibreOffice oraz zainstaluj Service Pack dla Microsoft SQL Server 2008 (KB968382).

 

 

Posiadam 4GB ramu i zauważyłem że w menadzerze urządzeń wykorzystywane jest 40% tj, 1.6 GB ramu bez pracy innych zbędnych programów. Czy to nie za dużo?;]

 

W tle jest uruchomione wiele usług, tak Windows, jak i zewnętrznych programów. Nie widzę tu nic dziwnego.

 

 

PS. Gadu-Gadu 10 widzę zainstalowane. To jest dopiero zasobożerny potwór. Zainteresuj się alternatywnymi lżejszymi aplikacjami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.