Dopisywanie linków przez Firefox'a

[Kimi1908]

Witam

 

Mój problem polega na tym że, na poszczególnych stronach występują odnośniki które są zawarte w przeróżnych słowach.

Po najechaniu na dany odnośnik na sekundę pojawia się czerwone kółeczko i po chwili znika.

 

Poniżej zamieszczam screen oraz logi z narzędzia OTL:

 

PS: Z góry przepraszam że, logi są w takiej formie jednak próby dodania plików kończyły się na komunikacie:

"Serwer zwrócił błąd podczas wysyłania"

 

Bardzo proszę o pomoc

 

EDIT: Wybaczcie za taką ilość przesłanych plików. Wyskakiwał błąd serwera a jednak wszystko się wysyłało

Dodam jeszcze że, wszystko zaczęło się prawdopodobnie od pewnej strony udostępniającej telewizję na żywo. Oczywiście ze względów bezpieczeństwa nie będę podawał adresu tej strony jednak domyślam się, że to ona jest powodem tego oto problemu.

 

http://zapodaj.net/images/136be04f1fe93.jpg

 

OTL.txt.Txt Extras.txt.Txt

[picasso]

Koryguję ilość załączonych plików. Kimi1908, tu są dwie sprawy:

 

- Pozorowane usunięcie poprzedniej infekcji. W ogóle nie wykonane do końca prawidłowe usuwanie ZeroAccess prowadzone w Twoim poprzednim temacie: KLIK. Co widzę teraz w logu? Kurde infekcja z lutego 2012! Przekierowany Winsock i link symboliczny rootkita. O zgrozo ta infekcja jest czynna, bo jest w procesach załadowany moduł infekcji:

 

========== Modules (No Company Name) ==========

MOD - [2004-08-03 22:44:06 | 000,246,784 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll

 

- Plus nowa infekcja. Nabawiłeś się kolejnego najnowszego wariantu ZeroAccess (ładowany przez klasy z Kosza). Czyli teraz w systemie działają aż dwa rodzaje tej infekcji!

 

To co widzę jest zastraszające. Tym razem proszę nie uciekaj z tego tematu jak z tamtego. Wszystko musi być zweryfikowane aż do końca. Kombinacja infekcji mocarna, ponownie sięgam do próby z:

 

1. Przejdź w Tryb awaryjny Windows i spróbuj uruchomić ComboFix.

 

2. Jeśli się uda, przedstaw jego log. Jeśli się nie uda, czeka nas trudniejsza sprawa.

 

[Kimi1908]

Udało mi się uruchomić ComboFix jednak po kilkunastu minutach przestał odpowiadać i zatrzymał się na poleceniu: Folder wyjściowy: D:\32788R22FWJFW.

Co ciekawe po powrocie z trybu awaryjnego do trybu normalnego wszystko wróciło do normy i wyróżnione linki już nie występują.

 

Oczywiście nie zamierzam opuszczać tematu i będę się stosował do Twoich kolejnych instrukcji

 

A jeżeli chodzi o infekcje jeszcze z lutego to przyznam szczerze, że Twoją odpowiedź z marca przeczytałem dopiero... przed kilkoma minutami

W tamtej sytuacji uznałem, że jeżeli przekierowania ustąpiły to problem został po części rozwiązany a już później nie zaglądałem do owego tematu a powinienem to zrobić i zastosować się tego co napisałaś w ostatniej odpowiedzi, postanowiłem pójść na łatwiznę za co przepraszam.

[picasso]

Czy powstał log C:\ComboFix.txt? Jeśli nie, spróbuj ponownie uruchomić narzędzie. Po tym podaj nowy świeży log OTL oraz zaległy GMER.

 

[Kimi1908]

Tym razem ComboFix dokończył instalację jednak tuż po niej wyskoczył komunikat o trybie zgodności i na tym się skończyło.

[picasso]

Rozumiem, że loga brak? To zrób nowe raporty z OTL i GMER, a zobaczę czy w ogóle cokolwiek się zmieniło.

[Kimi1908]

Tak, i tym razem brak loga.

 

OTL.Txt Extras.Txt GMER.txt

[picasso]

ComboFix zdołał usunąć ten najnowszy wariant ZeroAccess, ale to była ta łatwiejsza część. Nadal są elementy starszego wariantu (link symboliczny i uszkodzony Winsock). Poza tym, ComboFix coś nabroił w usługach, pojawiły się nowe odczyty:

 

SRV - File not found [Auto | Stopped] -- %SYSTEMROOT%\system32\wscsvc.dll -- (wscsvc)
SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\System32\ups.exe -- (UPS)
SRV - File not found [Auto | Unknown] -- %SystemRoot%\system32\srsvc.dll -- (srservice)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\seclogon.dll -- (seclogon)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\system32\cisvc.exe -- (CiSvc)

 

Na razie te odczyty zostawiam, w pierwszej kolejności usuwanie składników infekcji:

 

1. Uruchom GrantPerms i w oknie wklej:

 

D:\WINDOWS\$NtUninstallKB12347$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
D:\WINDOWS\assembly\GAC_MSIL\Desktop.ini
del "\\?\D:\WINDOWS\System32\ " /C
fsutil reparsepoint delete D:\WINDOWS\$NtUninstallKB12347$ /C

:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Ndisipo.dll -- (tfsnudfa)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt73.sys -- (RT73)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ggsemc.sys -- (ggsemc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ggflt.sys -- (ggflt)

:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Wykonaj pełne przeładowanie stosu TCP/IP wg instrukcji: KLIK.

 

4. Zrób nowe logi. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wpisz netsvcs i klik w Skanuj. Zrób też log Farbar Service Scanner.

 

[Kimi1908]

Wszystkie punkty wykonam wieczorem jak tylko wrócę do domu

 

Jeszcze pytanie odnośnie przeładowania stosu TCP/IP. Wykonać go w całości to znaczy razem z usuwaniem kluczy Winsock (z którymi za pierwszym podejściem był pewien problem), a następnie punkt po punkcie zaczynając od deinstalacji a kończąc na ponownym zainstalowaniu protokołu ?

[picasso]

W całości. Przecież cały czas mówimy tu o uszkodzonym Winsock, toteż usuwanie tych kluczy jak najbardziej.

[Kimi1908]

Tak właśnie myślałem, jednak po poprzedniej przygodzie z Winsock chciałem być pewien na 100%

 

Wszystkie cztery czynności wykonane, jedynie przy deinstalacji protokołu TCP/IP pojawił się słynny niebieski ekran.

 

OTL.Txt Extras.Txt FSS.txt

[picasso]

Akcje pomyślnie przeprowadzone, Winsock w końcu odbudowany.

 

1. Wymagana drobna poprawka na szczątki ZeroAccess. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
D:\WINDOWS\$NtUninstallKB12347$
 
:OTL
NetSvcs: tfsnudfa -  File not found

 

Klik w Wykonaj skrypt. Do oceny przedstaw tylko log z wynikami usuwania, nowy skan zbędny.

 

2. Wracam do tego, pojawił się ten odczyt po uruchomieniu ComboFix:

 

========== Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- %SYSTEMROOT%\system32\wscsvc.dll -- (wscsvc)
SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\System32\ups.exe -- (UPS)
SRV - File not found [Auto | Unknown] -- %SystemRoot%\system32\srsvc.dll -- (srservice)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\seclogon.dll -- (seclogon)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\system32\cisvc.exe -- (CiSvc)

 

Wygląda na to, że ComboFix to "uzupełnił" natykając się na brak. Moje wątpliwości co z tym robić wypływają z faktu, że masz ostro modyfikowany Windows robiony czymś w rodzaju nLite. Zapewne usługi były wycinane, a teraz trudno mi powiedzieć które. Tak to już z diagnostyką na lewych Windowsach, przerabianych sztucznie. Podobne wątpliwości budzi skan z Farbar, oznajmia brak usługi Zapory (SharedAccess jest kasowane przez ZeroAccess) ale i Przywracania systemu.

 

Czy jesteś mi w stanie powiedzieć jakie usługi były na 100% wycięte w tym Windows?

 

[Kimi1908]

Witam ponownie.

 

Po przygodzie z Winsock pojawił się kolejny problem.

Otóż podczas spokojnego surfowania po internecie nagle wyskoczyło mi okienko przypominające to które jest zamieszczone na poniższym obrazku:

 

http://zapodaj.net/images/5e7bb82e39134.png

 

Oczywiście po restarcie od razu przeszedłem do Menedżera zadań i czym prędzej ubiłem proces o nazwie zaczynającej się na literę v. Z tego co zauważyłem to pliki z rozszerzeniem txt oraz pliki graficzne mają teraz w swojej nazwie .block

 

EDIT: Przepraszam, przez to całe zawirowanie całkowicie zapomniałem o niezbędnych logach. Już się za to zabieram

[picasso]

Myśmy nie skończyli poprzedniego tematu, sklejam tematy. A poza tym skoro sytuacja się zmieniła, to są wymagane nowe logi, które przedstawią co się stało.

[Kimi1908]

Na 100% została wycięta usługa Przywracania systemu (nawet sama to stwierdziłaś w pewnym temacie ), co do reszty usług niestety nie mam stuprocentowej pewności. Jeżeli chodzi o Zaporę to jeszcze jakiś czas temu chodziła poprawnie, teraz przy próbie jej uruchomienia wyskakuje komunikat: "Z powodu niezidentyfikowanego problemu system Windows nie może wyświetlić ustawień Zapory systemu Windows".

 

EDIT: Podczas skanowania OTL zatrzymuje się na teoretycznie nieistniejącym już kluczu Winsock2 wyświetlając przy tym taki oto komunikat:

***ERROR READING SUBKEYS*** is not a valid integer value.

 

12062012_155307.log.txt

[picasso]

Problem z wykonaniem zawartości skryptu, nie puszcza folder ZeroAccess:

 

========== FILES ==========

Folder move failed. D:\WINDOWS\$NtUninstallKB12347$ scheduled to be moved on reboot.

 

Co do usług: odtworzę Zaporę (twierdzisz, że była, a ZeroAccess ją właśnie kasuje) + usunę klucze, które zdają się być dodane przez ComboFix.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Adnotacja dla innych czytających: import dopasowany do Windows XP.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system.

 

2. Powtórka na folder ZeroAccess. Uruchom GrantPerms i w oknie wklej:

 

D:\WINDOWS\$NtUninstallKB12347$

 

Klik w Unlock. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
D:\WINDOWS\$NtUninstallKB12347$

 

Klik w Wykonaj skrypt. Do oceny przedstaw log z wynikami usuwania.

 

 

Cytat

Podczas skanowania OTL zatrzymuje się na teoretycznie nieistniejącym już kluczu Winsock2 wyświetlając przy tym taki oto komunikat

 

Klucze Winsock mają być. Ich usuwanie nie jest trwałe, po kasacji powinny się samodzielnie zrekonstruować. Hmmm, pokaż mi co w nich w ogóle aktualnie jest. Uruchom SystemLook i w oknie do skanu wklej:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2 /s

 

[Kimi1908]

Niestety nie mogę wykonać powyższych czynności, ponieważ dał o sobie znać drugi problem związany z wyskakującym okienkiem. Tym razem menedżer zadań pojawia się tylko na moment nie dając większych szans na zakończenie złośliwego procesu. Nadal mam dostęp do menu start które w przeciwieństwie do menedżera zadań nie znika.

[picasso]

Spróbuj zrobić wszystko w Trybie awaryjnym Windows. Sprawdź też czy da radę w takich kondycjach jednak zrobić log z OTL.

[Kimi1908]

Problem w tym, że podczas ładowania systemu w trybie awaryjnym pojawia się niebieski ekran.

[picasso]

Zrób log z poziomu płyty OTLPE.

[Kimi1908]

Jakimś cudem udało mi się wprowadzić szybką kombinacje i ubić ten złośliwy proces o nazwie vmjef.exe.

Gdybym wczoraj przeszedł w stan wstrzymania pewnie nie było by tego problemu ale najważniejsze, że udało się z tego wyjść

 

Nie chciałbym przerabiać pierwszego punktu Twojej instrukcji, ponieważ jest tam wzmianka o restarcie systemu

Jeżeli jest to w tej chwili jedna z ważniejszych czynności do wykonania to ewentualnie mógłbym się zgodzić na kolejne starcie: szybkie palce vs. złośliwy proces

[picasso]

To nie załatwia sprawy, bo on się skądś uruchamia. Potrzebny jest nowy log. Jeśli nie możesz zrobić OTL spod Windows to zrób spod OTLPE.

[Kimi1908]

Podczas skanowania bez zmian, OTL nadal zatrzymuje się na kluczu WinSock2. Czy jest taka opcja aby na czas skanowania usunąć klucz a po wszystkim z powrotem go przywrócić ? Czy raczej nie jest to dobry pomysł ?

[picasso]

Pokaż mi ten zaległy skan z SystemLook co tam w ogóle aktualnie w Winsock jest. I jak mówię: opcją skanu jest płyta OTLPE.

[Kimi1908]

Przepraszam za chwilową nieobecność. Urządziłem sobie mały spacerek do najbliższego sklepu z krążkami aby nieco uzupełnić zasoby

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:32 on 07/12/2012 by JA

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2]

(No values found)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]

"WinSock_Registry_Version"="2.0"

"Current_NameSpace_Catalog"="NameSpace_Catalog5"

"Current_Protocol_Catalog"="Protocol_Catalog9"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]

"Num_Catalog_Entries"= 0x0000000003 (3)

"Serial_Access_Num"= 0x000000000a (10)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]

(No values found)