htw Opublikowano 11 Grudnia 2012 Zgłoś Udostępnij Opublikowano 11 Grudnia 2012 Witam, mam zainfekowany komputer do sprawdzenia, coś tam porobiłem ale niewiele to chyba dało i wciąż coś tam siedzi. Na wstępie powiem że Malwarebytes Anti-Malware (1.65.1.1000 ) wykrył coś takigo : Wykrytych plików: 2 C:\Users\3117\AppData\Local\{b01d1397-390b-3b2c-6d55-436b4e31c741}\n (Trojan.Agent.BVXGen) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Windows\assembly\GAC\Desktop.ini (Trojan.0access) -> Usuń po ponownym uruchomieniu. ale mam wrażenie, że to nie załatwia sprawy dlaczego do Was piszę w sprawie konsultacji obowiązkowe logi oczywiści w załączniku ! OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
htw Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 dodm że jest również problem z automatycznymi aktualizacjami ..... tak na oko to osobiście widzę takie podejrzane rzeczy .... : [2009/07/14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [2012/12/11 14:10:33 | 000,005,120 | ---- | M] () -- C:\Windows\assembly\GAC\Desktop.ini [2012/12/11 14:14:46 | 000,697,896 | ---- | M] () -- C:\Windows\System32\perfh015.dat [2012/12/11 14:14:46 | 000,616,032 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2012/12/11 14:14:46 | 000,135,006 | ---- | M] () -- C:\Windows\System32\perfc015.dat [2012/12/11 14:14:46 | 000,106,412 | ---- | M] () -- C:\Windows\System32\perfc009.dat O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found i oczywiście dodatki do przeglądarek .... IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim....D-001999953817} IE - HKLM\..\SearchScopes,DefaultScope = {D71BB4C8-A187-4484-A3DD-0611504D8355} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.condui...&ctid=CT2786678 CHR - homepage: http://home.sweetim....D-001999953817} CHR - default_search_provider: SweetIM Search (Enabled) CHR - default_search_provider: search_url = http://search.sweeti...D-001999953817} PRC - [2007/05/31 16:21:28 | 000,648,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\WindowsMobile\wmdcBase.exe ale to moje podrzenia tylko a gmer to za duża abstrakcja Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 htw, zasady działu na temat "posta pod postem". Chcesz uzupełnić informacje, gdy nikt jeszcze nie odpisał = opcja Edytuj. Jest tu rootkit ZeroAccess, a log z OTL sugeruje, że w wariancie infekującym systemowy plik services.exe, ponieważ brak tu śladów ingerencji wariantu CLSID. Wymagane dodatkowe skany: 1. Uruchom SystemLook i do skanu wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. [2009/07/14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [2012/12/11 14:14:46 | 000,697,896 | ---- | M] () -- C:\Windows\System32\perfh015.dat [2012/12/11 14:14:46 | 000,616,032 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2012/12/11 14:14:46 | 000,135,006 | ---- | M] () -- C:\Windows\System32\perfc015.dat [2012/12/11 14:14:46 | 000,106,412 | ---- | M] () -- C:\Windows\System32\perfc009.dat PRC - [2007/05/31 16:21:28 | 000,648,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\WindowsMobile\wmdcBase.exe A tego się nie czepiaj. Systemowy plik desktop.ini (te od ZeroAccess leżą w ciut innym miejscu = w GAC), pliki liczników wydajności oraz Windows Mobile. . Odnośnik do komentarza
htw Opublikowano 12 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Przepraszam, za tego dubla zastanawiam sie nad tym gdzie wyczytałaś że to rootkit ZeroAccess z GMR'a ? wiem że masz spore doświadczenie w czytaniu tego rodzajów rzeczy ale może sie czegoś nauczę jak powiesz coś wiecej logi w załączniku log.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Proszę nie łącz mi logów razem w jednym pliku. SystemLook osobno, Farbar osobno. zastanawiam sie nad tym gdzie wyczytałaś że to rootkit ZeroAccess z GMR'a ? htw to są oczywiste rzeczy, jeśli się zna tę infekcję, opowiadanie skąd to wyczytałam nie wniesie zbyt dużo do sprawy, skoro Ty nie rozpoznajesz tej infekcji przy podanych tu danych. Wyczytałam z OTL: naruszony Winsock w charakterystyczny sposób (załadowany przekierowany moduł + wygląd wpisów O10) oraz sekcja "ZeroAccess Check" i charakterystyczne pliki (w Installer + w GAC). I skoro są te elementy, ale skan rejestru w "ZeroAccess Check" nie wykazuje naruszeń = tu działa wariant w services.exe a nie wariant CLSID. Poza tym, skoro są elementy ZeroAccess, to także wiadomo co należy sprawdzić dodatkowo, bo trojan ma destrukcyjny charakter i niszczy określone obiekty systemowe. Skan z SystemLook udowadnia, że jest zmodyfikowany plik services.exe oraz usunięty klucz ikony Centrum Akcji. Skan z Farbar z kolei udawadnia zmasakrowane usługi systemu i skasowane wszystkie usługi Zapory, Pomoc IP, Centrum zabezpieczeń, Windows Update i Windows Defender. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończenia naprawy łańcucha sieciowego. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{b01d1397-390b-3b2c-6d55-436b4e31c741} C:\Windows\assembly\GAC\Desktop.ini C:\Users\3117\AppData\Roaming\mozilla\Firefox :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox] :OTL O3 - HKU\S-1-5-21-3956667040-3668985409-2283611985-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) DRV - File not found [Kernel | System | Stopped] -- -- (ASPI32) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte usługi za pomocą ServicesRepair. 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. I czy ja Ci o tym pliku już nie mówiłam kilka razy? 6. Google Chrome zabrudzone adware. Wejdź do ustawień i w zarządzaniu wyszukiwarkami przestaw domyślną z SweetIM Search na Google, po tym SweetIM Search usuń z listy. W sekcji "Po uruchomieniu" z listy stron startowych usuń home.sweetim.com. 7. Zrób nowe logi: OTL z opcji Skanuj + Farbar Service Scanner + SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
htw Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 witam ponownie no w sumie masz racje pytam o rzeczy oczywiste dla Ciebie, muszę znaleźć czas pooglądać Twoje posty i się zwyczajnie pouczyć Wszystko przebiegło pomyślnie, update systemu ruszył, logi wykonane dodatkowo zainstalowałem Secunie, żeby wszystko było na na bieżąco, ściągnąłem dodatkowo najnowszą wersje antywirs'a ale nie instalowałem, czekam na sprzątanie OTL, notaabene nr 5 przeglądając log z OTL widziałem te wpisy i od razu pomyślałem żeby wywalić bo pamiętałem Twoje zalecenia (notabene winszuje pamięci , masz tu sporo pacjentów a jednak pamiętasz) ale wolałem poczekać na Ciebie. logi porobione jak trzeba i czekam na porządki i ostatnie szlify 12162012_203023.txt OTL.Txt FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Wszystko zrobione jak należy. Tak jak mówisz, czas "szlifu": 1. Jeden folder ZeroAccess niechcący opuściłam. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\3117\AppData\Local\{b01d1397-390b-3b2c-6d55-436b4e31c741} :OTL O4 - HKLM..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe File not found :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W Google Chrome nadal strona startowa adware SweetIM: ========== Chrome ========== CHR - homepage: "http://home.sweetim.com/?barid={E7E6C895-7FBC-11E1-AE6D-001999953817}"CHR - homepage: "http://home.sweetim.com/?barid={E7E6C895-7FBC-11E1-AE6D-001999953817}" Zadałam sprawdzian w opcjach. Widząc teraz powyższe wnioskuję, że nie widzisz tego na liście stron startowych. Usuń to na poziomie pliku Preferences. Zamknij Google Chrome (nie może być w procesach). Otwórz w Notatniku plik: C:\Users\3117\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj dwa wystąpienia frazy homepage i zastąp adresy. 3. W OTL uruchom Sprzątanie, a resztę używanych to już ręcznie dokasuj. 4. Wyczyść foldery Przywracania systemu: KLIK. dodatkowo zainstalowałem Secunie, żeby wszystko było na na bieżąco W związku z tym oglądam już nieaktualne dane w logu OTL, bo nie ma w nim śladów Secuni i wiodać starsze wersje programów. no w sumie masz racje pytam o rzeczy oczywiste dla Ciebie, muszę znaleźć czas pooglądać Twoje posty i się zwyczajnie pouczyć Chodzi mi o to, że opis infekcji należy znać, jak działa ten trojan i co robi w systemie. Moje posty to jest wtórna sprawa. . Odnośnik do komentarza
htw Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Gotowe ! Wszystko działa pomyślnie, system został zaktualizowany, secunia zapgrejdowała wszystko do najnowszych wersji, wgrałem najnowszą wersje ArcaVira ( 2012 ), porobiłem logi -AdwCleaner, OTL wykonał ten krótki skrypcik i zaraportował że sukces i sprzątanie na koniec. Na sam koniec użyłem jeszcze dla pewności ( nie żebym nie ufał w Twoją skuteczność bo nigdy sie nie zawiodłem ) od kaspra TDSSKiller'a który pokazałcoś takiego : Uploaded with ImageShack.us dałem Del - reboot - skan ponowny i czysto . Do tego użyłem na sam koniec ( to już chyba 3 koniec ) bo bardzo mi sie spodobał ten sofcik ADWCleaner nie wiem czy słusznie ale pomyślałem że warto. Chroma wywaliłem, po co 10 przeglądarek na jednym kompie no i tyle. Jeśli mogła byś sie odnieść do tego Kaspera to bym prosił bo mnie zastanawia ale wydaje mi sie że to nic poważnego no ale ... btw secuni, zaisntalowałem ją na sam koniec, specjalnie żeby logi nie staraciły na aktualności ( w sesie żeby nie mieszać ) . AdwCleanerR1.txt 12172012_144244.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Na sam koniec użyłem jeszcze dla pewności od kaspra TDSSKiller'a który pokazałcoś takiego : (...) dałem Del - reboot - skan ponowny i czysto. To był błąd. To nie była infekcja, to tylko oznaczenie braku podpisu cyfrowego pliku dla komponentów Hewlett-Packard i ArcSoft. Takich wyników nigdy się nie usuwa bez potwierdzenia czy to rzeczywiste naruszenie, takie wyniki są w większości przypadków normalne. Teraz należy przwrócić co usunąłeś, a że TDSSKiller wywala usługę + plik, czeka Cię reinstalacja oprogramowania. Do tego użyłem na sam koniec ( to już chyba 3 koniec ) bo bardzo mi sie spodobał ten sofcik ADWCleaner nie wiem czy słusznie ale pomyślałem że warto. Skoro go użyłeś, to teraz musisz poprawić. Uruchomienie AdwCleaner ma nieco więcej skutków niż widać w raporcie. Zostały wyzerowane domyślne wyszukiwarki Internet Explorer. Wejdź do opcji i ustaw (zmiana dla bieżącego użytkownika). btw secuni, zaisntalowałem ją na sam koniec, specjalnie żeby logi nie staraciły na aktualności ( w sesie żeby nie mieszać ) Czyli dokładnie na odwrót. Nastąpiły zmiany: nowy program + jeszcze mowa o aktualizacjach = poprzednie logi nie są już "aktualne". . Odnośnik do komentarza
htw Opublikowano 18 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 czyli wszystko na odwrót chciałem dobrze a wyszło jak zwykle ..... tak czy siak peryferia działają bez błędnie, antywirus również, wiec za reinstalacje się nie biorę wszystko działa tip top jak wspomniałem, rookita nie ma to najważniejsze ! Dziękuję bardzo za jak zwykle super profesjonalne podejście do tematu i rozwiązanie problemu.Temat do zamknięcia . Odnośnik do komentarza
Rekomendowane odpowiedzi