System Progressive Protection + infekujący link w formie hxxp

[domiskra]

Witam ponownie (półtora miesiąca temu ukash --> dzięki Picasso pokonany )

 

tym razem inne świństwo, jak w temacie. infekcja po odwiedzeniu strony ( podaję nieaktywnego linka ):

 

hxxp://downloads.ziddu.com/downloadfiles/20503589/Phoenix_Service_Software_2012.36.001.48629_Cracked.exe

 

padł mi telefon i chciałem wymienić soft Phoenixem.

 

infekcja na koncie "Rodzice", wszystkie logi z poziomu tego konta w trybie awaryjnym z obsługą sieci, proszę o pomoc, podziękuję najlepiej jak umiem

 

I przepraszam, że zawracam głowę podczas Świąt Bożego Narodzenia

 

 

a oto log z Security Check:

 

Results of screen317's Security Check version 0.99.56

Windows Vista Service Pack 2 x86 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Java™ 6 Update 24

Java version out of Date!

Adobe Flash Player 11.5.502.110

Adobe Reader 8 Adobe Reader out of Date!

Mozilla Firefox 15.0.1 Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C: %

````````````````````End of Log``````````````````````

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

infekcja na koncie "Rodzice", wszystkie logi z poziomu tego konta w trybie awaryjnym z obsługą sieci

 

My tu znów mamy przeboje z układem kont, bo log pokazuje jako zalogowane:

 

Computer Name: DOMINIK_MŁODY | User Name: Dominik | Logged in as Administrator.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2651693254-233013980-3163538551-1001..\RunOnce: [547FA78775198C980000547F530F940A] C:\ProgramData\547FA78775198C980000547F530F940A\547FA78775198C980000547F530F940A.exe ()
 
:Files
C:\ProgramData\547FA78775198C980000547F530F940A
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie, więc opuść Tryb awaryjny.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[domiskra]

My tu znów mamy przeboje z układem kont, bo log pokazuje jako zalogowane:

 

ale chyba trudno tego uniknąć, bo przy włączaniu pewnego typu plików na każdym koncie włącza się kontrola konta użytkownika skutkująca koniecznością wpisania hasła (na koncie adm tylko przycisk "kontynuuj"). być może to się da zmienić w ustawieniach tej kontroli konta użytkownika, bądź ową kontrolę całkiem wyłączyć..

 

ale do meritum: objawy infekcji ustąpiły, wyjątkowo sporo miejsca na dysku C się zwolniło, wklejam raport bez extras, proszę o ew. dalsze wskazówki

 

P.s. cieszę się, że cierpliwie na Ciebie poczekałem

P.s.2.nie rozumiem jednej rzeczy: komunikat po użyciu skryptu mówił m.in. że usunięto pliki temp i cache z mozilli, a w mozilli nadal jest widoczna historia, podswietlone są linki - znaczy się, cookies nadal są? (myślałem że się usuwają łącznie z cache - za ew. gafę z góry przepraszam )

OTL.Txt

[picasso]

ale chyba trudno tego uniknąć, bo przy włączaniu pewnego typu plików na każdym koncie włącza się kontrola konta użytkownika skutkująca koniecznością wpisania hasła (na koncie adm tylko przycisk "kontynuuj").

 

Tak tak. Ja tylko komentuję, że znowu mamy zmieniony kontekst konta, bo niestety OTL wymaga podniesienia uprawnień. To oznacza niezbyt wierne środowisko. I nie da się nic z tym zrobić bez mocniejszych modyfikacji. Pobór dokładnych danych nastąpiłby, gdybyś tymczasowo na czas skanu i operacji zmienił typ uprawnień konta Rodzice na administracyjne. Tu dla porównania cieplutki temat na forum jak zmiana uprawnień wpływa na widoczność elementów w logu: KLIK.

 

 

P.s.2.nie rozumiem jednej rzeczy: komunikat po użyciu skryptu mówił m.in. że usunięto pliki temp i cache z mozilli, a w mozilli nadal jest widoczna historia, podswietlone są linki - znaczy się, cookies nadal są? (myślałem że się usuwają łącznie z cache - za ew. gafę z góry przepraszam )

 

Ale procedura [emptytemp] czyści to co powiedziane: temp / cache. Nie rusza Ciastek i Historii Firefoxa, to są inne sfery. Poza tym, Cookies Firefoxa nie występują jako separowane pliki, jest to wspólna baza danych i OTL nie ma żadnej wbudowanej możliwości operacji na bazie SQLite: KLIK. Ciasteczka i Historię wyczyść po prostu wprost z opcji Liska.

 

 

---

Widoczne elementy infekcji usunięte. Teraz:

 

1. W OTL uruchom Sprzątanie, które ma skasować z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (wybierz wersję darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[domiskra]

OTL sprzątnięte, punkty przywracania usunięte, utrzorzyłem ręcznie nowy (może niepotrzebnie - bo malware skaner znalazł dwa trojany- Ransoma ANC i Agenta, załączam raport z tego skanowania. Dodatkowo niepokoi mnie jeden folder, który składa się z kilkudziesięciu chyba innych (nie można do nich wejść jest odmowa dostępu), a który ma dziwne nazwy numeryczne i nie daje się usunąć nawet z konta administratora - bezpośrednia ścieżka do folderu: D:/932d47c094e06ff72c675c9b , folder ten zawiera m.in takie pliki, jak setup.exe, Parameterinfo.xml, Splashscreen.bmp itp.

MBAM-log-2013-01-12 (16-52-11).txt

[picasso]

Pierwszy: false alarm. Drugi: resztka po poprzedniej infekcji blokującej system (w logu OTL tego nie widać) i do usunięcia.

 

 

Dodatkowo niepokoi mnie jeden folder, który składa się z kilkudziesięciu chyba innych (nie można do nich wejść jest odmowa dostępu), a który ma dziwne nazwy numeryczne i nie daje się usunąć nawet z konta administratora - bezpośrednia ścieżka do folderu: D:/932d47c094e06ff72c675c9b , folder ten zawiera m.in takie pliki, jak setup.exe, Parameterinfo.xml, Splashscreen.bmp itp.

 

Te foldery o losowych nazwach to odpadki po aktualizacjach Windows, miejsce tymczasowe gdzie są ekstraktowane łaty przed rozpoczęciem instalacji właściwej. Foldery są tworzone zawsze na partycji z największą ilością wolnego miejsca, czyli niekoniecznie na C. Są zablokowane na bazie uprawnień. Usunąć w ramach kosmetyki je można, ale przed usuwaniem należy zresetować im uprawnienia przejmując je na własność + przyznając dla swojego konta Pełną kontrolę: KLIK.

 

 

 

.

[domiskra]

resztka po infekcji usunięta, kosmetyka w kwestii aktualizacji również zrobiona (aczkolwiek musiałem przez wiersz poleceń, ponieważ metoda pierwsza nie dawała rezultatu mimo ponawiania (nie tylko z jednego konta). To znaczy że już wszystko? czy coś jeszcze byś zaleciła?

[picasso]

1. Na zakończenie aktualizacje: KLIK. Wg raportów są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1701765B-6D93-43C6-A835-DD423517581F}" = OpenOffice.org 3.2
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 24
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()

 

2. Rozważ odmienny rodzaj zabezpieczenia (wirtualne środowisko / sandbox) np.: SandBoxie, GeSWall Freeware.

 

 

A o Gadu-Gadu 10 już Ci mówiłam w poprzedni temacie.

 

 

.

[domiskra]

ok, to wszystko poaktualizuję, gg też się wreszcie zajmę (brak organizacji czasu przy dwóch kierunkach studió - aż mi wstyd )

 

2. Rozważ odmienny rodzaj zabezpieczenia (wirtualne środowisko / sandbox) np.: SandBoxie, GeSWall Freeware.

 

odmienny od czego? od konwencjonalnego antywirusa? czy zapory windows? bo niestety innych nie posiadam na chwilę obecną :/

 

office nie mogę zaktualizować z wiadomych "względów"... chciałbym przy tym zaznaczyć że to jedyna "sama-wiesz-dlaczego" nie mogąca z tego tytułu podlegać aktualizacji rzecz, który mam na kompie

 

oczywiście zastosuję też sandboxie

[picasso]

odmienny od czego? od konwencjonalnego antywirusa? czy zapory windows? bo niestety innych nie posiadam na chwilę obecną :/

 

Od obydwu. To zupełnie inny rodzaj zabezpieczenia. Program (np. przeglądarka) uruchamiany przez piaskownicę, co oznacza, że infekcja wykona modyfikację nietrwałą w sferze zwirtualizowanej. Reset środowiska i infekcji "nie było".

 

 

office nie mogę zaktualizować z wiadomych "względów"...

 

Ale te "względy" nie powinny bruździć przy instalacji paczki SP3 dla Office, pobranej w formie pełnego instalatora. Chyba że nie rozumiem o czym mówisz...

 

 

 

.

[domiskra]

ok, szkoda nie wcześniej nie słyszałem o "piaskownicy"...

 

dobrze rozumiesz to jeszcze tylko się spytam dla upewnienia - to jest ten pełny instalator, o którym wspomniałaś? "OfficeXpSp3-kb832671-fullfile-plk.exe" - z: http://www.microsoft.com/pl-pl/download/details.aspx?id=23334

[picasso]

Podajesz link do paczki dla Office XP, a wg raportu jest zainstalowana wyższa edycja Office Professional Edition 2003. Czyli paczka to: KLIK (przestaw na odpowiedni język w jakim jest Office).

 

 

 

.

[domiskra]

faktycznie, jestem ślepy ale tej wersji, którą podałaś, nie chce zainstalować, wyskakuje komunikat: "ta aktualizacja została już zainstalowana, lub jest częścią aktualizacji, która już została zaistalowana" , co zrobić z tym fantem?

[picasso]

Może ten Office już ma zainstalowany Service Pack, log OTL nie jest aż tak dokładny. Sprawdź szczegółowo wersję posiłkując się: KB821549.

 

 

 

.