rudzik Opublikowano 4 Stycznia 2013 Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 witam, mój komp został zablokowany przez wirus "policyjny". Usunąłem go doraźnie za pomocą (niestety) ComboFix. Od tego czasu przy starcie pojawia się znany komunikat: "Wystąpił błąd podczas ładowania ..... wgsdgsdgdsgsd.dll" Mam prośbę o pomoc w dokończeniu dezynfekcji. Dołączam logi ComboFix.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Na przyszłość na temat używania ComboFix: KLIK. Zostały jeszcze szczątki infekcji oraz adware do usunięcia. 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, vShare.tv plugin 1.3. Otwórz Google Chrome: w Rozszerzeniach powtórz deinstalację vShare, \w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a po tym usuń z listy Web Search. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\mtbjfghn.xbe :OTL IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0c594fd8-2972-11e1-9e0f-b2d09b0761be&q={searchTerms}" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searchTerms}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{72D1228C-01B6-4A90-B1B0-3D2D2AB28EBA}: "URL" = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ACAW_plPL354PL354" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{89937B0C-9A3B-4D06-8C2D-DD0E97697F7F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=45C06B6A-0D28-44FF-BC4B-3E15C33965CF&apn_sauid=E6C8D05C-42EA-4E10-82D9-2CAF11A22C56" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={5421EC95-5341-4BC1-A329-1C7A7F8D91D3}&mid=87c29328a7f947d087cd66b48b50748c-69e74fe4f287c99c177e21699d039a66538b8517&lang=pl&ds=gm011&pr=sa&d=2012-03-19 18:38:31&v=10.2.0.3&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\SearchScopes\{082077A4-8B71-412E-8932-6B3E374D535E}: "URL" = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ACAW_plPL354PL354" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW" IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\SearchScopes\{B571D942-B877-45BD-9518-90D3913F6B1E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=45C06B6A-0D28-44FF-BC4B-3E15C33965CF&apn_sauid=E6C8D05C-42EA-4E10-82D9-2CAF11A22C56&" O3 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001..\Run: [ahhzdurmjlhsiwl] C:\ProgramData\ahhzdurm.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jacek\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
rudzik Opublikowano 9 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 dzięki za odpowiedź. Dołączam logi po wykonaniu poniższych działań. Ten komunikat RunDLL ".... wgsdgsdgdsgsd.dll" nadal się pojawia przy starcie. AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Cytat Ten komunikat RunDLL ".... wgsdgsdgdsgsd.dll" nadal się pojawia przy starcie. Czy na pewno to ma miejsce po ponownym restarcie systemu? Jeśli tak, to ja w raporcie OTL nie widzę oczywistego wpisu infekcji. 1. Zastanawia mnie to, czy znasz te obiekty: ========== Modules (No Company Name) ========== MOD - [2010-03-24 12:19:01 | 000,528,384 | ---- | M] () -- C:\Users\jacek_2\Ustawienia\USBAudio2.exeMOD - [2010-03-24 11:28:20 | 000,507,392 | ---- | M] () -- C:\Users\jacek_2\Ustawienia\USBAudio.exeMOD - [2010-02-09 22:37:45 | 000,217,168 | ---- | M] () -- C:\Users\jacek_2\Ustawienia\directxcc.dll O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1000..\Run: [uSBAudio] C:\Users\Jacek\Ustawienia\USBAudio.exe ()O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001..\Run: [uSBAudio] C:\Users\jacek_2\Ustawienia\USBAudio.exe () 2. Czy log z OTL jest z właściwego konta? Logi zawsze muszą być robione z poziomu konta na którym jest problem. Widzę jako zalogowane konto Jacka, ale na dysku są dwa foldery kont wskazujące na dwa konta: Jacek + jacek_2. Jeśli problem występuje na innym koncie niż to z którego logi OTL robiłeś, to musisz przelogować się na drugie konto i zrobić nowe logi OTL. 3. Podaj dodatkowy skan. Tzn. uruchom SystemLook i w oknie wklej: :regfind wgsdgsdgdsgsd . Odnośnik do komentarza
rudzik Opublikowano 9 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 komunikat o błędzie ładowania RunDLL pojawia się nadal na koncie zablokowanym przez wirus czyli User'a (jacek_2), na koncie Admina (Jacek) ten komunikat się nie pojawia. ComboFix był uruchomiony z konta Admina. ad 1: niestety nie wiem skąd się wzięły te aplikacje. ad 2: potwierdzam, że wszystkie dołączone przeze mnie logi były robione z poziomu konta zaatakowanego czyli jacek_2 (User) ad 3: to jest skan z SystemLook: SystemLook 30.07.11 by jpshortstuff Log created at 17:43 on 09/01/2013 by Jacek Administrator - Elevation successful ========== regfind ========== Searching for "wgsdgsdgdsgsd" No data found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Cytat ad 1: niestety nie wiem skąd się wzięły te aplikacje. Nie wiem co to jest. Podaj mi kompletny skan katalogów Ustawienia. Do SystemLook wklej: :dir C:\Users\Jacek\Ustawienia /s C:\Users\jacek_2\Ustawienia /s Cytat ad 2: potwierdzam, że wszystkie dołączone przeze mnie logi były robione z poziomu konta zaatakowanego czyli jacek_2 (User) Wprawdzie widać w procesach, że narzędzia typu OTL startowałeś z folderu jacek_2, ale jako zalogowany użytkownik stoi Jacek o uprawnieniach Administratora: Computer Name: JACEK-LAPTOP | User Name: Jacek | Logged in as Administrator. Tak może być, jeśli OTL zażądał podnieniesia uprawnień, zmienia się kontekst zalogowanego konta... Z innej strony. Zaloguj się na jacek_2, nie uruchamiaj OTL, w Windows Explorer ręcznie sprawdź katalog Autostartu. W pasku adresów wklej ścieżkę i ENTER: C:\Users\jacek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Sprawdź czy widać tam plik o przypuszczalnej nazwie runctf.lnk. . Odnośnik do komentarza
rudzik Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 teraz zmieniłem ustawienia konta User (jacek_2) ze standardowych na administrator, więc uruchamiane programy działają teraz rzeczywiście na koncie zainfekowanym czyli jacek_2. Dołączam nowy skan OTL i SystemLook oraz raport z Adwcleaner. W katalogu Autostart widać plik runctf SystemLook 30.07.11 by jpshortstuff Log created at 10:38 on 10/01/2013 by jacek_2 Administrator - Elevation successful ========== regfind ========== Searching for "wgsdgsdgdsgsd" No data found. -= EOF =- AdwCleanerS2.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Podałeś mi zły log z SystemLook, ten stary. Tamto szukanie już nieaktualne. Teraz masz wykonać dla: :dir C:\Users\Jacek\Ustawienia /s C:\Users\jacek_2\Ustawienia /s Cytat teraz zmieniłem ustawienia konta User (jacek_2) ze standardowych na administrator, więc uruchamiane programy działają teraz rzeczywiście na koncie zainfekowanym czyli jacek_2.Dołączam nowy skan OTL i SystemLook oraz raport z Adwcleaner. W katalogu Autostart widać plik runctf Tak, teraz po zmianie uprawnień konta w logu widać plik infekcji o którym mówiłam: [2012-12-24 18:52:53 | 000,000,892 | ---- | M] () -- C:\Users\jacek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk Czyli lecimy poprawką: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\jacek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{1B982DBD-C7FD-4AD2-9344-2A1DF2BD4F39}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{1B982DBD-C7FD-4AD2-9344-2A1DF2BD4F39}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z SystemLook, o którym mówiłam. . Odnośnik do komentarza
rudzik Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 po tej poprawce komunikat RunDLL już się nie pojawia dołączam logi OTL.TxtPobieranie informacji ... SystemLook.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 1. O ile skrypt wykonany i "policja" załatwiona, to nie dają mi spokoju te "Ustawienia" z "USBAudio" uruchamiane na obu jackowych kontach. Dir katalogów jest podejrzany, są tam jakieś pliki JPG, które sugerują zrzuty ekranu (?). Otwórz po kolei te obrazki i powiedz mi co na nich jest: C:\Users\jacek_2\Ustawienia\Microsoft\Windows d------ [16:41 04/06/2010]2013_01_10__15_17_19.jpg --a---- 29326 bytes [14:17 10/01/2013] [14:19 10/01/2013]2013_01_10__15_17_53.jpg --a---- 30536 bytes [14:17 10/01/2013] [14:19 10/01/2013]2013_01_10__15_18_23.jpg --a---- 33688 bytes [14:18 10/01/2013] [14:20 10/01/2013]2013_01_10__15_18_54.jpg --a---- 57625 bytes [14:18 10/01/2013] [14:20 10/01/2013] 2. W Google Chrome pozostała wtyczka vShare: ========== Chrome ========== CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\jacek_2\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll Usunięcie tego wymaga edycji kodu pliku preferencji. Skopiuj na Pulpit ten plik: C:\Users\jacek_2\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link. Plik zedytuję i odeślę z powrotem. . Odnośnik do komentarza
rudzik Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 1. Picasso, obawiam się że wykryłaś rzeczywiście podejrzaną sprawę w tym katalogu Ustawienia, dzieją się w nim dziwne rzeczy. Otóż: - tych jpegów które podałaś (z datą wczorajszą) już nie ma - pojawiły się natomiast nowe o tej samej strukturze nazwy, z datą dzisiejszą. Są to zrzuty z ekranu - gdy jestem podłączony do Internetu, wtedy zawartość tego katalogu zmienia się dynamicznie, pliki znikają i pojawiają się nowe. Gdy odłączam się od netu, zawartość się nie zmienia - przez jakiś czas dziś rano w tym katalogu był też widoczny plik Firefox HTML Document. Były w nim zapisane dokładnie wszystkie moje działania na kompie od włączenia dziś rano. Niestety nie zdążyłem zrobić skanu SystemLook'iem 2. tu jest plik Preferences: http://chomikuj.pl/jacekmajewski6/Dokumenty/Preferences,2304962975 Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Wszystko wskazuje na to, że jest to szpieg / logger danych, a katalog "Ustawienia" o nazwie polskiej sugeruje "produkcję polską"... Definitywnie usuwamy to. Przeprowadź kolejne działania: 1. Przesyłam zedytowany plik Google Chrome zapakowany do ZIP: KLIK. Zamknij przeglądarkę (nie może być uruchomiona podczas zamiany plików!) i podmień pliki. Po podmianie uruchom Google Chrome i sprawdź czy przyjął plik, tzn. nie wyrzuca żadnych błędów przy starcie. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1000..\Run: [uSBAudio] C:\Users\Jacek\Ustawienia\USBAudio.exe () O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001..\Run: [uSBAudio] C:\Users\jacek_2\Ustawienia\USBAudio.exe () :Files C:\Users\Jacek\Ustawienia C:\Users\jacek_2\Ustawienia :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
rudzik Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 zrobione. 1. Google Chrome po zamianie pliku działa OK. 2. Katalogów Ustawienia już nie ma. 3. Dołączam skan OTL. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Wszystko zrobione. Nic więcej szkodliwego nie widzę. Przejdź do tej części zadań: 1. Odinstaluj ComboFix w prawidłowy sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\jacek_2\Documents\instalki\ComboFix.exe /uninstall Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Zrób pełne skanowanie w posiadanym Malwarebytes Anti-Malware. Upewnij się, że ma zaktualizowane bazy. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
rudzik Opublikowano 12 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Wszystko zrobione. Temat do zamknięcia. Serdecznie Ci dziękuję Picasso za skuteczną pomoc ! Jestem pełen podziwu i szacunku nie tylko dla Twojej wiedzy. Tak dokładna i cierpliwa może być chyba tylko kobieta Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Na koniec jeszcze aktualizuj programy. Wyrzuć starsze Adobe / Java, zaktualizuj IE / Operę i FileZillę. Wg raportu obecnie masz zainstalowane: Internet Explorer (Version = 8.0.6001.19393) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 30"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 10"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Opera 11.61.1250" = Opera 11.61 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-2487343376-848037089-3105925282-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"FileZilla Client" = FileZilla Client 3.5.3 Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi