Spy.Zbot.ZR , Kryptik.AMIJ - Eset nie może usunąć

[renegat888]

Witam.

 

Od jakiegoś czasu miałem probem z logowaniem sie na konto bankowe, po wejściu na strone i wejściu do panelu logowania pojawiała mi sie biała strona. Na innym komputerze było ok. Stwierdziłem, że to wina przeglądarki, ale nie miałem czasu żeby przeinstalować i sprawdzić. Natomiast wczoraj przypadkiem wszedłem w Menadżer zadań i moim oczom ukazał się dziwny proces, a mianowicie "antie32.exe". Po sprawdzeniu w googlach wyczytałem, że to trojan wyłudzający dane m.in. bankowe również. Zabrałem sie więc za skanowanie komputera gdyż wszyscy w domu korzystają z mojego komputera. Niestety ESET Smart Security5 mial problemy z usunięciem/wyeczeniem 5elementów. W załączeniu Zrzut z Eseta, logi z OTL oraz GMER, a poniżej z Security Check.

 

2013-01-14 23:06:37	Ochrona systemu plików w czasie rzeczywistym	plik	C:\Documents and Settings\SAPER\Dane aplikacji\Mozilla\Firefox\Profiles\luxrgt9e.default\user.js	JS/SecurityDisabler.A.Gen potencjalnie niepożądana aplikacja	wyleczony przez usunięcie - poddany kwarantannie	LAPTOP_KRZYS\SAPER	Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\Program Files\Mozilla Firefox\plugin-container.exe.

2013-01-14 23:06:13 Skaner przy uruchamianiu plik Pamięć operacyjna » explorer.exe(1600) odmiana zagrożenia Win32/Spy.Zbot.ZR koń trojański nie można wyleczyć

2013-01-14 23:05:23 Ochrona systemu plików w czasie rzeczywistym plik C:\Documents and Settings\SAPER\Dane aplikacji\Mozilla\Firefox\Profiles\luxrgt9e.default\user.js JS/SecurityDisabler.A.Gen potencjalnie niepożądana aplikacja wyleczony przez usunięcie - poddany kwarantannie LAPTOP_KRZYS\SAPER Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\Program Files\Mozilla Firefox\firefox.exe.

2013-01-14 23:04:33 Skaner przy uruchamianiu plik Pamięć operacyjna » explorer.exe(1600) odmiana zagrożenia Win32/Spy.Zbot.ZR koń trojański nie można wyleczyć LAPTOP_KRZYS\SAPER

2013-01-14 23:04:31 Skaner przy uruchamianiu plik C:\Documents and Settings\SAPER\Dane aplikacji\Aqnir\abgau.exe odmiana zagrożenia Win32/Kryptik.AMIJ koń trojański wyleczony przez usunięcie - poddany kwarantannie LAPTOP_KRZYS\SAPER

 

log z Security CHeck:

 

Results of screen317's Security Check version 0.99.57

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

ESET Smart Security 5.2

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

xp-AntiSpy 3.97-3

Adobe Flash Player 11.5.502.146

Adobe Reader XI

Mozilla Firefox (18.0)

````````Process Check: objlist.exe by Laurent````````

ESET NOD32 Antivirus egui.exe

ESET NOD32 Antivirus ekrn.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

 

Prosiłbym o przejrzenie logów i pomoc w usunięciu problemu.

Z góry bardzo dziękuję za pomoc i pozdrawiam.

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Natomiast wczoraj przypadkiem wszedłem w Menadżer zadań i moim oczom ukazał się dziwny proces, a mianowicie "antie32.exe". Po sprawdzeniu w googlach wyczytałem, że to trojan wyłudzający dane m.in. bankowe również.

 

Tego nie widzę w raporcie.

 

 

Niestety ESET Smart Security5 mial problemy z usunięciem/wyeczeniem 5elementów.

 

W raporcie OTL nie widać ani folderu C:\Documents and Settings\SAPER\Dane aplikacji\Aqnir infekcji, ani niedomyślnego pliku user.js Firefoxa (jest notatka: "FF - user.js - File not found").

 

 

Ogólnie to ja tu widzę jedynie małe szczątki i żadnych czynnych obiektów. Doczyść:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1060284298-796845957-1606980848-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
IE - HKU\S-1-5-21-1060284298-796845957-1606980848-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O3 - HKU\S-1-5-21-1060284298-796845957-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1060284298-796845957-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\DOCUME~1\SAPER\USTAWI~1\Temp\RarSFX0\drivers\ISODrive.sys -- (ISODrive)
[2013-01-04 12:44:43 | 000,436,736 | R--- | C] () -- C:\WINDOWS\System32\Autoserv.exe
[2012-10-29 23:07:07 | 000,000,003 | ---- | C] () -- C:\Program Files\system.sys
[2005-10-13 08:16:19 | 000,263,178 | -H-- | C] () -- C:\Documents and Settings\SAPER\Dane aplikacji\logs.dat
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść Firefox ze starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[renegat888]

Zanim trafiłem na waszą stronkę ten folder Aqnir usunąłem do kosza recznie i opróżniłem kosz. A jest mozliwość, że OTL nie wykrył tego antie32 bo wywaliłem go z autostartu za pomocą narzedzia systemowego msconfig? W załączeniu logi z OTL i AdwCleaner.

AdwCleanerS1.txt

OTL.Txt

[picasso]

To nie wygląda na wykonane i do wdrożenia:

 

2. Wyczyść Firefox ze starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Poza tym:

 

A jest mozliwość, że OTL nie wykrył tego antie32 bo wywaliłem go z autostartu za pomocą narzedzia systemowego msconfig?

 

OTL nie skanuje domyślnie wpisów wyłączonych przez msconfig, bo to wpisy mało istotne (nieładowane). Skoro robiłeś coś w msconfig, to zaprezentuj co tam jest wyłączone. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s

 

Klik w Look.

 

 

 

.

[renegat888]

Aj przepraszam Przeoczyłem punkt dwa już się poprawiam. Najpierw Firefox, a później AdwCleaner i OTL? Czy teraz najpierw pokazac co jest w MSConfig?

[picasso]

AdwCleaner już nie, wykonane i nie powtórzy akcji. Teraz: reset Firefox i pokaż skan msconfig. O log z OTL poproszę potem.

[renegat888]

ok firefox zrobiony.

SystemLook.txt

[picasso]

Jedziemy z poprawkami, czyli wyrzucenie wpisów infekcji wyłączonych w msconfig + korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Antivirus Microsoft Utility]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Badoo Desktop]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ixryc]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
O4 - HKLM..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe File not found
O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe File not found
O4 - HKLM..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[renegat888]

Wykonane.

OTL.Txt

[picasso]

Zadania wykonane. Zakończenie tematu:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery.

 

C:\Documents and Settings\SAPER\Pulpit\Stare dane programu Firefox

C:\Documents and Settings\SAPER\Pulpit\Stare dane programu Firefox-1

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Nie wiem na ile to aktualne, log OTL Extras wykazywał, że te aplikacje są do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{03CEFC42-378E-4467-9909-DCBAFD38CA9F}" = LibreOffice 3.4
"{5BA16F95-7015-48C1-BBDB-5CBE00D0CE7E}" = OpenOffice.org 2.4
"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Foxit Reader" = Foxit Reader
"Mozilla Firefox 18.0 (x86 pl)" = Mozilla Firefox 18.0 (x86 pl)

 

 

PS. Widzę też na liście zainstalowanych duplikat Gadu-Gadu 7.7 (archaizm, niski poziom bezpieczeństwa) + Gadu-Gadu 10 (reklamodawczy potwór). Proponuję obejrzenie jednej z alternatyw: WTW, Kadu, Miranda, AQQ. Opisy komunikatorów: KLIK.

 

 

 

 

.