grzegorzEn Opublikowano 18 Stycznia 2013 Zgłoś Udostępnij Opublikowano 18 Stycznia 2013 Witam Moj komputer zainfekował ukash. Po zablokowaniu komputera przez wirus uruchomiłem go w trybie awaryjnym i z niewiedzy użyłem combofixa polecanego jako złoty środek na jednym z "forów". Po zastosowaniu combofixa komputer uruchomiłem w normalnym trybie i przeskanowalem za pomocą avasta który nic nie wykrył (a wcześniej przy infekcji nie zareagował). Do tej pory komputer wydaje się działać bez zarzutów jedyny objaw to dłuzsze uruchamianie systemu po włączeniu komputera. Po przeczytaniu na fixitpc.pl czym jest combofix trochę sie przerazilem. Wykonałem niezbędne logi i prosze o pomoc. Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 30 Java 7 Update 9 Java version out of Date! Adobe Flash Player 11.5.502.146 Adobe Reader 10.1.4 Adobe Reader out of Date! Mozilla Firefox (18.0) ````````Process Check: objlist.exe by Laurent```````` AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` użyłem programu defogger disable (jezeli bedzie trzeba usunę DAEMON tools lite) oto raport: defogger_disable by jpshortstuff (23.02.10.1) Log created at 18:15 on 18/01/2013 (Grzela) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. HKCU:DAEMON Tools Lite -> Removed Checking for services/drivers... -=E.O.F=- OTL.Txt Extras.Txt GMER.txt log.txt Odnośnik do komentarza
picasso Opublikowano 19 Stycznia 2013 Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 ComboFix prawie wszystko usunął, z wyjatkiem jednego pliku, ale ten w OTL ma dziwny odczyt z "not found": File not found -- C:\ProgramData\dsgsdgdsgdsgw.js Na razie tego pliku nie ruszę, sprawdzę jak to widzi nowy skan OTL. Poza tym są tu szczątki po McAfee, czy przypadkiem nie masz problemu z gadżetami systemu (wywietlane jako puste)? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK IE - HKU\S-1-5-21-1566580620-4291641482-2803883181-1000\..\SearchScopes\{2EAD5FA4-03C2-4CF5-B758-E310ACA296BB}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=412BAB01-0D00-4EEA-8AFB-090160F8BCDC&apn_sauid=680DD670-E168-439C-8FFD-7567D8B392C8" O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll File not found O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll File not found O3 - HKU\S-1-5-21-1566580620-4291641482-2803883181-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-21-1566580620-4291641482-2803883181-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I jeszcze skan pod kątem McAfee, uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 Klik w Look. . Odnośnik do komentarza
grzegorzEn Opublikowano 19 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 Dziekuje.Z gadżetami jest coś nie tak -kiedy probuje którys uruchomić wyświetla się mała ikona z którą w sumie nic nie można zrobić tylko zamknąć. oto co otrzymałem: OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 Skrypt wykonany. Tego pliku C:\ProgramData\dsgsdgdsgdsgw.js infekcji rzeczywiście już nie widać. Natomiast gadżety są uszkodzone, ponieważ McAfee + starszy Avast nie zostały w pełni odinstalowane i nadal przejmują kontrolę nad skryptami Windows: [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32]@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32]@="C:\Program Files\AVAST Software\Avast\AhAScr.dll""ThreadingModel"="Both""Default Engine"="C:\windows\SysWow64\jscript.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32]@="C:\Program Files\AVAST Software\Avast\AhAScr.dll""ThreadingModel"="Both""Default Engine"="C:\windows\SysWow64\jscript.dll" 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > po kolei wklej te komendy (po każdej ENTER): regsvr32 jscript.dll regsvr32 jscript9.dll regsvr32 vbscript.dll C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWOW64\jscript.dll C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWOW64\vbscript.dll 2. Zresetuj system i zrób nowe szukanie SystemLook na warunki: :reg HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32 . Odnośnik do komentarza
grzegorzEn Opublikowano 22 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 dzięki Picasso Plik C:\ProgramData\dsgsdgdsgdsgw.js w którymś momencie wychwycił avast znajduje się w kwarantannie- czy powinienem coś z tym zrobić? SystemLook2.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2013 Zgłoś Udostępnij Opublikowano 24 Stycznia 2013 Plik C:\ProgramData\dsgsdgdsgdsgw.js w którymś momencie wychwycił avast znajduje się w kwarantannie- czy powinienem coś z tym zrobić? Dlatego pewnie plik "znikał" z raportu OTL i pierwszy log był zrobiony z momentu gdy usuwanie się już odbywało. Skoro Avast plik usunął, to OK, możesz sobie wypróżnić kwarantannę i tyle. Rejestracje plików załatwiły większość, ale pozostały te dwa wpisy: [HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" Cytuję co należy zrobić z tym: 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wyszukaj klucze: HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} Z prawokliku pobierz Uprawnienia. Jako Właściciela przestaw z TrustedInstaller na Administratorów, następnie na liście zaznacz Administratorów i przyznaj im Pełną kontrolę. Porównawczo materiał: KLIK. 2. Wejdź do podklucza: HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 Dwuklik na wartość (Domyślną) i zamień ścieżkę na C:\Windows\system32\vbscript.dll. Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 Dwuklik na wartość (Domyślną) i zamień ścieżkę na C:\Windows\SysWOW64\vbscript.dll. 3. Podaj skan SystemLook na warunki: :reg HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32 . Odnośnik do komentarza
grzegorzEn Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Przepraszam Picasso za tak późną reakcję ale dopiero wróciłem z urlopu załączam skan SystemLook3.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 [HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Windows\system32\vbscript.dll.""ThreadingModel"="Both" Pierwszy klucz źle zedytowany. Wstawiłeś w ścieżce dostępu kropkę na końcu, tam nie ma kropki, to był w poście mój koniec zdania a nie część komendy. [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121121213652.dll""ThreadingModel"="Both" Drugi klucz w ogóle nie zedytowany. To jest inny klucz niż ten u góry, 32-bitowy. Powtarzaj zadanie i zaprezentuj nowy skan SystemLook na te same warunki, które zadawałam wcześniej. . Odnośnik do komentarza
grzegorzEn Opublikowano 2 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2013 Ups przepraszam, teraz powinno być dobrze: SystemLook 30.07.11 by jpshortstuffLog created at 13:34 on 02/02/2013 by GrzelaAdministrator - Elevation successful========== reg ==========[HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Windows\system32\vbscript.dll""ThreadingModel"="Both"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]@="C:\Windows\SysWOW64\vbscript.dll""ThreadingModel"="Both"-= EOF =-Czy to już wszystko Picasso? Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2013 Zgłoś Udostępnij Opublikowano 2 Lutego 2013 Nie wspominasz o gadżetach, czy wróciły do normy. Na zakończenie: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio uruchamiany z nieistniejącej już ścieżki G:\ComboFix.exe. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Grzela\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj katalog C:\Windows\erdnt. 2. Raporty wykazywały, że te programy wymagają aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.4) MUI"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll ( Microsoft Corporation) Czyli deinstalacja wszystkich Java i Silverlight, aktualizacja Skype, instalacja SP1 dla Office 2010: KLIK. . Odnośnik do komentarza
grzegorzEn Opublikowano 5 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2013 Z gadżetami już wszystko w porządku . Po uruchomieniu instalki sp1 dla office wyświetla się komunikat "w tym systemie brak produktów , których dotyczy ta poprawka" - nie kupowałem office właściwie jest mi nieznanego pochodzenia (zainstalowany przez kumpla) może to przyczyna? Tak czy inaczej dziękuje za wszystko jeśli to wszystko Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2013 Zgłoś Udostępnij Opublikowano 5 Lutego 2013 Po uruchomieniu instalki sp1 dla office wyświetla się komunikat "w tym systemie brak produktów , których dotyczy ta poprawka" - nie kupowałem office właściwie jest mi nieznanego pochodzenia (zainstalowany przez kumpla) może to przyczyna? Czy pobrałeś instalator we właściwej wersji językowej? . Odnośnik do komentarza
grzegorzEn Opublikowano 18 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2013 przepraszam za późną reakcję, tak ściągałem wersje polską i angielską w w obu przypadkach to samo Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 A czy przypadkiem tu nie chodzi o bity? Twój główny Office jest 32-bitowy i należy pobrać Service Pack 32-bit (x86) a nie 64-bit. Tu wyciąg z listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010"{90140000-002A-0415-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (Polish) 2010 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010"{90140000-0015-0415-0000-0000000FF1CE}" = Microsoft Office Access MUI (Polish) 2010"{90140000-0016-0415-0000-0000000FF1CE}" = Microsoft Office Excel MUI (Polish) 2010"{90140000-0018-0415-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (Polish) 2010"{90140000-0019-0415-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (Polish) 2010"{90140000-001A-0415-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (Polish) 2010"{90140000-001B-0415-0000-0000000FF1CE}" = Microsoft Office Word MUI (Polish) 2010"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010"{90140000-001F-0415-0000-0000000FF1CE}" = Microsoft Office Proof (Polish) 2010"{90140000-002C-0415-0000-0000000FF1CE}" = Microsoft Office Proofing (Polish) 2010"{90140000-0044-0415-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (Polish) 2010"{90140000-006E-0415-0000-0000000FF1CE}" = Microsoft Office Shared MUI (Polish) 2010"{90140000-00A1-0415-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (Polish) 2010"{90140000-00BA-0415-0000-0000000FF1CE}" = Microsoft Office Groove MUI (Polish) 2010"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 . Odnośnik do komentarza
Rekomendowane odpowiedzi