Skocz do zawartości

Malware w rejestrze?


Rekomendowane odpowiedzi

Witam. Zainstalowałem niedawno Advanced System Optimizer3 zawierający narzędzie System Protector (skanowanie i usuwanie infekcji).

Przeprowadziłem nim skanowanie i w efekcie wynalazł mi w rejestrze sporą liczbę malware. Przeprowadziłem skanowanie innymi skanerami (MBAM, Hitman Pro, NIS czy Dr.Web) i nic nie wykazały. Jedyne malware znalezione w folderze pewnego konwertera wideo (już odinstalowany) wrzuciłem na VT i też nic nie pokazało. ASO3 uchodzi za jeden z lepszych "kombajnów" i chciałbym mieć pewność czy można zaufać jego wskazaniom, czy po prostu sypie FP. Jeśli byłaby taka możliwość, to prosiłbym o sprawdzenie logów.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach OTL brak oznak infekcji.

 

 

Zainstalowałem niedawno Advanced System Optimizer3 zawierający narzędzie System Protector (skanowanie i usuwanie infekcji).

Przeprowadziłem nim skanowanie i w efekcie wynalazł mi w rejestrze sporą liczbę malware.

(...)

ASO3 uchodzi za jeden z lepszych "kombajnów" i chciałbym mieć pewność czy można zaufać jego wskazaniom, czy po prostu sypie FP.

 

W skaner ten to nie pokładałabym zbytniej wiary, moduł detekcji malware jest niejako podrzędny. To co zostało wykryte to nic szczególnego i nie jest to nawet malware per se. To mi wygląda na fałszywy alarm:

 

Item Name malware.gen-20120530 

Category Generic Malware

Threat Level High

Action Performed NoActionTaken

Items Found 1

Found Area FileSystem

Details File Name c:\program files (x86)\leawo\flv converter\cocoa.dll

MD5 0

Signature 8306047053521480701

Md5hash: d3895a46e113a4c15744c8ed191ab440

 

Pozostałe wyniki to polityki, które odpowiadają za blokadę określonych funkcji w Windows. Blokada może pochodzić z rozmaitych źródeł: robota ręczna użytkownika, tweaker oraz malware. Źródło jest nie do ustalenia precyzyjnie, jeśli nie ma żadnych jawnych oznak infekcji. Te wyniki w OTL widać jako wpisy O6 / O7 kierujące na klucze Policies. Wszystko jest na zerze, co oznacza że polityki nie są w ogóle aktywne. Co więcej, ten zestaw wpisów sugeruje, że ich obecność nie jest wynikiem malware lecz zupełnej odwrotności i błędej operacji jakiegoś "naprawiacza".To wygląda jakby uruchamiano jakieś narzędzie resetujące blokady, które zrobiło to w sposób nie do końca poprawny przez ustawianie na zero zamiast wpisy całkowicie usuwać. Nie wykluczam, że wpisów nawet wcześniej nie było i zostały w całości dodane przez to tajemnicze narzędzie. Te wpisy domyślnie nie są w ogóle obecne w systemie. Podobnie zresztą z wpisami O29, wygląda jakby coś resetowało wpisy na zgodne z XP a nie Windows 7. Usuń to wszystko, włącznie z resztkami po IDM (nie wygląda na zainstalowany):

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Security Center]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Windows]
[-HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"NoDispBackgroundPage"=-
"NoDispSettingsPage"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\mrt]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\windowsupdate]
 
:OTL
O3 - HKU\S-1-5-21-248854557-3209024503-3998099355-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O8:64bit: - Extra context menu item: Ściągnij przez IDM - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: Ściągnij wszystkie linki przez IDM - Reg Error: Value error. File not found
O8 - Extra context menu item: Ściągnij przez IDM - Reg Error: Value error. File not found
O8 - Extra context menu item: Ściągnij wszystkie linki przez IDM - Reg Error: Value error. File not found
O29:64bit: - HKLM SecurityProviders - (msapsspc.dll) -  File not found
O29:64bit: - HKLM SecurityProviders - (digest.dll) -  File not found
O29:64bit: - HKLM SecurityProviders - (msnsspc.dll) -  File not found
O29 - HKLM SecurityProviders - (msapsspc.dll) -  File not found
O29 - HKLM SecurityProviders - (digest.dll) -  File not found
O29 - HKLM SecurityProviders - (msnsspc.dll) -  File not found
O35 - HKU\S-1-5-21-248854557-3209024503-3998099355-1000..exefile [open] -- "%1" %*
O37 - HKU\S-1-5-21-248854557-3209024503-3998099355-1000\...exe [@ = exefile] -- "%1" %*
DRV:64bit: - [2012-11-22 01:43:14 | 000,165,112 | ---- | M] (Tonec Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\idmwfp.sys -- (IDMWFP)
[2013-01-23 12:42:18 | 000,000,145 | ---- | M] () -- C:\windows\SysWow64\91207717.sys
[2013-01-19 13:21:58 | 000,035,376 | ---- | M] (Emsisoft) -- C:\windows\SysNative\drivers\oanet.sys

 

Klik w Wykonaj skrypt.

 

2. W systemie są notowalne obiekty McAfee, który nie wygląda na zainstalowany. Przejdź w Tryb awaryjny Windows i zastosuj McAfee Consumer Product Removal Tool.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

Odnośnik do komentarza

Miałem kłopot w trybie awaryjnym z tymi resztkami po McAfee (wcześniej usuwałem to oprogramowanie przy pomocy ich płyty instalacyjnej, a mimo to coś zostało), ale w normalnym trybie programik się uruchomił. Faktycznie, resztówki po źle odinstalowanym trialu IDM też były.

Jeśli chodzi o moduł ASO3 - System Protector, to tak na 90% podejrzewałem, że to falszywka - zwłaszcza jak teraz o tym trochę poczytałem na paru forach.

 

 

Odnośnik do komentarza

Zadania pomyślnie wykonane. Zniknęły wszystkie wpisy nadwyżkowe. Jest jednak drobne "ale". W Twoim logu aktualnie widać tylko tę politykę (ustawiałam ręcznie w skrypcie):

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255

 

W moim zaś (ustawienia domyślne Windows 7):

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

 

Brak widoczności wpisów ConsentPrompt* może sugerować naruszenie w kluczu Policies w rozumieniu braku wpisów, które akurat powinny być. Dodaj mi skan dodatkowy dla pewności. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /s

 

Klik w Look.

 

 

Jeśli chodzi o moduł ASO3 - System Protector, to tak na 90% podejrzewałem, że to falszywka - zwłaszcza jak teraz o tym trochę poczytałem na paru forach.

 

Jeśli chodzi o te polityki, to słowo "fałszywka" nie zupełnie adekwatne. To są kwestie interpretacji. Wiele skanerów opcjonalnie wykrywa polityki jako "potencjalnie niepożądane modyfikacje", gdyż ich obecność nie jest stanem domyślnym i może (lecz nie musi) być skutkiem infekcji. Jak mówiłam, źródło modyfikacji może być różne i skaner w żaden sposób nie jest w stanie tego zdefiniować, więc musi decydować tylko między typi akcjami: wykrywać lub nie. Twój przypadek zaś szczególny. To wszystko wyglądało jakby jakiś tweaker bądź naprawiacz próbował "resetować" wpisy, skutkiem jednak nadwyżki. Tu należy się zastanowić co robiłeś, że te wpisy się pojawiły. Przypominasz sobie używanie jakiegoś modułu "naprawczego"?

 

 

 

.

Odnośnik do komentarza
Tu należy się zastanowić co robiłeś, że te wpisy się pojawiły. Przypominasz sobie używanie jakiegoś modułu "naprawczego"?

 

Jedyne co mi do głowy przychodzi, to Registry First Aid. Trzy tygodnie temu po raz pierwszy czyścił mi i naprawiał błędy w rejestrze. Znalazł tego ok.1400, z czego pozwoliłem usunąć lub naprawić 1200 (żółtych i czerwonych wpisów nie ruszałem). Chyba tylko to "ostre" narzędzie wchodzi w grę, bo raczej softy typu Jet Clean, Wise Care 365 oraz jeszcze delikatniejsze CCleaner czy TuneUp nic by tu nie pomieszały.

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:57 on 29/01/2013 by robert

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]

"EnableLUA"= 0x0000000001 (1)

"EnableUIADesktopToggle"= 0x0000000000 (0)

"dontdisplaylastusername"= 0x0000000000 (0)

"legalnoticecaption"=""

"legalnoticetext"=""

"scforceoption"= 0x0000000000 (0)

"shutdownwithoutlogon"= 0x0000000001 (1)

"undockwithoutlogon"= 0x0000000001 (1)

"DisableCMD"= 0x0000000000 (0)

"DisableRegistryTools"= 0x0000000000 (0)

"DisableTaskMgr"= 0x0000000000 (0)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI]

(No values found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard]

(No values found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats]

"CF_TEXT"= 0x0000000001 (1)

"CF_BITMAP"= 0x0000000002 (2)

"CF_OEMTEXT"= 0x0000000007 (7)

"CF_DIB"= 0x0000000008 (8)

"CF_PALETTE"= 0x0000000009 (9)

"CF_UNICODETEXT"= 0x000000000d (13)

"CF_DIBV5"= 0x0000000011 (17)

 

 

-= EOF =-

Odnośnik do komentarza

1. Klucz bardzo przetrzebiony, wycięte wiele wpisów relatywnych do UAC. Importuj brakującą domyślną zawartość Windows 7. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"DisableCMD"=-
"DisableRegistryTools"=-
"DisableTaskMgr"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Zamykając sprawę czyszczenia za pomocą OTL: w OTL uruchom Sprzątanie, a po tym wyczyść foldery Przywracania systemu (KLIK).

 

 

 

 

.

Odnośnik do komentarza

Wsad do rejestru zrobiony. Co do przywracania systemu, to mam to wyłączone od jakiegoś czasu i żadnych kopii nie mam. Dwa m-ce temu reinstalowałem system z partycji recovery i od tego czasu nie mam tej funkcji, Przed recovery zmieniałem partycje i przywracanie padło. Po recovery też zmieniłem partycje i nawet nie sprawdzałem czy przywracanie działa (pewnie nie), tylko wyłączyłem. Zamiast tego zainstalowałem program RestorelT (konsola+migawki).

Wielkie dzięki picasso thank_you.gif za pomoc i poświęcony czas.

Odnośnik do komentarza

A w jaki sposób to Przywracanie systemu było uruchamiane, z poziomu Windows czy z poziomu środowiska WinRE?

- Jeśli z poziomu WinRE: artykuły Microsoftu na temat błędu 0x8000ffff przy użyciu Przywracania z poziomu WinRE (KB2695585 / KB2732500).

- Jeśli spod Windows: może procesy kolidujące (np. AV) i opłacalna byłaby próba uruchomienia funkcji z poziomu Trybu awaryjnego Windows.

 

 

Włączyłem ochronę dysku i wszystko wygląda normalnie...tylko pewnie jakby przyszło co do czego z przywracaniem, to byłaby powtórka z rozrywki.

 

To utwórz ręcznie punkt Przywracania systemu i zrób testowe przywracanie do niego.

 

 

.

Odnośnik do komentarza
To utwórz ręcznie punkt Przywracania systemu i zrób testowe przywracanie do niego.

 

przywracanie_systemu2.png

 

Tak więc okazuję się, że teraz już działa. Przed recovery błąd wywalało zarówno w trybie normalnym jak i awaryjnym. Pewnie wtedy coś skopałem przy dzieleniu partycji (narzędzie systemowe nie dało rady,to skorzystałem z Aomei). Później miałem już większe pojęcie jak bezpiecznie to zrobić. Za pomocą linuksowego Parted Magic (GParted) już dobrze poszło. Tylko pytanie, czy jest sens na stałe to włączać? Zajmuje trochę miejsca na dysku, a już ukryta partycja na kopie programu RestorelT zajmuje mi na partycji D ponad 40 GB.

Odnośnik do komentarza
Tylko pytanie, czy jest sens na stałe to włączać? Zajmuje trochę miejsca na dysku, a już ukryta partycja na kopie programu RestorelT zajmuje mi na partycji D ponad 40 GB.

 

Skoro RestorelT robi kompleksowe kopie, to Przywracanie systemu możesz sobie podarować. Tu mi chodziło tylko o fakt weryfikacji z jaką usterką Przywracania mamy do czynienia, pod kątem ewentualnej naprawy. Okazuje się, że Przywracanie jednak działa, czyli nie mamy co robić.

 

Temat rozwiązany. Daj sygnał do zamknięcia.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...