Wirus "policyjny"

[kokoz]

Witam,

 

Ostatnio po raz drugi na laptopa mojego brata wkradł się wirus znany i lubiany czyli "policyjny" że tak go nazwę

Wykonałem skan OTLem zgodnie z zaleceniami, jednak przeprowadzilem to na koncie Gościa gdyż tam o dziwo okno z wirusem nie wyskakuje, nawet po połączeniu się z netem. Załączę tutaj wymagane logi z OTLa, w razie potrzeby mogę wrzucić coś więcej. Będę wdzięczny za pomoc.

OTL.Txt

Extras.Txt

[picasso]

Wykonałem skan OTLem zgodnie z zaleceniami, jednak przeprowadzilem to na koncie Gościa gdyż tam o dziwo okno z wirusem nie wyskakuje, nawet po połączeniu się z netem.

 

Logi bezużyteczne. Infekcja działa po stronie konkretnego konta. Konta mają inne rejestry i foldery, nie są to elementy widziane "między kontami". Logi muszą być zrobione z poziomu konta zainfekowanego. Czyli:

- przenieś OTL ze ścieżki konta do ścieżki neutralnej C:\Users\Gość\Downloads\OTL.exe > C:\OTL.exe

- start w Trybie awaryjnym, logowanie na właściwe konto. Jeśli nie zadziała normalny Tryb awaryjny, wybierz Tryb awaryjny z Wierszem polecenia, w linii komend wklep C:\OTL.exe i ENTER.

- robisz nowe logi OTL, podmieniasz w pierwszym poście i na PW zawiadamiasz o edycji.

 

 

EDIT: Logi podmienione. Na pewno konto Maciek jest zainfekowane a nie konto Maciek_2? Ja tu coś mało od infekcji widzę... Przechodzimy do czyszczenia:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{65CB84F7-AA92-2F05-94FA-70CF4DC56CAC}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub&chnl=ironpub&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByCtCzzyCzytC0BtAzz0DzytN0D0Tzu0CtBzzyEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=53917866"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1001\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=jeUMwCwzsaI8IdZfoUSTgUHtR54?q={searchTerms}"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={2E05A3EE-6947-40E7-8DE2-469DAF728665}&mid=9fd8a352f4c147d0aeedd16f64fe078e-6905ffe5f0a8b2c91cc7b15922ae8ce02dccac57&lang=en&ds=pp011&pr=sa&d=2012-06-30 16:47:41&v=11.1.0.12&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111732&babsrc=SP_ss&mntrId=8a6138d90000000000000026221aee7d"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{2210D176-EB2B-4887-9F10-238EEEDD46DA}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=166"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{65CB84F7-AA92-2F05-94FA-70CF4DC56CAC}: "URL" = "http://isearch.avg.com/search?cid={2E05A3EE-6947-40E7-8DE2-469DAF728665}&mid=9fd8a352f4c147d0aeedd16f64fe078e-6905ffe5f0a8b2c91cc7b15922ae8ce02dccac57&lang=en&ds=pp011&pr=sa&d=2012-06-30 16:47:41&v=11.1.0.12&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=hnA0ebLu7GdJRpsyZE8fsHsnaWw?q={searchTerms}"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub&chnl=ironpub&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByCtCzzyCzytC0BtAzz0DzytN0D0Tzu0CtBzzyEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=53917866"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{E7024D64-9DA2-4D2E-9C53-376DCC3A926B}: "URL" = "http://fileservehome.com/?tmp=toolbar_FileServe_results&prt=fileservetb01ie&Keywords={searchTerms}&clid=9d7f276b740a4f80a7ba5d15e08eee45"
IE - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\Toolbar\WebBrowser: (no name) - {0E91EFA2-AF48-4333-9965-5DD29DE31B56} - No CLSID value found.
O3 - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-2173136571-907547793-1620291923-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2173136571-907547793-1620291923-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-2173136571-907547793-1620291923-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKU\S-1-5-21-2173136571-907547793-1620291923-1001..\Run: [Akamai NetSession Interface] "C:\Users\Maciek_2\AppData\Local\Akamai\netsession_win.exe" File not found
O4 - HKU\S-1-5-21-2173136571-907547793-1620291923-1001..\Run: [CyberLink] C:\Users\Maciek_2\AppData\Roaming\6138D9\6138D9.exe File not found
O4 - HKU\S-1-5-21-2173136571-907547793-1620291923-1001..\Run: [RegClean Pro_is1] C:\Users\Maciek_2\AppData\Local\RegClean Pro_is1\RegClean Pro_is1.com ()
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab" (Reg Error: Value error.)
 
:Files
C:\ProgramData\4176393.pad
C:\ProgramData\4176393.js
C:\Users\Maciek_2\AppData\Roaming\6138D9
C:\Users\Maciek_2\AppData\Local\RegClean Pro_is1
C:\Users\Maciek\AppData\Local\funmoods-speeddial_sf.crx
C:\Users\Maciek\AppData\Local\funmoods.crx
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\fileserve.xml
 
:Reg
[HKEY_USERS\S-1-5-21-2173136571-907547793-1620291923-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-2173136571-907547793-1620291923-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Funmoods, Softonic toolbar on IE, SpeedUpMyPC, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2.

 

3. Wyczyść przeglądarki z adware:

- Google Chrome: w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a po tym usuń z listy Funmoods, w Rozszerzeniach odmontuj Funmoods.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusza zakładek i haseł.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kokoz]

Dziękuję za pomoc, wrzucam logi do sprawdzenia:

 

AdwCleanerS1.txt

 

OTL2.Txt

 

 

Niestety jednak problem nadal występuje. Wcześniej po zalogowaniu się na zainfekowane konto wyskakiwała prośba o potwierdzenie związana z jakimś plikiem rundll, teraz wyskakuje monit: "Nie można znaleźć pliku skryptu C:\Progra~2\4176393,js" oraz oczywiście "Twój komputer został zablokowany" bla bla bla..

[picasso]

Punkt 3 nie wykonany, czyli nie zrobiłeś resetu Firefox. Są jeszcze do poprawki inne rzeczy, ale na razie stop, bo:

 

Wcześniej po zalogowaniu się na zainfekowane konto wyskakiwała prośba o potwierdzenie związana z jakimś plikiem rundll, teraz wyskakuje monit: "Nie można znaleźć pliku skryptu C:\Progra~2\4176393,js" oraz oczywiście "Twój komputer został zablokowany" bla bla bla..

 

W raporcie brak oznak infekcji ładowanej czynnie (na dysku tylko odtworzył się poboczny plik C:\ProgramData\4176393.pad). Ponawiam pytanie:

 

Na pewno konto Maciek jest zainfekowane a nie konto Maciek_2?

 

Log z OTL powstał z konta Maciek:

Computer Name: MACIEK-PC | User Name: Maciek | Logged in as Administrator.

... a nawet jeśli był uruchomiony z Maciek_2, to nastąpiło podniesienie uprawnień i zmiana kontekstu zalogowanego konta. Uściślij: o które konto chodzi?



.

[kokoz]

Reset Firefoxa został wykonany tak jak napisano, wykonywałem krok po kroku wszystko tak jak mi zalecano. Odnośnie kont użytkownika to jest tutaj taka sprawa, że na dysku rzeczywiście istnieje jeszcze konto Maciek_2, jednak nie da się do niego zalogować tzn. na ekranie logowania nie ma konta Maciek_2 do wyboru, jest Administrator, Maciek i Gość.

Nie wiem czy takie konto może istniało kiedyś i zostało skasowane, to laptop brata i nie mam na to wpływu co on na nim wyprawia. Logi i inne czynności wykonywane były przeze mnie z konta Maciek w trybie awaryjnym.

Mam jeszcze pytanie odnośnie tego wirusa - w jaki sposób go najłatwiej złapać? Może banalnie zabrzmiało, ale chodzi mi o to czy to od masy bzdurnych programików, typu toolbar itp. czy przez witryny niewiadomej treści?

 

Dziękuję za pomoc.

 

Konto Maciek_2 to konto Maciek z ekranu logowania sądząc po plikach na pulpicie tam. Nie wiem jak się to ogólnie da tak pomieszać, pokręcone to. Proszę o dalszą pomoc w miarę możliwości.

[picasso]

Reset Firefoxa został wykonany tak jak napisano, wykonywałem krok po kroku wszystko tak jak mi zalecano.

 

Punkty przeczące resetowi:

- AdwCleaner usuwał pewne wpisy z preferencji Firefox, a to nie ma prawa mieć miejsca po resecie Firefox (plik prefs.js ulega kompletnej zamianie).

- W wynikowym logu OTL brak zmian w preferencjach uzyskiwanych resetem + ciągle ta sama nazwa profilu 1w00fiwo.default (reset tworzy nowy profil).

- Na Pulpicie nie ma widocznego folderu "Stare dane programu Firefox", który tworzy reset.

Albo reset u Ciebie nie działa poprawnie, albo to log OTL zrobiony przed resetem (wyraźnie mówiłam że skan OTL na końcu robisz).

 

 

Konto Maciek_2 to konto Maciek z ekranu logowania sądząc po plikach na pulpicie tam. Nie wiem jak się to ogólnie da tak pomieszać, pokręcone to.

 

1. By upewnić się ile kont jest czynnych, podaj log z sid.vbs, czyli punkt 3 z ogłoszenia: KLIK.

 

2. W kwestii potencjalnie obecnych (a niewidocznych w OTL) obiektów infekcji: sprawdź ręcznie katalogi Autostartu obu "Maćków". Uruchom eksplorator Windows, po kolei w pasku adresów wklej te ścieżki i ENTER:

 

C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\Maciek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

Czy w którymś widać plik o nazwie runctf.lnk? Jeśli tak, jest to plik infekcji.

 

 

 

.

Edytowane 17 Maja 2013 przez picasso
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso