bpm Opublikowano 14 Maja 2013 Zgłoś Udostępnij Opublikowano 14 Maja 2013 Dzień dobry, komputer z Windows Vista, który zainfekowany był fałszywym antywirusem. Przeskanowany przeze mnie tradycyjnie MBAM oraz TDSSKiller a także na podstawie analizy poprzednich logów starałem się znaleźć ręcznie pozostałości. Natomiast bardzo proszę o analizę co jeszcze pozostało. OTL Extras MBAM Odnośnik do komentarza
picasso Opublikowano 14 Maja 2013 Zgłoś Udostępnij Opublikowano 14 Maja 2013 Przypominam, że obowiązkowy jest także GMER. Po System Care pozostał jeszcze folder, ale to szczegół i nie najgorsza infekcja w systemie. MBAM pokazuje usuwanie całkiem innej infekcji, czyli ZeroAccess w wariancie ładowanym z Kosza. Infekcja nie została poprawnie usunięta. Po pierwsze, MBAM źle zaktualizował dane: Wykryte wpisy rejestru systemowego: 3 HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Złe: (C:\$Recycle.Bin\S-1-5-18\$ca2c490f8bb3046b7dc7e2509e6f8872\n.) Dobre: (fastprox.dll) -> Dodanie do kwarantanny i naprawa pliku zakończyły się powodzeniem. HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Złe: (C:\$Recycle.Bin\S-1-5-21-388999240-2682098879-2730998892-1000\$ca2c490f8bb3046b7dc7e2509e6f8872\n.) Dobre: (shell32.dll) -> Dodanie do kwarantanny i naprawa pliku zakończyły się powodzeniem. Klucz HKCU musi być wywalony (program wprowadził kuriozalną edycję), a w HKLM ma być pełna ścieżka dostępu: [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] "ThreadingModel" = Both "" = shell32.dll -- [2012-06-08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation) [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = fastprox.dll -- [2009-04-11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free Po drugie, uszkodzony Winsock. Po trzecie, na bank tu zostały usunięte przez ZeroAccess usługi systemowe, bo OTL Extras ma kompletnie łysą sekcję detekcji ustawień Zapory. Podaj mi dodatkowe skany: 1. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s :dir C:\$Recycle.Bin /s Klik w Look. 2. Raport z Farbar Service Scanner. . Odnośnik do komentarza
bpm Opublikowano 14 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 14 Maja 2013 Przypominam, że obowiązkowy jest także GMER Przepraszam zapomniałem dodać, że GMER po 2 minutach po uruchomieniu przestaje działać (również w awaryjnym): "Program przestał działać z powodu wystąpienia problemu..." przy \Device\HarddiskVolumeShadowCopy1 Oto logi: SystemLook FSS Odnośnik do komentarza
picasso Opublikowano 14 Maja 2013 Zgłoś Udostępnij Opublikowano 14 Maja 2013 MBAM nie usunął z Kosza wszystkich obiektów ZeroAccess. I zgodnie z podejrzeniem został zlikwidowany przez infekcję klucz ikony Centrum zabezpieczeń oraz usługi. Akcja: 1. Uruchom narzędzie ServicesRepair rekonstruujące usługi. 2. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete HKLM\SOFTWARE\MozillaPlugins /f sc delete StarWindServiceAE sc delete AxAutoMntSrv TAKEOWN /F C:\$Recycle.Bin /R /A /D T icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-388999240-2682098879-2730998892-1000\$ca2c490f8bb3046b7dc7e2509e6f8872 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\9EB446D7BFA30D7D00009EB3A82A1379 C:\ProgramData\BrowserProtect C:\Users\Laptop\Local Settings C:\Users\Laptop\AppData\Local\*Bron* C:\Windows\System32\%APPDATA% C:\Windows\System32\Extensions C:\Windows\System32\searchplugins C:\Windows\DeleteOnReboot.bat C:\Program Files\Mozilla Firefox :OTL O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444533831871} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444539245189} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 4. Uruchom Autoruns (widzę na Pulpicie Autoruns.zip) i w karcie Scheduled Tasks sprawdź do czego kieruje zadanie DSite. [2013-05-09 20:57:32 | 000,000,290 | ---- | C] () -- C:\Windows\tasks\DSite.job [2013-05-09 20:57:32 | 000,000,000 | ---D | M] -- C:\Users\Laptop\AppData\Roaming\DSite 5. Zrób nowe logi: OTL z opcji Skanuj (bez Extras), Farbar Service Scanner i SystemLook na te same warunki co poprzednio. Dołącz log z wynikami usuwania OTL z punktu 3. . Odnośnik do komentarza
bpm Opublikowano 15 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2013 Zadanie wykonane zgodnie z zaleceniami. Co do DSite, Autoruns pokazuje: "\DSite c:\users\laptop\appdata\roaming\dsite\updateproc\updatetask.exe 1992-06-20 00:22" Nowe logi: OTL usuwanie OTL SystemLook FSS Odnośnik do komentarza
picasso Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Wszystko zrobione jak należy. Możemy kończyć: 1. W Autoruns w karcie Scheduled Tasks usuń zadanie DSite. Po akcji sprawdź czy zniknął plik *.job z dysku oraz przez SHIFT+DEL dokasuj folder z Roaming. C:\Windows\tasks\DSite.job C:\Users\Laptop\AppData\Roaming\DSite I jeszcze odinstaluj 50 FREE MP3s +1 Free Audiobook! (drobny śmieć wchodzący z instalacją WinAmp). 2. W OTL uruchom Sprzątanie, a resztę to wiadomo że ręcznie usuń. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Prewencyjnie zmień hasła logowania w serwisach. 5. Softy do aktualizacji: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 Service Pack dla Microsoft SQL Server 2005: KB913089 . Odnośnik do komentarza
bpm Opublikowano 15 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2013 Super. Dziękuję ślicznie za pomoc, życzę dobrej nocy. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi