Infekcja PWS:Win32/Zbot.gen!Y

[natg]

Witam,

 

  podczas szybkiego skanowania Microsoft Security Essentials  wykrył na moim laptopie wirusa wykradającego hasła PWS:Win32/Zbot.gen!Y po czym poddał go kwarantannie. Po usunięciu pliku i restarcie komputera cała sytuacja powtarza się na nowo. Przy próbie włączenia Google Chrome wyskakuję błąd oraz komunikat "O kurczę! przeglądarka Google Chrome uległa awarii" oraz włączają się reklamy. Po paru próbach, przeglądarka otwiera się. Laptop od czasu do czasu sam się wyłącza.

  Dodatkowo załączam print screen'a skanu ze Speedy PC Pro. Proszę o pomoc i radę, czy w takim wypadku lepiej zrobić format czy jest inny sposób na oczyszenie komputera.

Extras.Txt

gmer.txt

OTL.Txt

[picasso]

podczas szybkiego skanowania Microsoft Security Essentials  wykrył na moim laptopie wirusa wykradającego hasła PWS:Win32/Zbot.gen!Y po czym poddał go kwarantannie. Po usunięciu pliku i restarcie komputera cała sytuacja powtarza się na nowo.

 

Nie podałaś w czym to MSSE widzi, jaka ścieżka dostępu.

 

Dodatkowo załączam print screen'a skanu ze Speedy PC Pro.

 

Ten program to jakieś dziwactwo. Tu się kwalifikuje deinstalacja a nie próba analizy co on twierdzi. Zła reputacja WOT: KLIK.

 

Przy próbie włączenia Google Chrome wyskakuję błąd oraz komunikat "O kurczę! przeglądarka Google Chrome uległa awarii" oraz włączają się reklamy. Po paru próbach, przeglądarka otwiera się.

 

Google Chrome jest zaśmiecone adware.

 

Ogólnie widzę tu: infekcję (czynny wpis startowy buacu.exe) oraz adware. Czyścimy:

 

1. Na początek prawidłowe deinstalacje:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, DealPly, McAfee Security Scan Plus, SpeedyPC Pro, Vuze Remote Toolbar, YTD Toolbar v7.0 i od razu też YTD Video Downloader 4.0 (wprowadził adware "Spigot" w system).

- Google Chrome: Otwórz (próbuj, aż Ci się uda), wejdź do ustawień i w Rozszerzeniach odinstaluj Ask Toolbar, DealPly, Domain Error Assistant, Savings-Slider.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{80c554b9-c7f8-4a21-9471-06d606da78a2}: "URL" = http://www.bing.com/search?q=%7BsearchTerms%7D&form=MSSEDF&pc=MSSE
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKLM\..\SearchScopes\{80c554b9-c7f8-4a21-9471-06d606da78a2}: "URL" = http://www.bing.com/search?q=%7BsearchTerms%7D&form=MSSEDF&pc=MSSE
IE - HKU\S-1-5-21-1580864547-966001280-2458927105-1000\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found
IE - HKU\S-1-5-21-1580864547-966001280-2458927105-1000\..\SearchScopes\{6B9F14D5-E0BD-497F-82DB-F0F1F2187875}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p=%7BsearchTerms%7D
IE - HKU\S-1-5-21-1580864547-966001280-2458927105-1000\..\SearchScopes\{80c554b9-c7f8-4a21-9471-06d606da78a2}: "URL" = http://www.bing.com/search?q=%7BsearchTerms%7D&form=MSSEDF&pc=MSSE
IE - HKU\S-1-5-21-1580864547-966001280-2458927105-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-1580864547-966001280-2458927105-1000\..\SearchScopes\{EA428918-507C-4F4C-9C0B-0C1B96A47A79}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SGT&o=APN10374&src=crm&q=%7BsearchTerms%7D&locale=en_US&apn_ptnrs=%5EAHO&apn_dtid=%5EYYYYYY%5EV2%5EPL&apn_uid=8ff98233-4714-4e1f-afc8-f6fb2b5da7b7&apn_sauid=3A1C49E2-DB36-4115-B01D-BCEF21D2EE7B
O3 - HKU\S-1-5-21-1580864547-966001280-2458927105-1000\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-1580864547-966001280-2458927105-1000..\Run: [buacu.exe] C:\Users\Natalia\AppData\Roaming\Oxon\buacu.exe (dog earth)
O4 - HKU\S-1-5-21-1580864547-966001280-2458927105-1000..\Run: [fsm] File not found
O4 - HKU\S-1-5-21-1580864547-966001280-2458927105-1000..\Run: [fuik.exe] C:\Users\Natalia\AppData\Roaming\Ywti\fuik.exe File not found
 
:Files
C:\Users\Natalia\AppData\Roaming\Oxon
C:\Users\Natalia\AppData\Roaming\Iqewru
C:\Users\Natalia\AppData\Roaming\Viba
C:\Users\Natalia\AppData\Roaming\Siul
C:\Users\Natalia\AppData\Roaming\Qiehco
C:\Users\Natalia\AppData\Roaming\DVDVideoSoftIEHelpers
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=-
"Search Bar"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.

 

 

 

.

[natg]

Nie podałam

 

 

MSE wyświetla tylko id procesu:

 

Elementy: 

process:pid:3576

 

gdzie mogę znaleźć ścieżkę dostępu?

[picasso]

Skoro jest to wykryte w procesie, to przejdź już po prostu do wykonania zadanych kroków i przedstaw raporty wynikowe. Po wyczyszczeniu infekcji, którą widzę w raporcie, prawdopodobnie MSSE się uspokoi.

[natg]

Wykonałam wszystkie polecenia. MSE nie widzi już infekcji. Przy końcowym skanie OTL laptop się wyłączył.

Po włączeniu pojawiły się dodatkowe skróty na pulpicie(przykładowo desktop.ini i odzyskane prace w Microsoft Word) oraz w folderach: Dokumenty i dysk C.

Z pozycji Biblioteka Dokumenty nie mogę otworzyć niektórych folderów(muzyka, obrazy, wideo), wyświetla się komunikat: "C:\Users\Public\Documents\My Pictures nie jest dostępny. Odmowa dostępu". Otwierają się natomiast  z kolumny po lewej stronie.

W okienku Dysk lokalny C również pojawiły się dodatkowe skróty, których nie można otworzyć. Zamieszczam print screen'a.

AdwCleanerS1.txt

cirrus_install_log.txt

OTL2.Txt

[picasso]

Nie podałaś mi raportu z wynikami usuwania OTL (w katalogu C:\_OTL), za to nie wiem w jakim celu wstawiłaś "cirrus_install_log.txt". Ale to już sobie darujmy, bo widać pożądane zmiany w nowym skanie OTL. Zostały drobne poprawki:

 

1. Usunięcie szczątków SpeedyPC. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Natalia\AppData\Roaming\SpeedyPC Software
C:\Users\Natalia\AppData\Roaming\DriverCure
C:\ProgramData\SpeedyPC Software
C:\Program Files (x86)\SpeedyPC Software

 

Klik w Wykonaj skrypt.

 

2. Poprawka na domyślne wyszukiwarki IE nadpisane przez AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Potwierdź wykonanie obu zadań bez błędów, a zadam czynności końcowe.

 

 

Po włączeniu pojawiły się dodatkowe skróty na pulpicie(przykładowo desktop.ini i odzyskane prace w Microsoft Word) oraz w folderach: Dokumenty i dysk C.

Z pozycji Biblioteka Dokumenty nie mogę otworzyć niektórych folderów(muzyka, obrazy, wideo), wyświetla się komunikat: "C:\Users\Public\Documents\My Pictures nie jest dostępny. Odmowa dostępu". Otwierają się natomiast  z kolumny po lewej stronie.

W okienku Dysk lokalny C również pojawiły się dodatkowe skróty, których nie można otworzyć. Zamieszczam print screen'a.

 

To wszystko jest normalne i było już wcześniej na dysku tylko tego nie widziałaś. Skan OTL przestawia widzialność ukrytych plików, równoważnością tego jest operacja ręczna w opcjach Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. To co teraz ujrzałaś:

 

- Dokumenty tymczasowe pakietu Office: KLIK.

- Podwójne pliki desktop.ini na Pulpicie odpowiadają za polonizację nazwy (stąd widać "Pulpit" a nie "Desktop") i specjalną ikonkę folderu. Pliki są dwa, bo Pulpit widziany na ekranie to wirtualna przestrzeń scalająca dwa właściwe foldery Pulpitu na dysku (C:\Users\Natalia\Desktop + C:\Users\Public\Desktop). Takich plików desktop.ini jest więcej w systemie w różnych innych specjalnych folderach.

- Pozycja "Documents and settings" i skróty w Bibliotece to linki symboliczne: KLIK.

- Folder $Recycle.Bin to właściwy folder Kosza (na Pulpicie to tylko wirtualny skrót).

- Foldery FOUND.00X zostały utworzone podczas pracy checkdisk (w środku są ścinki wadliwych danych).

- Folder Config.Msi jest związany z działaniem Instalatora Windows (przy montowaniu aplikacji opartej na takim typie): KLIK.

- Folder MSOCache to lokalne źródło instalacji pakietu Office 2007: KLIK.

- Folder Recovery trzyma WinRE naprawcze, do którego można się dostać przez klawisz F8: KLIK.

- Folder System Volume Information to katalog Przywracania systemu

 

To wszystko przestanie być widoczne, jeżeli opcje wrócą do stanu domyślnego (albo ręcznie albo opcja Sprzątanie w OTL, którą na końcu użyjemy).

 

 

.

Edytowane 2 Lipca 2013 przez picasso
2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso