zerocool Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Witam, proszę o pomoc z trojanem, który zaatakował mój komputer. Przeskanowałem programem ESET Online Scanner i wykrył: user.js js/securitydisabler.a.gen w katalogu c:\Users\uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\yqhp3wfe.default\ Najpierw skorzystałem z narzędzia Combofix Następnie OLT - za pierwszym razem nie zaznaczyłem wszystkich opcji Na koniec GMER Z góry dzięki za pomoc, pozdrawiam ComboFix.txt Extras.Txt GMER.txt OTL_pierwszy_skan.Txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Przypominam zasady działu na temat tytułowania tematów, tutuł dopasowuję do zawartości zasadniczej. Usuwam nadwyżkę raportów OTL, skan miał być zrobiony na ustawieniu "Użyj filtrowania" a nie "Wszystko". Najpierw skorzystałem z narzędzia Combofix Na temat używania ComboFix: KLIK. I cóż, jego uruchomienie nie było potrzebne i nie przyniosło zbyt dobrych rezultatów: usunięcie drobnostek / kilku plików TMP (to dało się zrobić na X mniej inwazyjnych sposobów) oraz omyłkowo plików GoToMeeting (g2mdlhlpx.exe), Total Commander (pkunzip.pif + pkzip.pif) i całego naboju WinPcap. WinpCap będziesz musiał przeinstalować po akcji z ComboFix. Przeskanowałem programem ESET Online Scanner i wykrył: user.js js/securitydisabler.a.gen w katalogu c:\Users\uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\yqhp3wfe.default\ Skaner wykrył niedomyślny plik Firefoxa user.js. Obecnie raport OTL nie wykazuje, by w ogóle plik był na dysku: ========== FireFox ==========FF - user.js - File not found I ogólnie w dostarczonych raportach nie widzę żadnej czynnej infekcji, są tylko jej odpadki na dysku. Pytanie - czy skrót do Menedżera zadań w Autostarcie to Twoja robota (?): O4 - Startup: C:\Users\uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\taskmgr.lnk = C:\Windows\SysWOW64\taskmgr.exe (Microsoft Corporation) Doczyść wpisy szczątkowe:1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::FilesC:\Users\uzytkownik\AppData\Roaming\tdsdjhscC:\Users\uzytkownik\AppData\Roaming\RyelipC:\Users\uzytkownik\AppData\Roaming\IhonnylC:\Users\uzytkownik\AppData\Local\Temp*.htmlC:\windows\SysWow64\temp.*:OTLFF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not foundFF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{22C7F6C6-8D67-4534-92B5-529A0EC09405}: C:\Program Files (x86)\Trend Micro\Client Server Security Agent\bho\1009\FirefoxExtensionO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDeletePrinter = 0O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Reg Error: Value error.)O16 - DPF: iLO 2 Remote Console Applet https://10.88.1.235/dvc.cab (Reg Error: Key error.)O18:64bit: - Protocol\Handler\tmpx - No CLSID value foundO18 - Protocol\Handler\tmpx - No CLSID value found:Commands[emptytemp]Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.2. Zresetuj plik HOSTS do postaci domyślnej Windows 7 narzędziem Fix-it: KB972034.3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.. Odnośnik do komentarza
zerocool Opublikowano 12 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Witam ponownie, dzięki za szybką odpowiedź.Plik Firefoxa user.js usunął Eset Online Scanner jednak po jakimś czasie znowu się pojawia zainfekowany. Usuwałem go już kilka razy.Skrót do Menedżera zadań w Autostarcie to moja robota.Wykonałem skrypt, zresetowałem plik hosts narzędziem Fix-it, wykonałem restart i zrobiłem nowy log OTL. W załączeniu logi. OTL.Txt 06122013_080930.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2013 Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Skrypt nie wykonał się w tej części, jakoby obiekty "nieistniejące": ========== FILES ==========File\Folder C:\Users\uzytkownik\AppData\Roaming\tdsdjhsc not found.File\Folder C:\Users\uzytkownik\AppData\Roaming\Ryelip not found.File\Folder C:\Users\uzytkownik\AppData\Roaming\Ihonnyl not found.File\Folder C:\Users\uzytkownik\AppData\Local\Temp*.html not found. A te podejrzane foldery i pliki nadal są na dysku: [2013-05-24 16:53:26 | 000,000,000 | ---D | M] -- C:\Users\uzytkownik\AppData\Roaming\Ihonnyl[2013-05-29 09:12:53 | 000,000,000 | ---D | M] -- C:\Users\uzytkownik\AppData\Roaming\Ryelip[2013-05-29 09:12:54 | 000,000,000 | -HSD | M] -- C:\Users\uzytkownik\AppData\Roaming\tdsdjhsc [2012-08-22 12:44:24 | 000,008,623 | ---- | C] () -- C:\Users\uzytkownik\AppData\Local\Temp8.html[2012-02-29 18:36:16 | 000,001,955 | ---- | C] () -- C:\Users\uzytkownik\AppData\Local\Temp1.html - Upewnij się że masz włączone wszystkie opcje w eksploratorze Windows > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odznacz Ukryj chronione pliki systemu operacyjnego.- W pasku adresów eksploratora wklej %appdata% i ENTER. Ze środka przez SHIFT+DEL skasuj te trzy foldery.- W pasku adresów eksploratora wklej %localappdata% i ENTER. Ze środka przez SHIFT+DEL skasuj wszystkie pliki o modelu nazwy Temp*.html. Plik Firefoxa user.js usunął Eset Online Scanner jednak po jakimś czasie znowu się pojawia zainfekowany. Usuwałem go już kilka razy. Plik user.js jako taki jest prawidłowym zjawiskiem, to plik z dodatkowymi definicjami konfiguracyjnymi, choć nie występuje domyślnie. To zawartość pliku jest istotna, gdyż plik może być wykorzystany przez niepożądane aplikacje. Na razie nie ma tu dowodu co jest w tym pliku. Gdy plik się ponownie pojawi, skopiuj go na Pulpit, spakuj do ZIP, umieść na jakimś hostingu i podaj link do niego. Ocenię zawartość pliku. . Odnośnik do komentarza
zerocool Opublikowano 12 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Pliki i foldery usunięte: [2013-05-24 16:53:26 | 000,000,000 | ---D | M] -- C:\Users\uzytkownik\AppData\Roaming\Ihonnyl[2013-05-29 09:12:53 | 000,000,000 | ---D | M] -- C:\Users\uzytkownik\AppData\Roaming\Ryelip[2013-05-29 09:12:54 | 000,000,000 | -HSD | M] -- C:\Users\uzytkownik\AppData\Roaming\tdsdjhsc [2012-08-22 12:44:24 | 000,008,623 | ---- | C] () -- C:\Users\uzytkownik\AppData\Local\Temp8.html[2012-02-29 18:36:16 | 000,001,955 | ---- | C] () -- C:\Users\uzytkownik\AppData\Local\Temp1.html Przeskanuję jeszcze raz system Eset Online Scanner i sprawdzę, czy wykrywa zagrożenie w pliku Firefoxa user.js. Skanowałem dzisiaj i nie znalazł, ale jeszcze raz powtórzę skanowanie. Bardzo dzięki za poświęcony czas i pomoc. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2013 Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Proponuję jeszcze zrobić skan za pomocą Malwarebytes Anti-Malware. Jeżeli on coś wykryje, przedstaw raport. . Odnośnik do komentarza
zerocool Opublikowano 12 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Wykonałem skan Eset Online Security i nic nie znajduje. Skan za pomocą Malwarebytes Anti-Malware wykonałem i znalazł coś w rejestrze. MBAM-log-2013-06-12 (15-06-02).txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2013 Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Wynik MBAM mało istotny. Hijack.ControlPanelStyle to polityka wymuszająca klasyczny wygląd Panelu sterowania. Takie modyfikacje mogą pochodzić z różnych źródeł (akcje użytkownika, automatyczny tweaker, infekcja), a skaner nie jest w stanie rzecz jasna sprecyzować pochodzenia. Jeśli to Twoje celowe zagranie, wynik do zignorowania. Skoro skaner ESET się uspokoił, to kończymy sprawy: 1. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\uzytkownik\Downloads\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj z dysku te obiekty: C:\Windows\erdnt C:\Windows\system32\drivers\etc\hosts.old 2. Odinstaluj wszystkie stare Java 6 (zostawiając najnowsze 7) oraz zaktualizuj Adobe Flash. Wg raportu masz obecnie zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F86417021FF}" = Java 7 Update 21 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java 6 Update 20 "{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java 6 Update 35 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll () . Odnośnik do komentarza
Rekomendowane odpowiedzi