Foldery zmieniły atrybuty i powstały skróty

[mariuszk123]

witam serdecznie

foldery jak napisalem zmienily sie na blade ale nie wszystkie. Skonczylo by sie pewno formatem gdyby nie przeszlo to na pendrivy i telefon gdzie wszystko podcigniete zostalo jako systemowe chronione i utworzone zostaly skroty. Uzylem wczesniem combo fixa zanim znalazlem fixit za co przepraszam wynikalo to z mojej nie wiedzy. 

Na hdd mam takze zainstalowany ubuntu 12.04 .

 z gory dziekuje za odpowiedz

 

Pragne dopisać o objawach które miały miejsce choć może wcale nie są powiązane :

1) rundll zaraz po starcie zjada 100%cpu,

2) okazjonalne BSOD z blędem nv4disp.dll, 

3) przed zmiana katalogow nie zauważyłem aby explorer.exe aż tak często chcial wychodzić w sieć teraz to robi z 2 x lub czesciej na godzine firewall to zone alarm  

4) nie moge pobrac silnika ani tez bazy z mks skaner online 

5)strony : Symantec avast avira poza zasiegiem okno wychodzi jak przy braku polaczenia internetowego

6)okno podczas proby instalacji avasta informuje o bledzie instalatora i ją przerywa

 

ps . dzis jade na urlop także prosze o wyrozumiałosc jeżeli bym nie odpisywał

ComboFix.txt

Extras.Txt

OTL.Txt

[picasso]

Nie dostarczyłeś obowiązkowego raportu z GMER. Wg ComboFix w systemie działa wpis ukryty techniką rootkit (skan OTL go nie widzi), który infekuje wszystkie podpinane urządzenia:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Xcmgmd = c:\documents and settings\Corri\Dane aplikacji\Xcmgmd.exe 

 

Zanim przejdę do usuwania, dodaj jeszcze:

 

Skonczylo by sie pewno formatem gdyby nie przeszlo to na pendrivy i telefon gdzie wszystko podcigniete zostalo jako systemowe chronione i utworzone zostaly skroty.

Poproszę też o log USBFix z opcji Listing zrobiony przy podpiętych wszystkich zdefektowanych urządzeniach.

 

 

foldery jak napisalem zmienily sie na blade ale nie wszystkie

Konkretnie: w których lokalizacjach? Log z OTL jest bardzo ograniczony, w nim to tylko widać, że chyba kilka obiektów na Pulpicie zostało ukytych:

 

[2013-07-07 11:15:53 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Corri\Pulpit\Evanescence - Evanescence (Deluxe Version)

[2013-07-07 11:15:29 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Corri\Pulpit\Sonic Syndicate - We Rule the Night (2010)

 

 

4) nie moge pobrac silnika ani tez bazy z mks skaner online

Daruj sobie ten skaner. Jest martwy.

 

 

5)strony : Symantec avast avira poza zasiegiem okno wychodzi jak przy braku polaczenia internetowego

 

6)okno podczas proby instalacji avasta informuje o bledzie instalatora i ją przerywa

Infekcja, która jest w systemie, powoduje niemożność połączenia ze stronami skanerów / Microsoftu.

 

 

2) okazjonalne BSOD z blędem nv4disp.dll

To wygląda na inne zagadnienie, czyli błąd sterowników nVidia (poziom oprogramowania lub sprzęt).

 

 

 

 

 

.

[mariuszk123]

Witam serdecznie dzis wrocilem z urlopu i wrzucam brakujace rzeczy.

Plika o nazwie "caly" to GMER.

Skany usb musialem  rozbic na kilka ze względu na brakujące miejsca na portach.

Jeszcze pare minut przed urlopem wykonalem skan pod ubuntu wykryl

 

1) win.trojan.katusha-377

2) worm.autoit-36

nie podejmowalem jakiejkolwiek  akcji 

lokalizacjer o których mówie to pulpit ,pamiec sd w telefonie oraz pendrivy

 

Mam nadzieje ze niczego nie pomieszalem.

usb 1Listing 2 CORRI-F0A27FF43.txt

usb2Listing 3 CORRI-F0A27FF43.txt

usb3Scan 3 CORRI-F0A27FF43.txt

caly.txt

UsbFix Listing 4 CORRI-F0A27FF43.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

Rootkit::
C:\Documents and Settings\Corri\Dane aplikacji\Xcmgmd.exe
 
Folder::
C:\Documents and Settings\Corri\Dane aplikacji\PriceGong
C:\Documents and Settings\Corri\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
 
Registry::
[HKEY_CURRRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Xcmgmd"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\A7764E2C-6180-4216-BF1E-D99663DE906D]

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Dla każdego urządzenia zewnętrznego (pendrive etc):

 

Start > Uruchom > cmd i wpisz komendy każdą zawierając ENTER:

 

del /q X:\*.lnk

rd /s /q X:\RECYCLER

attrib /d /s -s -h X:\*

 

(pod X oczywiście podstawiasz za każdym razem inną właściwą literę pod którą jest widziane dane urządzenie)

 

3. Przez Dodaj/Usuń programy odinstaluj:

- Adware: uTorrentControl_v2 Toolbar, V9 Homepage Uninstaller

- Starocie: Symantec Endpoint Protection + LiveUpdate 3.3, Skaner on-line mks_vir, ZoneAlarm

 

4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing + GMER. Dołącz log utworzony przez ComboFix.

 

 

.

[mariuszk123]

witam serdecznie

 

z pendriva zniknely linki natomiast ukryte katalogi nie zmienily swej postaci.

w sprawie tego co wykryl skan z ubuntu nie przejmowac sie ?

zone alarm uzywam tylko do blokowania polaczen np zeby jakies [Filtr wulgaryzmów]y nie wychodzily w swiat typu odtwarzacz.

a zamiast nortona co warto zainstalowac ?

 

Dziekuje i jak zawsze mam nadzieje ze niczegoi nie pomieszalem 

milego dnia zycze

OTL21.07.Txt

22.07 pen CORRI-F0A27FF43.txt

logCF.txt

GMe22.07.txt

[picasso]

Punkt 3 nie wygląda na wykonany. Po tym jeszcze zapuść AdwCleaner (opcja Usuń), przedstaw log, który utworzy na dysku C i zrób nowy raport OTL z opcji Skanuj (bez Extras).

 

 

z pendriva zniknely linki natomiast ukryte katalogi nie zmienily swej postaci.

Zadałam komendę ściągania atrybutów:

 

2. Dla każdego urządzenia zewnętrznego (pendrive etc):

 

Start > Uruchom > cmd i wpisz komendy każdą zawierając ENTER:

 

attrib /d /s -s -h X:\*

 

(pod X oczywiście podstawiasz za każdym razem inną właściwą literę pod którą jest widziane dane urządzenie)

Co się podczas jej przetwarzania pokazało?

 

 

zone alarm uzywam tylko do blokowania polaczen np zeby jakies [Filtr wulgaryzmów]y nie wychodzily w swiat typu odtwarzacz.

a zamiast nortona co warto zainstalowac ?

Ale to stara wersja sprzed ponad 4 lat (datowanie komponentów na 2009). Na końcu dobierzemy nowoczesne zamienniki firewalla i AV.

 

 

.

[mariuszk123]

witam serdecznie 

 w cmd po wpisaniu polecenia attrib.... komenda zostaje przyjeta bez problemu jej tresc pojawia sie w naglówku okna, a "_" miga sobie lecz juz nic nie da sie napisac. 

i bez linii c:\doc and set\corri>

 

milego dnia życze 

OTL24.07.Txt

AdwCleanerS1.txt

[picasso]

w cmd po wpisaniu polecenia attrib.... komenda zostaje przyjeta bez problemu jej tresc pojawia sie w naglówku okna, a "_" miga sobie lecz juz nic nie da sie napisac.

Nie czekasz, aż komenda się wykona do końca. Dopóki "miga kreska", komenda jest w toku. Komenda jest oznaczona jako wykonana dopiero wtedy, gdy nastąpi automatyczne przejście do nowej linii. Tak więc wklejasz komendę i ENTER, czekasz do przejścia do nowej linii. Po tym robisz nowy log z USBFix z opcji Listing.

 

 

.

[mariuszk123]

witam serdecznie

 

tylko akurat na tym pierwszym trwalo to 7 min reszta poszla bardzo szybko. 

najbardziej mi zależy na telefonie i mp3 zeby byly czyste

tym co wykryl ubuntu czyli :

win.trojan.katusha-377

worm.Autoit-36

mam sie nie martwic ?

pozdrawiam serdecznie i czekam na kolejne wiadomosci

UsbFix 27.07 .txt

UsbFix 27.07.txt

UsbFix tel+mp3 27.07.txt

[picasso]

W żadnym z podanych tu raportów USBFix nie widzę śladów tej infekcji. Problem zdaje się być rozwiązany. Dokończ sprawy ogólne w systemie:

 

1. Nie wykonałeś tego, a nowy log miał potwierdzić prawidłową ich deinstalację:

 

Przez Dodaj/Usuń programy odinstaluj:

- Starocie: Symantec Endpoint Protection + LiveUpdate 3.3, Skaner on-line mks_vir, ZoneAlarm

2. Po deinstalacjach drobne korekty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Corri\Pulpit\Continue Mipony Download Manager Installation.lnk
C:\Documents and Settings\Corri\Pulpit\DownloadManagerSetup.exe
C:\Documents and Settings\Corri\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
O15 - HKCU\..Trusted Domains: com.pl ([mks] http in Trusted sites)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nvhda32.sys -- (NVHDA)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.