Samoregenerujące się trojany

[KwasNasycony]

Hej.

 

Zaczynając od początku - nękają mnie wredne trojany. Dokładnie to:

 

Koń trojański Generic34.AJIB - c:\Documents and Settings\All Users\dxtfszet.exe

Koń trojański BackDoor.Generic17.APVI - z punktu przywracania systemu, ale ładnie wyczyściłam i jest gut

Koń trojański BackDoor.Generic17.APVI - c:\Documents and Settings\Asia\Dane aplikacji\jrdevdig\rtgiawcs.exe

 

AVG nie daje sobie rady, każde te "cudeńko" pojawia się od nowa przy starcie. Mogę sobie skanować, usuwać, leczyć, a w zamian dostanę to samo przy reboocie. Cóż by tu zrobić? Ano tak! GMER pobrany, OTL pobrany, FRST pobrany... no to czas zacząć robić logi. Znaczy się, fajnie by było, gdybym zrobiła te logi. Tylko jeden na trzy programy działa. OTL. GMER wywala przepiękny niebieściutki jak niebo wiosenne ekran, którego nie widzę, bo po sekundzie się resetuje, FRST się zawiesza. O ironio! W tym momencie musicie mi to robić?!

 

Cóż za sukces! FRST wesoło zrobił swoje logi, ale GMER dalej nie rusza. Pięknego ekranu dalej nie widzę.

 

Więc wrzucam logi tylko z OTL, bo inne programy mają focha na mnie, mhm.

 

Problem numer dwa - nie działa port USB. 

MP3 się wesoło ładuje, tylko pendrive nie działa. Mam dłuuugi kabel wychodzący z tylnych portów, który kończy się wtyczką. Zawsze działał, a teraz - nope. Gdy podłączam coś na dolny port, to wszystko działa. Ehh.

 

z góry dziękuje za pomoc, a wiem, że na pewno ją uzyskam ^^

 

 

/edit

No tak, jak podejrzewałam - zzrzutu minidump nie ma w folderze, a opcję mam zaznaczoną. Soooo sad.

/edit

 

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

[picasso]

1. Pobierz najnowszą wersję FRST (ma określone poprawki). Następnie otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\Asia\Dane aplikacji\jrdevdig
C:\Documents and Settings\Asia\Dane aplikacji\wehsuguw
C:\WINDOWS\system32\cache
HKCU\...\Policies\Explorer\Run: [Cocoon Software] C:\Documents and Settings\Asia\Dane aplikacji\wehsuguw\rtgiawcs.exe [98304 2011-01-15] ( ())
SearchScopes: HKCU - ${searchCLSID} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
Toolbar: HKCU -No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF Plugin: @nexon.net/NxGame - C:\Documents and Settings\All Users\Dane aplikacji\NexonUS\NGM\npNxGameUS.dll No File
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
S3 ApfiltrService; system32\DRIVERS\Apfiltr.sys [x]
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [x]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [x]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [x]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [x]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i hasel, ale używane rozszerzenia trzeba będzie przeinstalować.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[KwasNasycony]

1. Pobrane, wyczyszczone, log z czyszczenia:

 

Fixlog.txt

 

 

2. Done. Wszystko wyczyszczone, zakładki/hasła/etc nie zostały usunięte.

 

 

3.  Zrobione.

FRST.txt

 

 

Czy mam wykonać coś jeszcze? 

[picasso]

Te odczyty w wynikach są bardzo dziwne:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\HKCU => Value not found.

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\SearchScopes: HKCU - ${searchCLSID} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} => Value not found.

 

Pierwszy wpis nie wygląda na przetworzony, ale w nowym logu go nie ma już. Drugi błędnie zinterpretowany i trzeba poprawić.

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Na wszelki wypadek zrób nowy log OTL z opcji Skanuj (bez Extras), dla porównania z FRST.

 

 

 

.

[KwasNasycony]

1. Zrobione, log:

Fixlog.txt

 

2. Wedle życzenia - log z OTL, bez Extras

 

OTL.Txt

 

[picasso]

Kolejna porcja działań:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found
IE - HKU\S-1-5-21-1645522239-1078081533-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
[2012-03-16 07:33:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP
[2013-06-03 17:48:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\tmp
[2013-06-23 07:30:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Asia\Dane aplikacji\BabSolution
[2013-06-23 07:28:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Asia\Dane aplikacji\Babylon
[2012-03-04 22:11:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Asia\Dane aplikacji\LOVE
[2012-12-04 11:26:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Asia\Dane aplikacji\YourFileDownloader
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez SHIFT+DEL skasuj foldery:

 

C:\Documents and Settings\Asia\Pulpit\Stare dane programu Firefox

C:\FRST

 

W OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób pełny skan w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[KwasNasycony]

Punkty 1-3 zrobione.

 

4.

 

Wykrytych kluczy rejestru: 4

HKCR\AppID\{186E19A3-B909-4F48-B687-BB81EB8BC7CE} (Trojan.BHO) -> Nie wykonano akcji.

HKCR\bho_project.bho_object (Trojan.BHO) -> Nie wykonano akcji.

HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr) -> Nie wykonano akcji.

HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Nie wykonano akcji.

 

Wykrytych wartości rejestru: 1

HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Data: 0L1N1H2O1S -> Nie wykonano akcji.

 

Wykryte wpisy rejestru systemowego: 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders|Startup (Hijack.Startup) -> Złe: (C:\Documents and Settings\All Users\My applications) Dobre: (%USERPROFILE%\Start Menu\Programs\Startup) -> Nie wykonano akcji.

 

 

 

 

 

Jak na razie zrobiłam szybkie skanowanie, ponieważ śpieszy mi się, a nie mogę zostawić komputera na noc. Robić coś z tym, czy false positive?

[picasso]

Wszystkie wyniki są do usunięcia. 99% to szczątki adware, a ten ostatni wynik to resztka starej infekcji (przekierowany folder Autostart).

 

Skoro chwilowo nie masz czasu, poczekam aż zrobisz pełny skan.

 

 

 

.

[KwasNasycony]

Okej, wszystko przeskanowane. MBAM nic nie wykrył,  czy to już wszystko? Jeśli tak, to serdecznie dziękuje za pomoc Myślę, że temat powinien iść do zamknięcia. 

[picasso]

Na koniec:

 

1. Ponownie wyczyść foldery Przywracania systemu, gdyż odbyły się kolejne zmiany.

 

2. Zaktualizuj Adobe Reader, Java i Silverlight: KLIK.

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[KwasNasycony]

1. Wyczyszczone.

2. Wszystko zaaktualizowane.

3. Większość haseł na stronach, na które regularnie wchodzę zmieniona. 

 

Dziękuje za pomoc, temat do zamknięcia