Skocz do zawartości

Jedna wielka infekcja - prośba o pomoc w diagnozie 5 kompów


Rekomendowane odpowiedzi

Witam,

 

Tym razem grubsza sprawa... Sąsiad poprosił mnie dziś o pomoc w "zduszeniu wirusa z pendrajfa". W skrócie problem polega na tym, że sąsiad ma 3 laptopy, 2 stacjonarki (na razie mam dostęp tylko do 2 laptopów, logi z pozostałych kompów przedstawię jak będę miał możliwość je wykonać), 4 pendrive'y i gdzieś skądś jakoś złapał wirusa lub wirusy, które następnie prawdopodobnie poprzenosił tymi pendrive'ami z komputera na komputer. Twierdzi, że zaniósł jednego z kompów do "firmy komputerowej", która rozwiązała problem, jednak jak się nietrudno domyślić szybko on wrócił (zresztą widząc w jakim stanie firma oddała kompa jej kompetencje pozostawię bez komentarza).

 

Objaw: po włożeniu pendrive do kompa nie widać plików, które na nim były, tylko jakby skrót do tego samego pendrive, a dopiero po wejściu w ten skrót pojawiają się pliki. Przynajmniej tak to wygląda spod Windows. W pasku adresu po wejściu na skrót widać, że pliki są w dodatkowym podfolderze o pustej nazwie (zapewne w nazwie jest jakiś "pusty" znak ascii). Sprawdziłem to na własnym "czystym" (tzn. niezawirusowanym, ale miałem na nim pliki) pendrive - włożyłem go najpierw do kompa oznaczonego tu numerem 2, czyli tego, który naprawiała ta firma i efekt jw. Potem włożyłem go jeszcze do kompa nr 1, gdyż na tego pendrive kopiowałem logi, a potem na swoim kompie obejrzałem zawartość spod Ubuntu, aby zobaczyć dobrze jak to wygląda i widzę, że utworzył się wspomniany folder bez nazwy (niewidoczny na Windows), skrót do niego (widoczny na Windows) i wszystkie pliki, które wcześniej były na pendrive (wliczając mój spreparowany folder autorun.ini i znajdujący się w środku folder con, aby programy pod Windows nie mogły stworzyć pliku autorun.ini) przeniosły się do tego nowego foldera. Bezpośrednio na pendrive powstały ponadto pliki niewidoczne na Windows - desktop.ini, thumbs.db, autorun.inf (co ciekawe pusty) oraz jakiś plik z losowymi znaczkami w nazwie (inna nazwa na każdym pendrive) i rozszerzeniem ini lub inf (nie pamiętam w tej chwili, mogę sprawdzić jeśli to istotne).

 

Posiadam spakowaną kopię tych 4 plików, które się utworzyły na moim pendrive, mogę gdzieś zuploadować lub podesłać jeśli to może pomóc w diagnozie.

 

Pendrive'y póki co zabezpieczyłem w następujący sposób:

- skasowałem pliki: losowy ini/inf, desktop.ini, thumbs.db, autorun.inf

- utworzyłem folder autorun.inf i w środku folder o nazwie con - dzięki temu nie da się tego ruszyć spod Windows

- przeniosłem z powrotem zawartość foldera o "pustej" nazwie na wierzch, skasowałem folder o "pustej" nazwie

- powtórzyłem krok pierwszy (część z plików była także w folderze o "pustej" nazwie, ale tylko na jednym pendrive)

 

Proszę o info, czy coś jeszcze trzeba robić z samymi pendrive'ami. Chodzi przede wszystkim o to, żeby zabezpieczyć je tak, aby nie przynosić na nich więcej wirusów z innych kompów - wydawało mi się, że moja metoda jest dobra, ale jak widać nie jest. Na razie pouczyłem sąsiada, aby nie wkładał ich do kompów dopóki ich nie wyczyszczę. Ogólnie problem polega na tym, że nie chcę z nich usuwać wszystkich danych, gdyż mogą tam być ważne pliki, których nie ma gdzie indziej (co do tego upewnie się jeszcze), ale chcę się upewnić, że nie zostały tam pozostałości po wirusie, na pewno będę skanował ich zawartość avastem, ale nie wiem, czy to wystarczy. Na jednym pendrive znalazłem plik .exe o nazwie wskazującej na to, że jest to instalka programu Trojan Remover firmy Simply Super Software - jak dla mnie brzmi to podejrzanie, ale prosiłbym o potwierdzenie.

 

Info o kompach, które dotychczas zdiagnozowałem:

 

Komp nr 1: Jest tu Win7 SP1 x64 i jakiś zdezaktualizowany Kaspersky, na który skończyła się licencja. Poniżej dokładne logi. Log z gmer wykonywałem na końcu i robiłem go 3 razy - za 1. razem zapomniałem go zapisać, za 2. razem podczas jego wykonywania pojawił się BSOD. Za 3. razem w końcu pojawił się log. W międzyczasie zorientowałem się, że zapomniałem o defoggerze - dociągnąłem go i odpaliłem przed wykonaniem loga nr 3 lub już w trakcie (nie pamiętam już, ale wydaje mi się, że nie było potrzeby użycia go, bo nie prosił nawet o restart kompa, a na kompie nie ma alcohola ani deamon tools, ale w razie czego mam dostęp do kompów i mogę wykonać ten log raz jeszcze).

 

Komp nr 2: Jest tu WinXP SP2 bez antywirusa (sic!). Odpaliłem IE6 i zobaczyłem z 5 toolbarów - dawno nie widziałem takiego widoku. To ten komputer, który był zaniesiony niedawno do "firmy komputerowej", która podobno usunęła wirusa i stwierdziła, że komputer jest już czysty i można go spokojnie używać (sic!!!). Loga z gmer nie przedstawiam, gdyż gmer wyświetlił info, że w systemie nie ma żadnych modyfikacji. Tu również o defoggerze przypomniałem sobie po czasie i odpaliłem go już w trakcie działania gmera, być może to przyczyna, ale ponownie jak na drugim kompie odnoszę wrażenie, że nic nie zablokował. Loga z gmera już nie powtarzałem, bo generowanie pierwszego trwało bardzo długo. W ogóle system wygląda na czysty, praktycznie nie ma na nim softu, obstawiam, że "firma komputerowa" "rozwiązała problem" robiąc formata i oddając pustego kompa z SP2 bez zabezpieczeń :D

 

Nie podejmowałem na razie żadnych akcji ratunkowych ani prób zabezpieczania na kompach, poziom zainfekowania jakiego się tu spodziewam to dla mnie zdecydowanie za duży hardkor.

 

Z góry dzięki za pomoc :)

1-Addition.txt

1-checkup.txt

1-defogger_disable.txt

1-Extras.Txt

1-FRST.txt

1-gmer.txt

1-OTL.Txt

2-Addition.txt

2-checkup.txt

2-defogger_disable.txt

2-Extras.Txt

2-FRST.txt

2-OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To robak Gamarue: KLIK.

 

 

[Objaw: po włożeniu pendrive do kompa nie widać plików, które na nim były, tylko jakby skrót do tego samego pendrive, a dopiero po wejściu w ten skrót pojawiają się pliki. Przynajmniej tak to wygląda spod Windows. W pasku adresu po wejściu na skrót widać, że pliki są w dodatkowym podfolderze o pustej nazwie (zapewne w nazwie jest jakiś "pusty" znak ascii). Sprawdziłem to na własnym "czystym" (tzn. niezawirusowanym, ale miałem na nim pliki) pendrive - włożyłem go najpierw do kompa oznaczonego tu numerem 2, czyli tego, który naprawiała ta firma i efekt jw. Potem włożyłem go jeszcze do kompa nr 1, gdyż na tego pendrive kopiowałem logi, a potem na swoim kompie obejrzałem zawartość spod Ubuntu, aby zobaczyć dobrze jak to wygląda i widzę, że utworzył się wspomniany folder bez nazwy (niewidoczny na Windows), skrót do niego (widoczny na Windows) i wszystkie pliki, które wcześniej były na pendrive (wliczając mój spreparowany folder autorun.ini i znajdujący się w środku folder con, aby programy pod Windows nie mogły stworzyć pliku autorun.ini) przeniosły się do tego nowego foldera. Bezpośrednio na pendrive powstały ponadto pliki niewidoczne na Windows - desktop.ini, thumbs.db, autorun.inf (co ciekawe pusty) oraz jakiś plik z losowymi znaczkami w nazwie (inna nazwa na każdym pendrive) i rozszerzeniem ini lub inf (nie pamiętam w tej chwili, mogę sprawdzić jeśli to istotne).

- Ten "skrót" o nazwie pendrive to skrót uruchamiający infekcję. Skrót uruchamia losowo nazwany plik (te "INI", które wspominasz).

- A pogrubione są widzialne spod Windows, należy w Opcjach folderów odznaczyć opcję Ukryj chronione pliki systemu operacyjnego. Infekcja nakłada na te obiekty atrybuty HS.

 

 

Proszę o info, czy coś jeszcze trzeba robić z samymi pendrive'ami. Chodzi przede wszystkim o to, żeby zabezpieczyć je tak, aby nie przynosić na nich więcej wirusów z innych kompów - wydawało mi się, że moja metoda jest dobra, ale jak widać nie jest.

Niewiele zdziałasz przy infekcjach które nie uruchamiają się metodą autorun.inf. Tu widziana infekcja owszem tworzy taki plik, ale pusty, i podejrzewam, że tylko po to by zapobiec implantacji innych infekcji ("konkurencja"). Wariant tu opisany rozpracowuje użytkownika socjotechnicznie. Co kliknie użytkownik widząc takie coś i brak innych plików: KLIK? Oczywiście ten skrót. Infekcja się uruchamia.

 

 


Analizując raporty z systemów:

 

Windows XP

 

W ogóle system wygląda na czysty, praktycznie nie ma na nim softu, obstawiam, że "firma komputerowa" "rozwiązała problem" robiąc formata i oddając pustego kompa z SP2 bez zabezpieczeń

System jest źródłem roznoszenia infekcji, cokolwiek podepniesz pod ten system, robak Gamarue załatwi urządzenia wg schematu opisywanego powyżej:

 

HKLM\...\Policies\Explorer\Run: [59010] - C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccbtruifc.pif [100763 2004-08-04] ( (House))

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer\Run: [59010] - C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccbtruifc.pif [100763 2004-08-04] ( (House))
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccbtruifc.pif
HKLM\...\Run: [sweetIM] - C:\Program Files\SweetIM\Messenger\SweetIM.exe [114992 2011-08-01] (SweetIM Technologies Ltd.)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.)
URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.)
BHO: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
BHO: SweetIM Toolbar Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
Toolbar: HKLM - Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKLM - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.)
Toolbar: HKLM - SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
Toolbar: HKCU -Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKCU -uTorrentBar Toolbar - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.)
Toolbar: HKCU -SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\crx2E.tmp
Task: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => C:\Program Files\Ask.com\UpdateTask.exe
C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f
Reg: reg delete HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /f
Reg: reg delete HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /f
Reg: reg delete HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware: Ask Toolbar, McAfee Security Scan Plus, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2, uTorrentBar Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner.

 

 

Windows 7

 

Oznak infekcji Gamarue brak, ale jest adware i doczyść:

 

1. Poprawne deinstalacje:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, McAfee Security Scan Plus, uTorrentBar Toolbar.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom AdwCleaner.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner.

 

 

 

 

 

.

Odnośnik do komentarza

Dzięki za wskazówki i info na temat robaka :) Jesteś nieoceniona :)

 

Na kompie nr 1 (ten z Windows 7) ktoś inny w międzyczasie odinstalował przestarzałego Kaspersky'ego i McAfee Security Scan Plus oraz zainstalował Avirę. Widziałem też jakiś upierdliwy program z chomika na pulpicie, którego nie kojarzę z wcześniejszej wizyty. Kojarzysz może, czy coś takiego pakuje się jako "dodatek" przy instalacji innego programu, np. Aviry, czy może była to świadoma instalacja?) Właściciel kompa nie jest jedynym użytkownikiem i nie jest pewien :/ Nie wiem czy jeszcze coś było robione. Odinstalowałem bez problemu Ask Toolbar Updater i uTorrentBar Toolbar, z Ask Toolbar były problemy, wyskakiwał dziwny błąd "no use" lub podobnie, ale za którymś razem poszło. Logi w załączniku.

Pominąłem na razie krok z resetowaniem Firefoksa - jest tam zapisanych dużo haseł - czy ten krok je wyczyści? Co z historią i zakładkami? Jest jakieś alternatywne rozwiązanie, mniej drastyczne?

 

Na kompie nr 2 wykonałem wskazane kroki, a przynajmniej tak mi się wydawało... teraz dopiero widzę, że pominąłem krok nr 2 :/ Wykonam go w przyszłości, czy po nim będzie jeszcze raz konieczne użycie AdwCleaner i TFC? Logi w załączniku.

 

W międzyczasie przeskanowałem 2 kolejne kompy, nr 3 - stacjonarka z XP PL i nr 4 - stacjonarka z XP EN. Widzę na nich te same objawy po włożeniu pendrive, więc prawdopodobnie na obu siedzi robak. Proszę o przejrzenie logów i wskazówki.

 

Piąty, jeszcze jeden laptop z XP, będzie najprawdopodobniej jutro, bo to chyba najwolniejszy sprzęt jaki widziałem w życiu i skanowanie trwa wieki. Robaka chyba na nim nie ma, bo nie robi rabanu na pendrive (chyba, że jeszcze nie zdążył przemielić w tej swojej powolności ;)), ale dla pewności chciałbym jego też przebadać.

Edit: A jednak jeszcze dziś :)

1 - AdwCleanerR0.txt

1 - AdwCleanerS0.txt

1 - FRST.txt

2 - AdwCleanerR0.txt

2 - AdwCleanerS0.txt

2 - Fixlog.txt

2 - FRST.txt

3 - Addition.txt

3 - checkup.txt

3 - defogger_disable.txt

3 - Extras.Txt

3 - FRST.txt

3 - gmer.txt

3 - OTL.Txt

4 - Addition.txt

4 - checkup.txt

4 - defogger_disable.txt

4 - Extras.Txt

4 - FRST.txt

4 - gmer.txt

4 - OTL.Txt

Odnośnik do komentarza

Posługujesz się starszą wersją FRST z końca sierpnia. Od tego czasu wydano kolejne wersje już we wrześniu. Pobierz najnowszą wersję.

 

 

Komp 1 - Windows 7

 

Na kompie nr 1 (ten z Windows 7) ktoś inny w międzyczasie odinstalował przestarzałego Kaspersky'ego i McAfee Security Scan Plus oraz zainstalował Avirę. Widziałem też jakiś upierdliwy program z chomika na pulpicie, którego nie kojarzę z wcześniejszej wizyty. Kojarzysz może, czy coś takiego pakuje się jako "dodatek" przy instalacji innego programu, np. Aviry, czy może była to świadoma instalacja?) Właściciel kompa nie jest jedynym użytkownikiem i nie jest pewien :/ Nie wiem czy jeszcze coś było robione. Odinstalowałem bez problemu Ask Toolbar Updater i uTorrentBar Toolbar, z Ask Toolbar były problemy, wyskakiwał dziwny błąd "no use" lub podobnie, ale za którymś razem poszło. Logi w załączniku.

 

Pominąłem na razie krok z resetowaniem Firefoksa - jest tam zapisanych dużo haseł - czy ten krok je wyczyści? Co z historią i zakładkami? Jest jakieś alternatywne rozwiązanie, mniej drastyczne?

- ChomikBox (jeśli o ten Ci chodzi) jest poprawnym programem instalowanym ręcznie przez użytkownika.

- Instalacja Aviry jest "wzbogacona" paskiem Ask Toolbar (brandowany jako pasek Avira SearchFree Toolbar plus Web Protection). Adware jest wymogiem aktywacji funkcji osłony Web. I tu widzę, że ten ktoś kto zamieniał antywirusy, ponownie wprowadził Ask w system (poprzedni Ask nie był od Aviry). Adware widoczne w Google Chrome. Nie będzie usuwane.

- Reset Firefox nie narusza zakładek i haseł. Opis funkcji: KLIK. Ominąłeś reset i AdwCleaner niepotrzebnie się trudził grzebiąc w prefs.js Firefox.

 

Ten system nie stanowi troski. Tylko drobne działania poprawkowe:

 

1. Otwórz Notatnik i wklej w nim:

 

URLSearchHook: (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
FF Extension: Kaspersky URL Advisor - C:\Program Files (x86)\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
2013-09-01 16:34 - 2010-05-19 22:33 - 00000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2013-09-01 16:33 - 2010-05-19 22:37 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2013-08-31 18:25 - 2013-08-31 18:26 - 00000000 ____D C:\MSI
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Reset Firefox nadal aktualny. Akcja utworzy na Pulpicie folder "Stare dane programu Firefox" = do śmieci.

 

3. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Aktualizacja poniżej wymienionych aplikacji:

 

==================== Installed Programs =======================

 

Adobe Flash Player 10 ActiveX (x32 Version: 10.0.45.2) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.0.1.152) ----> wtyczka dla Firefox

Adobe Reader XI (x32 Version: 11.0.00)

Foxit Reader (x32 Version: 4.3.1.323)

Google Chrome (x32 Version: 28.0.1500.95)

Java™ 6 Update 27 (x32 Version: 6.0.270)

OpenOffice.org 3.2 (x32 Version: 3.2.9483)

Opera 12.15 (x32 Version: 12.15.1748)

Skype™ 5.5 (x32 Version: 5.5.113)

 

 

Komp 2 - Windows XP

 

Na kompie nr 2 wykonałem wskazane kroki, a przynajmniej tak mi się wydawało... teraz dopiero widzę, że pominąłem krok nr 2 :/ Wykonam go w przyszłości, czy po nim będzie jeszcze raz konieczne użycie AdwCleaner i TFC? Logi w załączniku.

Niestety jest już częściowo za późno. Deinstalacje przed AdwCleaner to zamierzona kolejność, gdyż samo uruchomienie AdwCleaner brutalnie usuwa wpisy (odciąłeś tym sposobem możliwość poprawnej deinstalacji większości wyliczonych). Na przyszłość: proszę trzymaj się zadanych instrukcji, nie omijaj określonych punktów. I kończ już z tym komputerem:

 

1. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\MSI (to wygląda na składnik infekcji)

C:\Program Files\Eset

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Do powtórzenia TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Aktualizacje staroci: KLIK / KLIK. Stan fatalny, wymagana pełna aktualizacja Windows i wywalenie większości aplikacji na korzyść najnowszych wersji:

 

Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 6

 

==================== Installed Programs =======================

 

Adobe Flash Player 10 Plugin (Version: 10.2.159.1) ----> wtyczka dla Firefox

Adobe Flash Player ActiveX (Version: 9.0.124.0) ----> wtyczka dla IE

Adobe Reader X (10.0.1) (Version: 10.0.1)

Foxit Reader (Version: 4.3.1.323)

Gadu-Gadu 6.1

Google Chrome (HKCU Version: 22.0.1229.94)

Microsoft Office XP Professional (Version: 10.0.4330.0)

NOD32 FiX v2.1 ----> crack won

Skype™ 3.8 (Version: 3.8.115)

 

 

Komp 3 - Windows XP

 

Zainfekowany Gamarue.

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer\Run: [11686] - C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cctrabxqk.pif [115512 2012-06-02] ( (House))

C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cctrabxqk.pif

Winlogon\Notify\WgaLogon: WgaLogon.dll [X]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

Komp 4 - Windows XP

 

Zainfekowany Gamarue.

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer\Run: [28278] - C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\ccewyazso.exe [104648 2004-08-04] ( (House))

C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\ccewyazso.exe

MountPoints2: {dd56acdf-3b09-11df-9012-001a92cd67a9} - F:\DOBRERIBE/ziza.exe

S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

Komp 5 - Windows XP

 

Usuwam załączniki. Logi zrobione w niepoprawnych warunkach (dlatego są kuriozalnie wielkie), data komputera jest cofnięta o 12 lat wstecz (!):

 

Ran by slaw (administrator) on LATTITUDE on 12-04-2001 00:42:04

 

Skoryguj czas komputera i dopiero po tym zrób nowe logi.

 

 

 

.

Odnośnik do komentarza

Dzięki ponowne :)

 

Na kompach 3-5 odpalałem FRST ściągnęte ok. tydzień temu (tuż przed analizą kompów 1-2), bo miałem problemy z dostępem do sieci w celu ściągnięcia nowszej. Dziś już użyłem świeżej i pachnącej :)

 

W załącznikach logi z kompów nr 3 i 4. Tym razem bez niespodzianek, ładnie się wszystko wyczyściło i nic raczej nie pominąłem. Komp nr 5 ogarnę dziś wieczorem.

 

Czy możesz polecić jakiegoś darmowego antywirusa, którego można zastosować na komputerach firmowych? Część to chyba domowe, będę jeszcze dopytywał. Na domowych pewnie zainstaluje Avasta, choć jestem otwarty na sugestie. Niestety do firmowych kompów raczej odpada...

 

Dzięki jeszcze raz za pomoc i wszystkie informacje :)

 

Edit: Dołączam pełen zestaw logów z kompa nr 5.

3 - Fixlog.txt

3 - FRST.txt

4 - Fixlog.txt

4 - FRST.txt

5 - Addition.txt

5 - checkup.txt

5 - defogger_disable.txt

5 - Extras.Txt

5 - FRST.txt

5 - gmer.txt

5 - OTL.Txt

Odnośnik do komentarza

Komp 3 - Windows XP

 

Zadanie pomyślnie wykonane. Czynności końcowe:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji poniższe programy: KLIK.

 

==================== Installed Programs =======================

 

Adobe Flash Player 10 ActiveX (Version: 10.1.53.64) ----> wtyczka dla IE

Foxit Reader

Microsoft Office XP Professional z programem FrontPage (Version: 10.0.2627.14) ----> instalacja SP

Mozilla Firefox (3.0.11) (Version: 3.0.11 (pl))

 

 

Komp 4 - Windows XP

 

Plik fixlist.txt miał niepoprawne formatowanie (wszystkie linie sklejone), cud że FRST to jednak przetworzył. Czynności końcowe:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Aktualizacje: KLIK. Wg raportów dramat, to wszystko wymaga aktualizacji:

 

Microsoft Windows XP Professional Service Pack 2 (X86) OS Language: English(US)

Internet Explorer Version 6

 

==================== Installed Programs =======================

 

Adobe Flash Player 10 Plugin (Version: 10.0.45.2) ----> wtyczka dla Firefox/Opera

Adobe Reader 9.4.0 - Polish (Version: 9.4.0)

ESET NOD32 Antivirus (Version: 4.0.417.0)

Foxit Reader (Version: 3.2.0.303)

Java™ 6 Update 21 (Version: 6.0.210)

Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) ----> instalacja SP1

Mozilla Firefox (3.6.13) (Version: 3.6.13 (pl))

Opera 11.01 (Version: 11.01)

Skype™ 4.2 (Version: 4.2.158)

 

 

Komp 5 - Windows XP

 

Tu nie ma tej infekcji Gamarue, ale trzeba doczyścić szczątki innych infekcji przenoszonych via USB oraz adware. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer: [RestrictRun] 0
HKCU\...\Run: [cdoosoft] - C:\WINDOWS\system32\olhrwef.exe [x]
HKCU\...\Policies\Explorer: [RestrictRun] 0
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
Toolbar: HKCU -DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
FF SelectedSearchEngine: DAEMON Search
FF SearchPlugin: C:\Documents and Settings\slaw\Dane aplikacji\Mozilla\Firefox\Profiles\v11a7gvt.default\searchplugins\daemon-search.xml
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj DAEMON Tools Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

Wszystkie kompy z XP:

 

W związku z uruchomieniem na nich GMER zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

 

Czy możesz polecić jakiegoś darmowego antywirusa, którego można zastosować na komputerach firmowych? Część to chyba domowe, będę jeszcze dopytywał. Na domowych pewnie zainstaluje Avasta, choć jestem otwarty na sugestie. Niestety do firmowych kompów raczej odpada...

Niestety, wybór bardzo limitowany. Prawie wszystkie antywirusy mają ściśle określoną licencję "do użytku niekomercyjnego domowego". Jedyne znane mi wyjątki, które się do czegoś nadają:

- COMODO Internet Security: "Is it free for business users too? Yes. However, enterprises looking to implement Internet Security on large networks of workstations would benefit from the centralized management capabilities of Comodo Endpoint Security Manager (CESM)."

- MSSE: "Program Microsoft Security Essentials jest dostępny dla małych firm z maksymalnie 10 komputerami."

 

 

.

Odnośnik do komentarza

Plik fixlist.txt miał niepoprawne formatowanie (wszystkie linie sklejone), cud że FRST to jednak przetworzył. Czynności końcowe:

 

To nie cud, między liniami są odstępy, tylko pewnie sprawdzasz pod Windows zwykłym notatnikiem, albo innym edytorem, który nie rozpoznaje znaków końca linii zrobionych pod Ubuntu ;)

 

Dzięki za wszstkie odpowiedzi, skany z kompa nr 5 wrzucę jak znajdę chwilę żeby się nim zająć.

 

W międzyczasie jeszcze drobna sprawa dot. kompa nr 2 - już wykonałem większość aktualizacji i zaskoczyło mnie, że na liście w dodaj/usuń nie widziałem w ogóle Adobe Readera (jest Adobe Air jedynie, w zasadzie Adobe Reader jest niepotrzebny, bo zainstalowałem Sumatrę, ale to dziwne, że go nie ma), oraz tego Fixa do Noda (w ogóle to dziwne, bo w kompie nie ma Noda) - czy to możliwe, że któreś z poprzednich kroków to wyczyściły?

Odnośnik do komentarza

To nie cud, między liniami są odstępy, tylko pewnie sprawdzasz pod Windows zwykłym notatnikiem, albo innym edytorem, który nie rozpoznaje znaków końca linii zrobionych pod Ubuntu

I fixlist nie jest prawidłowy/normalny. Skrypty FRST muszą być robione w systemowym Notatniku Windows. Jest to wymóg. Wszelkie inne procesory tekstu są wykluczone i nie dają żadnych gwarancji, że fiks zostanie zinterpretowany. Na przyszłość: tylko Notatnik. Autor w ogóle nie przewiduje innych scenariuszy i wyraźnie zaznacza który procesor tekstu jest obowiązkowy.

 

 

W międzyczasie jeszcze drobna sprawa dot. kompa nr 2 - już wykonałem większość aktualizacji i zaskoczyło mnie, że na liście w dodaj/usuń nie widziałem w ogóle Adobe Readera (jest Adobe Air jedynie, w zasadzie Adobe Reader jest niepotrzebny, bo zainstalowałem Sumatrę, ale to dziwne, że go nie ma), oraz tego Fixa do Noda (w ogóle to dziwne, bo w kompie nie ma Noda) - czy to możliwe, że któreś z poprzednich kroków to wyczyściły?

Żaden krok z zadanych nie dotykał tej sfery. Więc albo ktoś coś robił samodzielnie w międzyczasie, albo wpisy nie są widzialne. Sprawdź czy owe wpisy widzi to narzędzie: KLIK.

 

 

 

.

Odnośnik do komentarza

Kompy nr 1 i 3 ogarnięte w pełni - dzięki jeszcze raz :) Kompem nr 4 zajmuję się w tej chwili (zostały mi tylko niektóre aktualizacje), gdyby jeszcze były jakieś problemy, to się odezwę, tym czasem także dzięki :) Gmer na wszystkich XP wyłączył DMA - nareperowane :) Komp nr 3 z tego powodu startował ok 5-10 minut, teraz jest OK.

 

Co do kompa nr 2 - dzięki za radę, niestety podlinkowane narzędzie krzyczy o instalację SP-ileśtam do .NET Framework, która się wysypuje, więc narzędzia nie odpalę. Ale mam teorię - być może usunięcie folderka "Eset" spowodowało pozbycie się cracka? Lub w ogóle odinstalował się z nodem i został tylko martwy wpis w dodaj-usuń, który skasował np. TFC? Po Adobe Readerze z tego co widzę został tylko pusty folder w Program Files, który usunąłem dziś ręcznie. Być może usunął go faktycznie ktoś inny, choć wydaje mi się to mało prawdopodobne - prędzej uwierzę, że sam usunąłem "mechanicznie" i zapomniałem ;) Można to olać, czy jakieś pozostałości mogłyby zmniejszyć bezpieczeństwo? Noda i tak nie ma, zainstalowałem już Avasta, a do pdf'ów jest Sumatra.

 

Co do kompa nr 5 - akcje wykonane, logi w załączniku. Przy okazji zauważyłem, że to niemiłosierne mulenie powoduje proces mcshield.exe, który przez większość czasu okupuje ok 80-100% procesora, np. podczas wchodzenia do folderka, uruchamiania dowolnego programu itp. - trwa to niemiłosiernie długo i w tym czasie system strasznie zamula. Chwilami muszę czekać kilka sekund zanim wyświetli się menu kontekstowe, lub przełączy folder, bo w tle uruchamia się notatnik :/

5 - AdwCleanerR0.txt

5 - AdwCleanerS0.txt

5 - Fixlog.txt

5 - FRST.txt

Odnośnik do komentarza

Co do kompa nr 2 - dzięki za radę, niestety podlinkowane narzędzie krzyczy o instalację SP-ileśtam do .NET Framework, która się wysypuje, więc narzędzia nie odpalę. Ale mam teorię - być może usunięcie folderka "Eset" spowodowało pozbycie się cracka? Lub w ogóle odinstalował się z nodem i został tylko martwy wpis w dodaj-usuń, który skasował np. TFC?

Crack jest instalowany jako odrębny obiekt, własny klucz rejestru, cytuję z raportu OTL:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1" = NOD32 FiX v2.1

 

Więc usunięcie folderu ESET (operacja na dysku) nie powinno mieć żadnego związku z czyszczeniem tych partii (rejestr). A TFC w ogóle nie zajmuje się takimi rzeczami, jedyna rola to czyszczenie Tempów, nic poza tym. Nie wiem co się stało, ale musiała być jakaś odrębna akcja nie zadana w temacie, lub wejście jest nadal w rejestrze tylko go nie widzisz.

 

Który .NET Framework próbowałeś instalować? Czy .NET Framework 3.5 Service Pack 1 (wersja full a nie express)? Skoro narzędzie MS nieuruchamialne, to daj skan dodatkowy. Uruchom SystemLook i do skanu wklej:

 

:regfind
{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}

 

 

Przy okazji zauważyłem, że to niemiłosierne mulenie powoduje proces mcshield.exe, który przez większość czasu okupuje ok 80-100% procesora, np. podczas wchodzenia do folderka, uruchamiania dowolnego programu itp. - trwa to niemiłosiernie długo i w tym czasie system strasznie zamula. Chwilami muszę czekać kilka sekund zanim wyświetli się menu kontekstowe, lub przełączy folder, bo w tle uruchamia się notatnik :/

To proces McAfee:

 

R2 McShield; C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe [147472 2010-03-25] (McAfee, Inc.)

 

Miałam to adresować na końcu w aktualizacjach, gdyż antywirus jest starawy (komponenty z 2010). Skoro starawy i jeszcze muli = odinstaluj wszystko od McAfee i zastąp innym nowszym AV.

 

 

Komp 5

 

Finiszujemy:

 

1. Przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść Tempy za pomocą TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Kompleksowe aktualizacje, bo i tu dramat:

 

Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 6

 

==================== Installed Programs =======================

 

Adobe Reader 6.0.2 CE (Version: 006.000.002)

Microsoft Office PowerPoint Viewer 2003 (Version: 11.0.6458.0)

Microsoft Office XP Professional z programem FrontPage (Version: 10.0.2627.14)

Mozilla Firefox (3.0.10) (Version: 3.0.10 (pl))

 

 

 

.

Odnośnik do komentarza

Dzięki za wszystko :) Kawał dobrej roboty :)

 

Do kompa nr 2 jeszcze wrócę, ale pewnie w przyszłym tygodniu, bo w tym już nie znajdę na to czasu, więc proszę o nie zamykanie na razie tematu.

 

Mam jeszcze dotatkowe pytanko dotyczące service packów do MS Office. Nie jestem pewien, czy pakiety są legalne, czy scrackowane - czy w tym drugim przypadku instalacja SP może zablokować pakiet? Na razie pominąłem ten krok, bo właściciele twierdzą, że jakiegoś Office kupowali, ale nie pamiętają jakiego i czekam aż znajdą jakieś info :/

Odnośnik do komentarza

Mam jeszcze dotatkowe pytanko dotyczące service packów do MS Office. Nie jestem pewien, czy pakiety są legalne, czy scrackowane - czy w tym drugim przypadku instalacja SP może zablokować pakiet? Na razie pominąłem ten krok, bo właściciele twierdzą, że jakiegoś Office kupowali, ale nie pamiętają jakiego i czekam aż znajdą jakieś info :/

Nic nie wiem na ten temat. Z forum pamiętam tematy, że SP dało się zainstalować w takich "warunkach", ale czy on miał jakiś dalszy wpływ na te "aspekty", to już niejasne.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

To by poświadczało, że crack NOD jednak został odinstalowany. Co do tego nowego szukania na wpis Adobe Reader, to on nie ma gra dużej roli, to tylko szczątkowy wpis korespondujący do listy Dodaj/Usuń ale nie wejście instalacyjne per se. Dokończ ręcznie klucz i tyle. Przy okazji, jest aplikacja ARPCache Viewer do dekodowania takich danych.

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...