b4mbus Opublikowano 11 Listopada 2010 Zgłoś Udostępnij Opublikowano 11 Listopada 2010 Witam, zainfekował mi się komputer trojanem SSHNAS, Kaspersky go usunął jednak pozostały błędy po tym wirusie i nie mogę sobie z nimi poradzić. A jaśniej nie działa javascript. Dokladnie chodzi o, że okno główne programu AQQ jest martwe, znaczy nie da się w nic kliknać i tak sobie wisi. Wiadomości przychodzą jednak nie ma możliwości ich odczytania. Po wielu poszukiwaniach znalazłem drogę tutaj i właśnie do @Picasso która rozwiązała podobno problem z niedziałającymi gadżetami po tym trojanie. Używam AQQ które korzysta z ustawień IE aktualnie posiadam IE8 które zostało odinstalowane z systemu i zainstalowane ponownie. Windows7 posiadam aktualizacje codziennie przechodzą. PLik SSHNAS21.dll z katalogu system32 usunięty przez kaspersky. Skanowanie nie wykazuje innych infekcji. Proszę o pomoc. W załączniku logi mam nadzieje, że prawidłowe. Odinstalowałem Kaspersky'ego teraz reset wczesniejsze zmiany w rejestrze i ustawieniach blokowania skryptów nie pomogły. Ustawienia dla IE wszystkie poprawnie. Dla pewności dałem domyślne. Extras.Txt OTL.Txt gamer.txt Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2010 Zgłoś Udostępnij Opublikowano 11 Listopada 2010 (edytowane) Logi nieprawidłowe. OTL nie jest kompletny (jest obcięty na dole i kończy listing na plikach ostatnio utworzonych), zabrakło i Extras (źle skonfigurowany skan). Brak obowiązkowego GMER pod kątem rootkitów. Wszystko opisane tu: KLIK. SystemLook jest całkowicie rozkodowany. Ten serwis wklejkowy nie jest najlepszym do takich rzeczy. Czyli: proszę o solidnie zrobione logi od nowa i dołączone tu funcją Załączniki a nie przez ten serwis wklejowy. Zedytuj swój poprzedni post. A jaśniej nie działa javascript. Używam AQQ które korzysta z ustawień IE Opisz dokładniej na czym polega "nie działanie" JavaScript. Wstępnie: 1. Opcje internetowe > Zabezpieczenia > dla strefy Internet Poziom niestandardowy > opcje ustawione poprawnie? 2. Jest tu Kaspersky, a to właśnie Kaspersky ma standardowo wpływ na działanie skryptów (KLIK), toteż sprawdź jak się zachowa system po wyłączeniu opcji filtrowania skryptów. aktualnie posiadam IE8 które zostało odinstalowane z systemu i zainstalowane ponownie Nie w tradycyjnym rozumieniu. Opcja zlokalizowana w Programy i funkcje tylko deaktywuje pewne rzeczy i nie reinstaluje bazowej maszyny (KLIK). Prawdziwa kompletna reinstalacja to tylko via nadpis całego Windows z płyty DVD opcją Aktualizacja. EDIT: W raportach nie ma już żadnych śladów wskazujących na tę infekcję. W takim razie pokaż dostosowany skan skierowany na pliki skryptów. W OTL w sekcji Własne opcje skanowania / skrypt wklej: netsvcs /md5start jscript.dll msxml3.dll scrrun.dll vbscript.dll /md5stop Klik w Skanuj (a nie wykonaj skrypt). Przedstaw wyniki. . Edytowane 11 Listopada 2010 przez picasso Odnośnik do komentarza
b4mbus Opublikowano 11 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2010 Nie ma śladów po infekcji bo już usunięto kilka wpisów z OTL. -log w załączniku Przeskanowano i wklejam logi. OTL.Txt Extras.Txt 11112010_103237.txt Odnośnik do komentarza
VPN Opublikowano 11 Listopada 2010 Zgłoś Udostępnij Opublikowano 11 Listopada 2010 A ja dodam w tym temacie, że jesteśmy bezradni z AQQ. Ten błąd uniemożliwia korzystanie z programu. Co zaskakujące podobno nowe konto użytkownika w Windows rozwiązuje ten problem. Niektórzy mają problem mimo, że prawdopodobnie infekcji nie mieli. Tylko pytanie jak to naprawić bez zbędnego kombinowania... Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2010 Zgłoś Udostępnij Opublikowano 11 Listopada 2010 Nie ma śladów po infekcji bo już usunięto kilka wpisów z OTL. -log w załączniku Właśnie miałam pytać kto majstrował tu przede mną, bo widziałam w logu jawny ślad wykonywania skryptu do OTL. Po pierwsze: nikt tu nie usuwał żadnych śladów infekcji, w skrypcie nie ma takich działań. Po drugie, rzeźniczo wycinano HyperCam Toolbar, który przecież wystarczyło odinstalować (i nadal jest wpis tego paska narzędziowego na liście zainstalowanych programów). Po trzecie, ktoś Ci zaszkodził, ja tu widzę poważne błędy polegające na usunięciu "not found" ważnych wpisów systemu, które takowymi nie są: Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. ... oraz wywaleniu w kosmos prawidłowych plików (pierwsze trzy od kamery, ostatni wiadomo): gistry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LogitechCommunicationsManager not found.C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe moved successfully.Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\snp2std not found.C:\Windows\vsnp2std.exe moved successfully.Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tsnp2std not found.C:\Windows\tsnp2std.exe moved successfully.Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\vmware-tray not found.C:\Program Files\VMware\VMware Workstation\vmware-tray.exe moved successfully. Napraw to wszystko. Z C:\_OTL wyciągnij te skasowane pliki i podrzuć na miejsce. Natomiast uzupełnienie wpisów rejestru - Otwórz Notatnik i wklej w nim to: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "VMApplet"="SystemPropertiesPerformance.exe /pagefile" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz Importuj i wskaż FIX.REG. **************************************************** Wracając do tematu przewodniego. W kwestii wyników z plików - wszystkie pliki wydają się być w porządku, mają identyczne sumy kontrolne i rozmiary jak pliki w moim Windows 7. Czyli raczej nie tu należy szukać. Spróbuj: 1. Master reset Internet Explorer do poziomu domyślnego przez narzędzie Fix it z artykułu KB923737. Jeśli nie pomoże: 2. Sprawdź dokładnie w rejestrze wygląd kluczy, które podawałam w temacie gadżetów: KLIK. Sprawdź czy w poniższych kluczach nie zostały aby dodane klucze .vbs i .js: HKEY_CURRENT_USER\Software\Classes HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts Wyeksportuj mi także do wglądu klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.vbs HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.js EDIT: Co zaskakujące podobno nowe konto użytkownika w Windows rozwiązuje ten problem. Nie widziałam tego posta odpowiadając. Jeśli nowe konto rozwiązuje problem, to muszą w grę wchodzić jakieś ustawienia w HKEY_CURRENT_USER, jeśli mowa o rejestrze. . Odnośnik do komentarza
b4mbus Opublikowano 12 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2010 1. Master reset Internet Explorer do poziomu domyślnego przez narzędzie Fix it Zrobione. Brak popawy Sprawdź czy w poniższych kluczach nie zostały aby dodane klucze .vbs i .js: Nic nowego nie utworzono Wyeksportuj mi także do wglądu klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.vbs HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.js W załączniku. Pliki analogicznie w kolejności. 1.txt 2.txt 3.txt 4.txt 5.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2010 Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Zróbmy inaczej. Zapakuj mi cały rejestr do wglądu. To będzie dla mnie łatwiejsze i będę mieć większe pole do szukania. Wyprodukuj kopię całego rejestru przy udziale narzędzia ERUNT, jako docelowe miejsce kopii wskaż np. folder "TMP" utworzony na Pulpicie. Wynikową grupę plików rzuć do ZIP, na jakiś hosting (np. SpeedyShare) i podaj tu link. Odnośnik do komentarza
b4mbus Opublikowano 12 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Mam nadzieję, że o to chodziło. http://www.speedyshare.com/files/25146540/2010-11-12.rar Dodam, że zainstalowano własnie IE w wersji 9 i bląd się nie naprawił... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2010 Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Paczkę pobrałam, sprawdzanie mi zajmie trochę. Jeszcze mam pytanie, czy próbowałeś najprostszej z rzeczy, czyli re-rejestracji plików skryptów? Start > w polu szukania CMD > z prawokliku Uruchom jako Administrator i komendy: regsvr32 vbscript.dll regsvr32 jscript.dll + restart komputera? Dodam, że zainstalowano własnie IE w wersji 9 i bląd się nie naprawił... To było wątpliwe w obliczu zastosowanych tu fiksów. Zaś sam IE9 nie tylko w nazwie jest "beta". . Odnośnik do komentarza
b4mbus Opublikowano 12 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Tak próbowałem. Nawet na forum AQQ podano skrypt do rejestracji plików regsvr32 /s actxprxy.dll regsvr32 /s asctrls.ocx regsvr32 /s browseui.dll regsvr32 /s cdfview.dll regsvr32 /s comcat.dll regsvr32 /s comctl32.dll regsvr32 /s corpol.dll regsvr32 /s cryptdlg.dl regsvr32 /s cryptdlg.dll regsvr32 /s digest.dll regsvr32 /s dispex.dll regsvr32 /s dssenh.dll regsvr32 /s dxtmsft.dll regsvr32 /s dxtrans.dll regsvr32 /s gpkcsp.dll regsvr32 /s hlink.dll regsvr32 /s iepeers.dll regsvr32 /s iesetup.dll regsvr32 /s imgutil.dll regsvr32 /s inetcpl.cpl regsvr32 /s initpki.dll regsvr32 /s inseng.dll regsvr32 /s jscript.dll regsvr32 /s licmgr10.dll regsvr32 /s mlang.dll regsvr32 /s mobsync.dll regsvr32 /s msapsspc.dll regsvr32 /s mshta.exe regsvr32 /s mshtml.dll regsvr32 /s mshtmled.dll regsvr32 /s msident.dll regsvr32 /s msieftp.dll regsvr32 /s msjava.dll regsvr32 /s msnsspc.dll regsvr32 /s msr2c.dll regsvr32 /s msrating.dll regsvr32 /s msxml.dll regsvr32 /s occache.dll regsvr32 /s oleaut32.dll regsvr32 /s plugin.ocx regsvr32 /s pngfilt.dll regsvr32 /s proctexe.ocx regsvr32 /s rsaenh.dll regsvr32 /s sccbase.dll regsvr32 /s scrobj.dll regsvr32 /s sendmail.dll regsvr32 /s setupwbv.dll regsvr32 /s shdocvw.dll regsvr32 /s slbcsp.dll regsvr32 /s softpub.dll regsvr32 /s tdc.ocx regsvr32 /s urlmon.dll regsvr32 /s vbscript.dll regsvr32 /s webcheck.dll regsvr32 /s wininet.dll regsvr32 /s wintrust.dll Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2010 Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Szybkie pytanie (dalej sprawdzam): Odinstalowałem Kaspersky'ego teraz reset wczesniejsze zmiany w rejestrze i ustawieniach blokowania skryptów nie pomogły. Czy Kaspersky został przywrócony / ponownie zainstalowany (na co wskazują też bogate ślady w rejestrze)? Przecież ja widzę, że on nadal filtruje skrypty: [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\vbscript.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\vbscript.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\vbscript.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{989D1DC0-B162-11D1-B6EC-D27DDCF9A923}\InProcServer32]"ThreadingModel"="Both"@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""OriginalDll"="%SystemRoot%\\System32\\msxml3.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\jscript.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\jscript.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\jscript.dll" [HKEY_LOCAL_MACHINE\TEST\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]@="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2011\\scrchpg.dll""ThreadingModel"="Both""OriginalDll"="C:\\Windows\\system32\\jscript.dll" (gałąź "TEST" to nazwa robocza pod jaką podmontowałam Twój rejestr) . Odnośnik do komentarza
b4mbus Opublikowano 12 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Czy Kaspersky został przywrócony / ponownie zainstalowany (na co wskazują też bogate ślady w rejestrze)? Przecież ja widzę, że on nadal filtruje skrypty: Tak zainstalowałem nowego kasperskyego 2011. Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2010 Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Chyba znalazłam o co chodzi. W strefach zabezpieczeń IE masz bardzo dziwny klucz ze znakiem Unicode: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (wyświetla się jako para-literka "L") (na obrazku jest HKEY_LOCAL_MACHINE ale to wynik montowania przeze mnie rejestru w innym miejscu) Nie ma czegoś takiego, strefy są w zakresie od 0 do 4. To coś rzekomo odnosi się do "Komputera", ale strefa 0 to jest Mój komputer, i na dodatek ma ustawione 1806 (czyli Uruchamianie aplikacji i niebezpiecznych plików) na zero (dozwolone). Zrobiłam pomyślny test z AQQ. Wprowadziłam sobie ten Unicode-klucz do rejestru. Po starcie AQQ okno jest całkowicie martwe. Nie da się w ogóle nigdzie kliknąć. Kaput. Start > w polu szukania regedit > PPM i Uruchom jako Admin > skasuj ten klucz z rejestru. Dla pewności restart kompa. . Odnośnik do komentarza
b4mbus Opublikowano 12 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Bez restartu POMOGŁO !! Nie wiem jak Ci dziękować ! Dzieki wielkie za pomoc ! Temat uważam za zamknięty. Problem rozwiązano. ! Odnośnik do komentarza
VPN Opublikowano 12 Listopada 2010 Zgłoś Udostępnij Opublikowano 12 Listopada 2010 Ja też chcę podziękować. Bez pomocy picasso męczylibyśmy się z tym jeszcze długo. Odnośnik do komentarza
Rekomendowane odpowiedzi