Internet Security

[adrenaU]

Witam,

tym razem infekcja bardzo oporna, a wynika to m.in z:

- blokuje pliki EXE a nawet REG - nic nie mogę zainstalować a nawet zrobić raportu

- nawet jak uda się wejść w tryb SafeMode wybór jest ustawiony na: Uruchamianie normalne: a strzałkami nie mogę wybrać trybu awaryjnego - to akurat szczególnie mnie zaskoczyło

 

Proszę o jakieś sugestie.

[picasso]

- nawet jak uda się wejść w tryb SafeMode wybór jest ustawiony na: Uruchamianie normalne: a strzałkami nie mogę wybrać trybu awaryjnego - to akurat szczególnie mnie zaskoczyło

Wygląda na brak obsługi klawiatury USB (nie ładowane sterowniki). W takim przypadku jedno z dwóch:

- Wejdź do BIOS i szukaj opcję w stylu "Enable USB Legacy Support" lub coś brzmiącego podobnie.

- Albo podepnij klawiaturę typu PS/2.

 

W przypadku braku rezultatów zrób raport FRST z poziomu środowiska zewnętrznego.

 

 

 

.

[adrenaU]

Przeprszam, że nie podałem ale to jest laptop Asus K52J. A za chwilkę wrzucę logi zrobione LiveCD.

 

FRST nie ma obrazu ISO? Jaką płytę zabotować aby udało się uruchomić plik EXE z pendriva?

 

OK, nagrywam Win7 OEM i zaraz zabootuje

[picasso]

Tylko zaznaczę, mnie chodzi o log z FRST a nie z OTLPE (stara płyta). Nie, FRST nie ma ISO, do jego uruchomienia jest potrzebne środowisko WinRE (DVD instalacyjne Windows lub płyta z samym WinRE).

[adrenaU]

Załączam log:

 

W BIOSie Legacy USB Support jest włączone

 

Udało mi się wejść w Tryb awaryjny i zrobić logi z OTL.

Zainstalowałem tez Malwarebyte, ale wiesza się przy próbie skanowania

FRST.txt

OTL.Txt

[picasso]

Prócz "Internet Security", tu jest także infekcja CLSID. Usuwanie będzie jednak robione partiami. Skrypt jest przeznaczony do uruchomienia w środowisku zewnętrznym WinRE a nie spod Windows:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [] - [x]
HKU\user\...\Run: [LAN Messenger] - [x]
HKU\user\...\Run: [internet Security] - C:\ProgramData\msecurity.exe [ 2013-09-21] (Disc Soft Ltd)
C:\ProgramData\msecurity.exe
C:\ProgramData\384E.tmp
C:\ProgramData\3562.tmp
C:\Users\Public\Desktop\Internet Security 2013.lnk
C:\Users\user\AppData\Roaming\Microsoft\Update
C:\Users\user\AppData\Local\Temp\*.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zastartuj do Trybu normalnego Windows. Zrób nowy skan FRST (ma powstać też plik Addition). Dołącz plik fixlog.txt.

 

 

 

.

[adrenaU]

W międzyczasie udało mi się zdusić infekcję przy pomocy UnhackMe a później Malwarebyte, także niektóre pliki przeznaczone do usunięcia z Twojego skryptu już zostały skasowane.

Ogólnie po tym wszystkim system się sypie: Kaspersky Workspace Security zużywa 100% CPU i zawiesza się podczas próby deinstalacji a komputer nie zamyka się inaczej oprócz harde reset

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Na przyszłość: proszę powstrzymaj się z działaniami dopóki trwa analiza. Poza tym, nie wykonujesz poleceń dokładnie, mówiłam wyraźnie:

 

Skrypt jest przeznaczony do uruchomienia w środowisku zewnętrznym WinRE a nie spod Windows:

Uruchomiłeś skrypt spod Windows (Boot Mode: Normal), a on nie był przeznaczony do uruchomienia w taki sposób! W środowisku WinRE wpisy wyglądają inaczej, dlatego nie zostaną przetworzone spod Windows ("not found"). Proszę trzymaj się instrukcji ściśle, nie zmieniaj ich.

 

Teraz oczywiście już usuwanie spod Windows:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Roaming\Microsoft\Update\wuausrv_x86.dll ATTENTION! ====> ZeroAccess?
HKLM\...\Run: [] - [x]
HKCU\...\Run: [LAN Messenger] - [x]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST9640320AS_5WX1WRJLXXXX5WX1WRJL&ts=1374083119
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST9640320AS_5WX1WRJLXXXX5WX1WRJL&ts=1374083119
BHO: DealPly Shopping - {4B6ACEA2-308A-4876-AD36-57CEC5B4FCC7} - C:\Program Files\DealPly\DealPlyIE.dll No File
Task: {BAD99BA9-C40F-49FE-A406-DEC364D2EB45} - System32\Tasks\DealPlyUpdate => C:\Program
S2 MBAMScheduler; "\mbamscheduler.exe" [x]
S2 MBAMService; "\mbamservice.exe" [x]
S1 A2DDA; \??\C:\EmsisoftEmergencyKit\Run\a2ddax86.sys [x]
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [x]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\mbamswissarmy.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowe logi: skan FRST (bez Addition), Farbar Service Scanner, GMER. Dołącz plik fixlog.txt.

 

 

 

.

[adrenaU]

Mój błąd, zastosowałem fix zanim doczytałem dokońca

Gmer się wiesza - jest okno ale nie mogę przeskanować - bede probowal.

FSS.txt

FRST.txt

Fixlog.txt

[picasso]

Czy te objawy nadal mają miejsce (?):

 

Kaspersky Workspace Security zużywa 100% CPU i zawiesza się podczas próby deinstalacji a komputer nie zamyka się inaczej oprócz harde reset

Dodaj mi jeszcze skan dodatkowy. Uruchom SystemLook i do okna wklej:

 

:regfind
tmp.exe
wuausrv.dll
wuausrv32.dll
wuausrv_x86.dll

 

Klik w Look i podaj wynikowy skan.

 

 

Gmer się wiesza - jest okno ale nie mogę przeskanować - bede probowal.

Zamiennie zrób skan w Kaspersky TDSSKiller. Jeśli narzędzie coś wykryje, ustaw Skip i tylko log do oceny przedstaw. Jeśli narzędzie nic nie wykryje, log zbędny.

 

 

 

.

[adrenaU]

W trybie SafeMode udało się wyłączyć Kasperskiego a potem go zdeinstalować. Podaję zaległy skan z GMERa i pozostałe logi.

tdss.txt

SystemLook.txt

gmer.txt

[picasso]

Hmmm!? W wynikach wyszukiwania SystemLook znowu jest ... to co już było usuwane, czyli infekcja CLSID:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]

@="C:\Users\user\AppData\Roaming\Microsoft\Update\wuausrv_x86.dll"

 

Poproszę o nowy log z FRST.

 

 

.

[adrenaU]

Proszę bardzo

FRST.txt

[picasso]

Czy Ty przypadkiem nie odkręciłeś zmian jakimś procesem typu Przywracanie systemu? Ja widzę w rejestrze te same wpisy, które już były usuwane. Robota od początku:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Roaming\Microsoft\Update\wuausrv_x86.dll ATTENTION! ====> ZeroAccess?
C:\Users\user\AppData\Roaming\Microsoft\Update
HKLM\...\Run: [] - [x]
HKCU\...\Run: [LAN Messenger] - [x]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST9640320AS_5WX1WRJLXXXX5WX1WRJL&ts=1374083119
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST9640320AS_5WX1WRJLXXXX5WX1WRJL&ts=1374083119
BHO: DealPly Shopping - {4B6ACEA2-308A-4876-AD36-57CEC5B4FCC7} - C:\Program Files\DealPly\DealPlyIE.dll No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Task: {BAD99BA9-C40F-49FE-A406-DEC364D2EB45} - System32\Tasks\DealPlyUpdate => C:\Program
S2 MBAMScheduler; "\mbamscheduler.exe" [x]
S2 MBAMService; "\mbamservice.exe" [x]
S1 A2DDA; \??\C:\EmsisoftEmergencyKit\Run\a2ddax86.sys [x]
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [x]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\mbamswissarmy.sys [x]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[adrenaU]

Nie przywracałem systemu - na żadnym etapie!

FRST.txt

Fixlog.txt

[picasso]

Nie wiem co się tu działo, ale postać oglądana w raporcie wyraźnie wskazuje na przywrócenie określonych danych rejestru. Akcja znów wykonana. Idziemy dalej:

 

1. Porządki: przez SHIFT+DEL skasuj foldery C:\FRST + C:\Program Files\Kaspersky Lab, w OTL uruchom Sprzątanie.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Posiadasz MBAM, więc ponów nim pełny skan i podaj czy coś jest wykrywane.

 

 

 

.

[adrenaU]

Czyszczenie zrobione, MBAM nic nie wykryło

[picasso]

Na koniec:

 

1. Odinstaluj starą Java 7 Update 9 i zastąp najnowszą, o ile w ogóle potrzebna: KLIK. To m.in. luki w Java są przyczyną infekcji.

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

[adrenaU]

OK, dziękuje bardzo! To akurat nie mój laptop, ale gratisowo porobię aktualizcje

Pozdrawiam serdecznie