Skocz do zawartości

Pozostałości po NETCUT oraz anty netcut'ach


steraf

Rekomendowane odpowiedzi

U znajomej w akademiku podobno używają NETCUT'a, w samoobronie również zainstalowała ten syf. Komputer uruchomił się dopiero w trybie awaryjnym, po przywruceniu systemu strasznie wolno działał. Został użyty combifix (nie wiem co konkretnie). Antimalware pokazuje dużą ilość syfu ale nic nie usuwa. W załączniku logi z OTL oraz FRST, na czas działania uruchomiono Deffoger.

 

W sieci znalazłem kilka poradników odnośnie obrony przed NETCUT'em. Wszystkie wyglądają mniej więcej tak: http://forum.slackware.pl/viewtopic.php?t=3972. Problem występuje od roku, admini albo nie są świadomi problemu, nie wiedzą jak z tym walczyć, albo po prostu mają to głęboko gdzieś....

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W sieci znalazłem kilka poradników odnośnie obrony przed NETCUT'em. (...) Problem występuje od roku, admini albo nie są świadomi problemu, nie wiedzą jak z tym walczyć, albo po prostu mają to głęboko gdzieś....

Blokowanie takich zjawisk via statyczne ARP jest w gestii administratorów sieciowych. To oni powinni skonfigurować router w odpowiedni sposób.

 

 

Został użyty combifix (nie wiem co konkretnie).

Przedstaw log, widzę że na Pulpicie jest plik ComboFix.txt.

 

 

Antimalware pokazuje dużą ilość syfu ale nic nie usuwa.

Przedstaw raport.

 

 


W raportach nie widać oznak infekcji w rozumieniu trojanów, jest za to adware nabyte z portali (KLIK) oraz szczątki McAfee. Pod tym kątem:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {6F6ED734-4A64-4C83-8ADB-31B31D9A7520} - System32\Tasks\BitGuard => Sc.exe start BitGuard
Task: {A522DA93-202B-4F74-A15A-F791DAD296B0} - System32\Tasks\DealPly => C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE
Task: {EC857676-B49A-44AA-B5FC-0F016C7F5507} - System32\Tasks\EPUpdater => C:\Users\1\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] ()
R2 BitGuard; C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [2845664 2013-09-23] ()
AppInit_DLLs-x32: c:\PROGRA~3\BitGuard\261694~1.246\{C16C1~1\BitGuard.dll [2704352 2013-09-23] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019
HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1361702554814&tguid=33953-3546-1361702551857-598191
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1361702554814&tguid=33953-3546-1361702551857-598191
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL =
BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121020214230.dll No File
BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121020214230.dll No File
BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll No File
Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\1\AppData\Roaming\BabSolution\CR\Delta.crx
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml
FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
S4 MSK80Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [x]
S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.)
S3 catchme; \??\C:\ComboFix-tamindir\catchme.sys [x]
C:\Windows\System32\drivers\HipShieldK.sys
C:\Windows\SysWOW64\searchplugins
C:\Windows\SysWOW64\Extensions
C:\Users\1\AppData\Local\avgchrome
C:\Users\1\AppData\Roaming\BabSolution
C:\Users\1\AppData\Roaming\Yandex
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware: BitGuard, Bundled software uninstaller, Delta Chrome Toolbar, Delta toolbar.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. Google Chrome ma uszkodzone preferencje i zapewne adware też tam jest. W przeglądarce wykonaj:

  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
  • Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty"
  • Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy dodane śmieci.
  • Ustawienia > karta Historia > wyczyść
5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Log ComboFix w załączniku, po czyszczeniu antimalwarem nie chciał wstać. Po przywróceniu systemu komp ruszył, szczegółów niestety nie znam, kobieta coś klikała, w sumie sama nie wie co. Przed chwilą komp został przeskanowany antimalwarem ponownie (bez czyszczenia), log w załączniku.

 

1. 3. 4. 5. 6. Zrobione

2. Nie widać Delta Chrome toolbar

 

ComboFix.txt

fixlist.txt

MBAM-log-2013-10-14 (20-36-54).txt

AdwCleanerS0.txt

FRST.txt

Fixlog.txt

Odnośnik do komentarza

ComboFix i MBAM wykryły to samo o czym już mówiłam, czyli adware. Usuwanie tych obiektów nie powinno mieć wpływu na niemożność startu Windows. Nasuwa się, iż to uruchomienie ComboFix mogło to spowodować, gdyż to najsilniejszy wdrożony proces. Tym bardziej, że log z ComboFix ma dziwne odczyty typu "Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces".

 

Zadania wykonane. Poprawki

 

1. FRST nie był zdolny przetworzyć tego krzaczastego wpisu:

 

SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = 

 

Start > w polu szukania wpisz regedit > z prawokliku skasuj:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ten krzak

 

2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\1\Downloads\ComboFix-tamindir.exe /uninstall

 

3. Następnie przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Users\1\Desktop\Stare dane programu Firefox

C:\Users\1\Desktop\Stare dane programu Firefox-1

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Ponów skan MBAM i przedstaw wynikowy raport, o ile coś zostanie znalezione.

 

 

 

.

Odnośnik do komentarza

Te wyniki MBAM to już drobnostki. Wszystko w katalogu "Download" to są portalowe downloadery instalujące adware oraz instalatory zawierające adware, czyli źródło usuwanych już tu śmieci. Natomiast "Trojan.AutoKMS" to ... crack do Office. Pozbądź się tego wszystkiego.

 

Na koniec usuń z systemu stare Java i zaktualizuj resztę wyliczonych poniżej programów: KLIK. Wg raportu są tu zainstalowane wersje:

 

==================== Installed Programs ======================

 

Adobe Reader X (10.1.8) MUI (x32 Version: 10.1.8)

Java 7 Update 21 (x32 Version: 7.0.210)

Java™ 6 Update 20 (x32 Version: 6.0.200)

Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.5131.5000)

Microsoft Silverlight (Version: 5.1.20513.0)

Mozilla Firefox 21.0 (x86 pl) (x32 Version: 21.0)

OpenOffice.org 3.4.1 (x32 Version: 3.41.9593)

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...