Skocz do zawartości

Mozilla i IE zaatakowane przez qooqlle


Rekomendowane odpowiedzi

Witam serdecznie. Kilka dni temu w mozilla firefox zaczęły się dziać dziwne rzeczy. strona startowa zmieniona z google na hxxp (coś tam) qooqlle, a przy tym ustawienia przeglądarki na zapamiętywanie haseł, ściąganie plików do konkretnego katalogu, aktualizacje bez pytania. Także dziwne mruganie (czasem) ekranu, które wcześniej nie mialo miejsca. Oczywiście zmieniłem ustawienia, ale po restarcie kompa znowu to samo. Win patrol po restarcie krzyczy, że zostały dokonane zmiany w IE - czy się zgadzam? klikam że nie i jest ok. (ale tylko w IE) mam ustawione że Fire Moz jest moją główną przeglądarką. tam oczywiście znowu to samo. pogrzebałem trochę w firefoxie i w plikach w C:\Documents and Settings\jaro\Data aplikací\Mozilla\Firefox\Profiles\prefs.js oraz qooqlle.xml zamieniłem wpisy z qooqlle na google i przestawiłem jako pliki tylko do odczytu. pomogło to na tyle, że nie otwiera się ta strona. ustawienia fire moz dalej się zmieniają. wykonałem skany programami: mbam, pc tools spyware doctor, ad-aware, oraz mam zainstalowany avast free oraz pc tools firewall plus. programy te zlikwidowały kilkanaście różnych virów, robaków. użyłem ccleaner, wyczyściłem co się dało. sprawdziłem tdsskiller i nic. caly czas to samo. poczytalem kilkanaście postów na waszej stronie i postanowilem zwrócić się o pomoc do was. Zrobiłem logi, które załączam na stronie. Mam w domu 3 PC, wszystkie z oryginalnym winem, kilkanaście lat pracuję z kompem i zawsze jakos udawalo mi się wybrnąć z podobnych sytuacji bez formatu, jednak myślę, że teraz to co się dzieje, jest tylko wierzchołkiem góry lodowej. Proszę się na mnie nie gniewać, że ten post jest może troszkę długi, ale nie mam wprawy w tym temacie. robię to poraz pierwszy. z góry dziękuję za pomoc i z niecierpliwością czekam na odpowiedź.

 

PS. podczas przeglądania forum zauważyłem, że mój log z gmera jest strasznie długi. czy to oznacza że jest bardzo źle??

Extras.Txt

gmer.txt

OTL.Txt

hijackthis-log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Te wynalazki typu StartpageGuard / HijackThis porzuć. To to są starocie. Nie podałeś wcale wyciągów ze skanerów, by było wiadome co tak naprawdę skanery usuwały. Mam także podejrzenie, że posunąłeś się ciut dalej niż mówisz, bo katalog ERUNT nie bez przyczyny powstaje. A też widzę co dopiero zmodyfikowany plik systemowy w Ochronie plików i się zastanawiam czy przypadkiem to nie jest robota któregoś skanera:

 

[2010.11.21 20:40:54 | 000,578,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\user32.dll

 

Infekcję widzę, czyli prócz tego oczywistego pliku XML, są pliki podrzucone w katalogu "Dane aplikacji", jeden z nich startuje jako symulowany zapis Intel:

 

O4 - HKLM..\Run: [igfxTraySound] C:\Documents and Settings\jaro\Data aplikací\igfxtray.exe ()

 

[2010.11.11 23:52:46 | 006,782,976 | ---- | M] () -- C:\Documents and Settings\jaro\Data aplikací\igfxtray.exe

 

Prócz usuwania infekcji, zostaną tu usunięte drobnostki typu "not found" oraz wyczyszczone lokalizacje tymczasowe.

 

1. Przed usuwaniem zdejmij wszystkie blokady i pozwól na wszelkie modyfikacje.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [igfxTraySound] C:\Documents and Settings\jaro\Data aplikací\igfxtray.exe ()
[2010.11.10 12:11:44 | 000,000,116 | -H-- | M] () -- C:\Documents and Settings\All Users\Data aplikací\msadoex.dll
[2010.11.18 00:54:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\jaro\Local Settings\Data aplikací\searchplugins
[2010.11.12 00:09:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xxx
[2009.12.22 13:00:57 | 000,000,736 | ---- | M] () -- C:\Documents and Settings\jaro\Data aplikací\Mozilla\Firefox\Profiles\r59dnsaq.default\searchplugins\ask.xml
[2010.11.24 16:16:32 | 000,001,864 | R--- | M] () -- C:\Documents and Settings\jaro\Data aplikací\Mozilla\Firefox\Profiles\r59dnsaq.default\searchplugins\qooqlle.xml
[2010.08.11 15:35:55 | 000,000,266 | ---- | M] () -- C:\Documents and Settings\jaro\Data aplikací\Mozilla\Firefox\Profiles\r59dnsaq.default\searchplugins\Search.xml
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll -  File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. Komputer będzie restartował i otrzymasz z tego log.

 

3. Wykonaj nowy log z OTL, z dodatkowym warunkiem listowania luźnych plików w katalogach Dane aplikacji (foldery tam zlokalizowane już znam). W polu Własne opcje skanowania / skrypt wklej:

 

C:\Documents and Settings\jaro\Data aplikací\*.*

C:\Documents and Settings\Administrator\Data aplikací\*.*

C:\Documents and Settings\All Users\Data aplikací\*.*

C:\Documents and Settings\LocalService\Data aplikací\*.*

C:\Documents and Settings\NetworkService\Data aplikací\*.*

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstawiasz wynikowy log, razem z tym otrzymanym z usuwania w punkcie 2, dorzuć na wszelki wypadek i GMER.

 

 

 

 

 

.

Odnośnik do komentarza

dołączm logi - porestarcie i 2 log z otl-a. robie teraz scan gmerem ale ostatnio skanowal 3 godziny. jak skończy dodam go natychmiast.

nie wiem dlaczego tak długo to trwa i dlaczego jest taki długi??

pozdrawiam.J

 

Zanim gmer skonczy - posylam wypis znalezionych i wyleczonych infekcji przez programy antywirusowe wymienione w 1 poscie.

 

 

Win32:Malware-gen

Win32:Adware-gen

Win32:CabMod

Win32:Gator-N

Win32:Spyware-gen

Win32-HackTool-CB

Win32:KeyLogger-AJK

Win32:Shutdowner

Win32:Delf-FTX

Win32:Ardamax-JU

Win32:Gator-N

Win32;Delf-HXN

Pieck-Kaczor-4444

Win32:SuspBehav-G

Win32:Ardamax-NV

 

Trojan.ADH

Trojan.Generic

Hidden.Files

HeurEngine.MaIPE

Trojan.Dropper

Trojan-Downloader.Murlo

 

Rootkit.TDSS

Malware.Tool

Trojan.Dropper.Pgen

Trojan.Agent.CK

Adware.FLVPlayer

Trojan.Downloader

Adware.FLVPlayer

 

Win32:Malware-gen

Win32:Adware-gen

Win32:CabMod

Win32:Gator-N

Win32:Spyware-gen

Win32-HackTool-CB

Win32:KeyLogger-AJK

Win32:Shutdowner

Win32:Delf-FTX

Win32:Ardamax-JU

Win32:Gator-N

Win32;Delf-HXN

Pieck-Kaczor-4444

Win32:SuspBehav-G

Win32:Ardamax-NV

11252010_174327-log-po-restarcie.txt

OTL-po naprawie.Txt

Odnośnik do komentarza

Wszystko zostało wykonane. Dostosowany skan nie wykazuje żadnych dodatkowych obiektów tej rodziny w katalogach "Dane aplikacji". Czyli problem z qooqlle powinien ustąpić. Jednakże jeszcze niepokoją mnie trochę te dwa pliki:

 

[2010.06.05 08:49:30 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\msroclowd.dll

[2009.08.07 01:05:10 | 000,009,845 | ---- | C] () -- C:\WINDOWS\System32\mswonlowe.dll

 

Przeskanuj je na VirusTotal. Zaprezentuj wyniki.

 

nie wiem dlaczego tak długo to trwa i dlaczego jest taki długi??

 

Skan GMER jest niezwykle intensywny, trwa długo (są tu przypadki, gdy trwał cały dzień), a tym gorzej mu się pracuje, im więcej jest oprogramowania kolidującego. Takowe tu jest, czyli dużo softów zabezpieczających (te programy zresztą wykazują działalność, która jest odnotowana w GMER). W kwestii jego długości, owszem są tu dla mnie niewyjaśnione hooki w sekcji "User code sections", nie wiem do czego je podpasować (ale nie jest wykluczone, że to pochodna któregoś programu zabezpieczającego).

 

Poczekam jeszcze na log z GMER i podam końcowe instrukcje.

 

EDIT:

 

Zanim gmer skonczy - posylam wypis znalezionych i wyleczonych infekcji przez programy antywirusowe wymienione w 1 poscie.

 

To są tylko nazwy, dla mnie jest istotne w czym to jest wykryte (precyzyjne ścieżki dostępu).

 

 

 

 

.

Odnośnik do komentarza

1 plik results - nic

2 plik - results - nic

 

gmer nadal jedzie - wklejam wyciągi z mbam.

 

Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

 

Zainfekowanych folderów:

C:\Program Files\FLV Direct Player (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Nabídka Start\Programy\FLV Direct Player (Adware.FLVPlayer) -> Quarantined and deleted successfully.

 

Zainfekowanych plików:

C:\Program Files\FLV Direct Player\downloading.swf (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\FLVPlayer.exe (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\player.swf (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\preload.swf (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\uninstall.exe (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\Button.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\Logo.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\skin.xml (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\SysCloseButton.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\SysMaxButton.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\SysMinButton.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Program Files\FLV Direct Player\Skin\DirectFLV\Window.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Nabídka Start\Programy\FLV Direct Player\FLV Direct Player.lnk (Adware.FLVPlayer) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Nabídka Start\Programy\FLV Direct Player\Uninstall FLV Direct Player.lnk (Adware.FLVPlayer) -> Quarantined and deleted successfully.

 

Zainfekowanych plików:

C:\Documents and Settings\jaro\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\r59dnsaq.default\Cache\4047102Dd01 (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Documents and Settings\jaro\Local Settings\Temporary Internet Files\Content.IE5\PGIZHJ73\FLVPlayer_silent[1].exe (Adware.FLVPlayer) -> Quarantined and deleted successfully.

Edytowane przez picasso
Posty połączone, proszę stosuj przycisk "Edytuj". Wyniki z VirusTotal obcięte o nieistotną część. //picasso
Odnośnik do komentarza

Podałeś wprawdzie wyciągi listy plików uprzednio wykrytych, ale tylko ze skanera MBAM. Zabrakło pozostałych. Log z GMER jest teraz krótszy, po usuwaniu ustąpiły wszystkie hooki biblioteki ntdll.dll. To co zaś widzę w raporcie moim zdaniem jest w porządku. Końcowe instrukcje:

 

1. Mimo że VirusTotal nie klasyfikuje tych dwóch plików jako zagrożenia ja bym je jednak usunęła. Nazwy są podejrzane. I skasuj ten qooqlle.xml, który wyżej wzmiankujesz (tego w OTL nie ma).

 

2. Należy posprzątać po dezynfekcji: w OTL wywołaj funkcję Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Komentarze do oprogramowania:

 

  • StartPage Guard mam nadzieję wymontowałeś (ten los powinien podzielić i Uniblue ProcessScanner), zaktualizuj WinPatrol (aktualna edycja to 2010), zaś Ad-aware nie jest Ci potrzebny w zestawieniu Avast+MBAM.
  • Zaktualizuj Adobe Reader do wersji Adobe Reader X. Wersja przeglądarki Google Chrome nieznana, jeśli nie najnowsza, doprowadź to do porządku.
  • Widzę tu także niepełnosprawne Gadu-Gadu 7.7 (brak obsługi najnowszej wersji protokołu + niskie bezpieczeństwo). W temacie Darmowe komunikatory znajdziesz alternatywy. Proponuję WTW lub Mirandę.

I czy problemy nadal występują?

 

mam pytanie czy mogę go usunąć i pozamieniać atrybuty tych pozostałych plików, którym nadalem atrybut tylko do odczytu?

 

To miałeś zrobić przed usuwaniem OTL... M.in. to miałam na myśli mówiąc:

 

1. Przed usuwaniem zdejmij wszystkie blokady i pozwól na wszelkie modyfikacje.

 

 

.

Odnośnik do komentarza

Dzięki serdeczne.To była szybka reakcja z waszej strony. Zrobiłem wszystko co było napisane a teraz będę robił porządek z oprogramowaniem tak jak radzisz.

Jestem pod wrażeniem. Wydaje się być wszystko normalnie. Posprawdzam pomału chroma i IE. Mozil jest ok. Jeszcze raz dzięki - od dziś jestem waszym fanem. Częściej będę czytał forum - naprawdę ciekawe rzeczy.Życzę powodzenia w ratowaniu tonących. - pozdrawiam J

Edytowane przez picasso
Problem wydaje się być rozwiązany, nie widzę więcej pytań. Temat zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...