jaro2010 Opublikowano 25 Listopada 2010 Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Witam serdecznie. Kilka dni temu w mozilla firefox zaczęły się dziać dziwne rzeczy. strona startowa zmieniona z google na hxxp (coś tam) qooqlle, a przy tym ustawienia przeglądarki na zapamiętywanie haseł, ściąganie plików do konkretnego katalogu, aktualizacje bez pytania. Także dziwne mruganie (czasem) ekranu, które wcześniej nie mialo miejsca. Oczywiście zmieniłem ustawienia, ale po restarcie kompa znowu to samo. Win patrol po restarcie krzyczy, że zostały dokonane zmiany w IE - czy się zgadzam? klikam że nie i jest ok. (ale tylko w IE) mam ustawione że Fire Moz jest moją główną przeglądarką. tam oczywiście znowu to samo. pogrzebałem trochę w firefoxie i w plikach w C:\Documents and Settings\jaro\Data aplikacÃ\Mozilla\Firefox\Profiles\prefs.js oraz qooqlle.xml zamieniłem wpisy z qooqlle na google i przestawiłem jako pliki tylko do odczytu. pomogło to na tyle, że nie otwiera się ta strona. ustawienia fire moz dalej się zmieniają. wykonałem skany programami: mbam, pc tools spyware doctor, ad-aware, oraz mam zainstalowany avast free oraz pc tools firewall plus. programy te zlikwidowały kilkanaście różnych virów, robaków. użyłem ccleaner, wyczyściłem co się dało. sprawdziłem tdsskiller i nic. caly czas to samo. poczytalem kilkanaście postów na waszej stronie i postanowilem zwrócić się o pomoc do was. Zrobiłem logi, które załączam na stronie. Mam w domu 3 PC, wszystkie z oryginalnym winem, kilkanaście lat pracuję z kompem i zawsze jakos udawalo mi się wybrnąć z podobnych sytuacji bez formatu, jednak myślę, że teraz to co się dzieje, jest tylko wierzchołkiem góry lodowej. Proszę się na mnie nie gniewać, że ten post jest może troszkę długi, ale nie mam wprawy w tym temacie. robię to poraz pierwszy. z góry dziękuję za pomoc i z niecierpliwością czekam na odpowiedź. PS. podczas przeglądania forum zauważyłem, że mój log z gmera jest strasznie długi. czy to oznacza że jest bardzo źle?? Extras.Txt gmer.txt OTL.Txt hijackthis-log.txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2010 Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Te wynalazki typu StartpageGuard / HijackThis porzuć. To to są starocie. Nie podałeś wcale wyciągów ze skanerów, by było wiadome co tak naprawdę skanery usuwały. Mam także podejrzenie, że posunąłeś się ciut dalej niż mówisz, bo katalog ERUNT nie bez przyczyny powstaje. A też widzę co dopiero zmodyfikowany plik systemowy w Ochronie plików i się zastanawiam czy przypadkiem to nie jest robota któregoś skanera: [2010.11.21 20:40:54 | 000,578,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\user32.dll Infekcję widzę, czyli prócz tego oczywistego pliku XML, są pliki podrzucone w katalogu "Dane aplikacji", jeden z nich startuje jako symulowany zapis Intel: O4 - HKLM..\Run: [igfxTraySound] C:\Documents and Settings\jaro\Data aplikacÃ\igfxtray.exe () [2010.11.11 23:52:46 | 006,782,976 | ---- | M] () -- C:\Documents and Settings\jaro\Data aplikacÃ\igfxtray.exe Prócz usuwania infekcji, zostaną tu usunięte drobnostki typu "not found" oraz wyczyszczone lokalizacje tymczasowe. 1. Przed usuwaniem zdejmij wszystkie blokady i pozwól na wszelkie modyfikacje. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [igfxTraySound] C:\Documents and Settings\jaro\Data aplikacÃ\igfxtray.exe () [2010.11.10 12:11:44 | 000,000,116 | -H-- | M] () -- C:\Documents and Settings\All Users\Data aplikacÃ\msadoex.dll [2010.11.18 00:54:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\jaro\Local Settings\Data aplikacÃ\searchplugins [2010.11.12 00:09:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xxx [2009.12.22 13:00:57 | 000,000,736 | ---- | M] () -- C:\Documents and Settings\jaro\Data aplikacÃ\Mozilla\Firefox\Profiles\r59dnsaq.default\searchplugins\ask.xml [2010.11.24 16:16:32 | 000,001,864 | R--- | M] () -- C:\Documents and Settings\jaro\Data aplikacÃ\Mozilla\Firefox\Profiles\r59dnsaq.default\searchplugins\qooqlle.xml [2010.08.11 15:35:55 | 000,000,266 | ---- | M] () -- C:\Documents and Settings\jaro\Data aplikacÃ\Mozilla\Firefox\Profiles\r59dnsaq.default\searchplugins\Search.xml O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - No CLSID value found. O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - File not found :Commands [emptyflash] [emptytemp] Uruchom przez Wykonaj skrypt. Komputer będzie restartował i otrzymasz z tego log. 3. Wykonaj nowy log z OTL, z dodatkowym warunkiem listowania luźnych plików w katalogach Dane aplikacji (foldery tam zlokalizowane już znam). W polu Własne opcje skanowania / skrypt wklej: C:\Documents and Settings\jaro\Data aplikacÃ\*.* C:\Documents and Settings\Administrator\Data aplikacÃ\*.* C:\Documents and Settings\All Users\Data aplikacÃ\*.* C:\Documents and Settings\LocalService\Data aplikacÃ\*.* C:\Documents and Settings\NetworkService\Data aplikacÃ\*.* Klik w Skanuj (a nie Wykonaj skrypt!). Przedstawiasz wynikowy log, razem z tym otrzymanym z usuwania w punkcie 2, dorzuć na wszelki wypadek i GMER. . Odnośnik do komentarza
jaro2010 Opublikowano 25 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2010 dołączm logi - porestarcie i 2 log z otl-a. robie teraz scan gmerem ale ostatnio skanowal 3 godziny. jak skończy dodam go natychmiast. nie wiem dlaczego tak długo to trwa i dlaczego jest taki długi?? pozdrawiam.J Zanim gmer skonczy - posylam wypis znalezionych i wyleczonych infekcji przez programy antywirusowe wymienione w 1 poscie. Win32:Malware-gen Win32:Adware-gen Win32:CabMod Win32:Gator-N Win32:Spyware-gen Win32-HackTool-CB Win32:KeyLogger-AJK Win32:Shutdowner Win32:Delf-FTX Win32:Ardamax-JU Win32:Gator-N Win32;Delf-HXN Pieck-Kaczor-4444 Win32:SuspBehav-G Win32:Ardamax-NV Trojan.ADH Trojan.Generic Hidden.Files HeurEngine.MaIPE Trojan.Dropper Trojan-Downloader.Murlo Rootkit.TDSS Malware.Tool Trojan.Dropper.Pgen Trojan.Agent.CK Adware.FLVPlayer Trojan.Downloader Adware.FLVPlayer Win32:Malware-gen Win32:Adware-gen Win32:CabMod Win32:Gator-N Win32:Spyware-gen Win32-HackTool-CB Win32:KeyLogger-AJK Win32:Shutdowner Win32:Delf-FTX Win32:Ardamax-JU Win32:Gator-N Win32;Delf-HXN Pieck-Kaczor-4444 Win32:SuspBehav-G Win32:Ardamax-NV 11252010_174327-log-po-restarcie.txt OTL-po naprawie.Txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2010 Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Wszystko zostało wykonane. Dostosowany skan nie wykazuje żadnych dodatkowych obiektów tej rodziny w katalogach "Dane aplikacji". Czyli problem z qooqlle powinien ustąpić. Jednakże jeszcze niepokoją mnie trochę te dwa pliki: [2010.06.05 08:49:30 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\msroclowd.dll[2009.08.07 01:05:10 | 000,009,845 | ---- | C] () -- C:\WINDOWS\System32\mswonlowe.dll Przeskanuj je na VirusTotal. Zaprezentuj wyniki. nie wiem dlaczego tak długo to trwa i dlaczego jest taki długi?? Skan GMER jest niezwykle intensywny, trwa długo (są tu przypadki, gdy trwał cały dzień), a tym gorzej mu się pracuje, im więcej jest oprogramowania kolidującego. Takowe tu jest, czyli dużo softów zabezpieczających (te programy zresztą wykazują działalność, która jest odnotowana w GMER). W kwestii jego długości, owszem są tu dla mnie niewyjaśnione hooki w sekcji "User code sections", nie wiem do czego je podpasować (ale nie jest wykluczone, że to pochodna któregoś programu zabezpieczającego). Poczekam jeszcze na log z GMER i podam końcowe instrukcje. EDIT: Zanim gmer skonczy - posylam wypis znalezionych i wyleczonych infekcji przez programy antywirusowe wymienione w 1 poscie. To są tylko nazwy, dla mnie jest istotne w czym to jest wykryte (precyzyjne ścieżki dostępu). . Odnośnik do komentarza
jaro2010 Opublikowano 25 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2010 (edytowane) 1 plik results - nic 2 plik - results - nic gmer nadal jedzie - wklejam wyciągi z mbam. Zainfekowanych kluczy rejestru: HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully. Zainfekowanych folderów: C:\Program Files\FLV Direct Player (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\NabÃdka Start\Programy\FLV Direct Player (Adware.FLVPlayer) -> Quarantined and deleted successfully. Zainfekowanych plików: C:\Program Files\FLV Direct Player\downloading.swf (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\FLVPlayer.exe (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\player.swf (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\preload.swf (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\uninstall.exe (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\Button.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\Logo.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\skin.xml (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\SysCloseButton.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\SysMaxButton.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\SysMinButton.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Program Files\FLV Direct Player\Skin\DirectFLV\Window.bmp (Adware.BHO.FL) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\NabÃdka Start\Programy\FLV Direct Player\FLV Direct Player.lnk (Adware.FLVPlayer) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\NabÃdka Start\Programy\FLV Direct Player\Uninstall FLV Direct Player.lnk (Adware.FLVPlayer) -> Quarantined and deleted successfully. Zainfekowanych plików: C:\Documents and Settings\jaro\Local Settings\Data aplikacÃ\Mozilla\Firefox\Profiles\r59dnsaq.default\Cache\4047102Dd01 (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Documents and Settings\jaro\Local Settings\Temporary Internet Files\Content.IE5\PGIZHJ73\FLVPlayer_silent[1].exe (Adware.FLVPlayer) -> Quarantined and deleted successfully. Edytowane 25 Listopada 2010 przez picasso Posty połączone, proszę stosuj przycisk "Edytuj". Wyniki z VirusTotal obcięte o nieistotną część. //picasso Odnośnik do komentarza
jaro2010 Opublikowano 25 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Nareszcie gmer skończył - wklejam loga Ten plik C:\Documents and Settings\jaro\Data aplikacÃ\Mozilla\Firefox\Profiles\qooqlle.xml jest obecny jescze w pc. mam pytanie czy mogę go usunąć i pozamieniać atrybuty tych pozostałych plików, którym nadalem atrybut tylko do odczytu? gmer-2.txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2010 Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Podałeś wprawdzie wyciągi listy plików uprzednio wykrytych, ale tylko ze skanera MBAM. Zabrakło pozostałych. Log z GMER jest teraz krótszy, po usuwaniu ustąpiły wszystkie hooki biblioteki ntdll.dll. To co zaś widzę w raporcie moim zdaniem jest w porządku. Końcowe instrukcje: 1. Mimo że VirusTotal nie klasyfikuje tych dwóch plików jako zagrożenia ja bym je jednak usunęła. Nazwy są podejrzane. I skasuj ten qooqlle.xml, który wyżej wzmiankujesz (tego w OTL nie ma). 2. Należy posprzątać po dezynfekcji: w OTL wywołaj funkcję Sprzątanie. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Komentarze do oprogramowania: StartPage Guard mam nadzieję wymontowałeś (ten los powinien podzielić i Uniblue ProcessScanner), zaktualizuj WinPatrol (aktualna edycja to 2010), zaś Ad-aware nie jest Ci potrzebny w zestawieniu Avast+MBAM. Zaktualizuj Adobe Reader do wersji Adobe Reader X. Wersja przeglądarki Google Chrome nieznana, jeśli nie najnowsza, doprowadź to do porządku. Widzę tu także niepełnosprawne Gadu-Gadu 7.7 (brak obsługi najnowszej wersji protokołu + niskie bezpieczeństwo). W temacie Darmowe komunikatory znajdziesz alternatywy. Proponuję WTW lub Mirandę. I czy problemy nadal występują? mam pytanie czy mogę go usunąć i pozamieniać atrybuty tych pozostałych plików, którym nadalem atrybut tylko do odczytu? To miałeś zrobić przed usuwaniem OTL... M.in. to miałam na myśli mówiąc: 1. Przed usuwaniem zdejmij wszystkie blokady i pozwól na wszelkie modyfikacje. . Odnośnik do komentarza
jaro2010 Opublikowano 25 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2010 (edytowane) Dzięki serdeczne.To była szybka reakcja z waszej strony. Zrobiłem wszystko co było napisane a teraz będę robił porządek z oprogramowaniem tak jak radzisz. Jestem pod wrażeniem. Wydaje się być wszystko normalnie. Posprawdzam pomału chroma i IE. Mozil jest ok. Jeszcze raz dzięki - od dziś jestem waszym fanem. Częściej będę czytał forum - naprawdę ciekawe rzeczy.Życzę powodzenia w ratowaniu tonących. - pozdrawiam J Edytowane 28 Listopada 2010 przez picasso Problem wydaje się być rozwiązany, nie widzę więcej pytań. Temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi