Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

W systemie siedzi Conficker i coś jeszcze

kasownik

Przez kasownik
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

kasownik

kasownik

Opublikowano
Opublikowano

Witam!

 

Jak w temacie, oprocz tego nie otwieraja sie strony microsoft i WU krzyczy, ze nie uruchomionie sa potrzebne uslugi.

W zalacznikach wymagane logi, plus logi z arcabita.

Bardzo prosze o pomoc.

OTL.Txt

Addition.txt

Arcabit_20140303133551_3781.txt

Arcabit_20140303140640_5968.txt

Arcabit_20140303140645_8593.txt

Arcabit_20140303140657_4640.txt

Extras.Txt

FRST.txt

gmer.txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Jest to ta sama infekcja, co na poprzednich komputerach. Do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\System32\cljtj.dll
NETSVC: dgotde -> No Registry Path.
NETSVC: lhiwc -> No Registry Path.
NETSVC: keceywu -> No Registry Path.
HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k
Unlock: HKLM\SYSTEM\ControlSet002\Services\lhiwc
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\lhiwc /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Oowstanie plik fixlog.txt.

 

2. Zresetuj cache wtyczek Google Chrome, by się pozbyć putych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt. Dodatkowo, uruchom SystemLook i w oknie wklej:

 

:filefind



cljtj.dll

 

I jeszcze mam pytanie czy Beniamin i Ochraniacz są na pewno odinstalowane. Jakoby puste wpisy w starcie.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Uruchom GMER > rozwiń strzałki > karta Pliki > usuń plik C:\Program Files\Movie Maker\cljtj.dll.

 

2. Otwórz Notatnik i wklej w nim:

 

S3 cfvrrtiwx; \??\C:\WINDOWS\system32\09D.tmp [X]
S3 pszrpghz; \??\C:\WINDOWS\system32\01.tmp [X]
S3 tfhmwqka; \??\C:\WINDOWS\system32\054E.tmp [X]
NETSVC: jrndnunlg -> No Registry Path.
NETSVC: vesmabzas -> No Registry Path.
HKLM\...\Run: [skaner] - C:\Program Files\Ochraniacz\OPZTskaner.exe
HKLM\...\Run: [tguard] - C:\Program Files\Beniamin\tguard.exe
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt.

 

3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile:
C:\WINDOWS\system32\cljtj.dll
"C:\Program Files\Movie Maker\cljtj.dll"
 
DeleteRegKey:
HKLM\SYSTEM\CurrentControlSet\Services\jrndnunlg
HKLM\SYSTEM\CurrentControlSet\Services\stxqdgyoo
HKLM\SYSTEM\CurrentControlSet\Services\vesmabzas

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

2. Wykonaj skrypt FRST zadany w poprzednim poście.

 

3. Zrób nowy log FRST (bez Addition i Shortcut). Dołącz logi BlitzBlank i fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
jessica

jessica

Opublikowano
Opublikowano

czy w międzyczasie podpinałeś jakiś pendrive?

 

a może zrób nowe logi z FRST i OTL?

z tym, że logi OTL zrób na dodatkowym ustawieniu:

W pole Własne opcje skanowania/Scrypt wklej:

 

msconfig

netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List

i dopiero wtedy kliknij Skanuj.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Hmm, w logu FRST widać tylko ślady po Confickerze, natomiast w logach OTL widać, że Conficker jest dalej aktywny.

Ja nie zastąpię @Picasso, ale przynajmniej można spróbować usunąć.

 

Ponieważ FRST nie widzi Confickera, to usuwać go będziemy w OTL,

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cljtj.dll -- (vesmabzas)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (stxqdgyoo)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (jrndnunlg)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (fkczmzlrw)
NetSvcs: stxqdgyoo - C:\WINDOWS\system32\cljtj.dll ()
NetSvcs: fkczmzlrw - C:\WINDOWS\system32\cljtj.dll ()

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"8870:TCP"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

ArcaBit niech to usunie - "Downadup" to inna nazwa Confickera.


 

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
SRV - [2014-04-07 09:08:59 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\Program Files\Internet Explorer\cljtj.dll -- (dxcbzuyhj)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\026.tmp -- (rlqfblkb)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\03.tmp -- (oirmdiehy)
O4 - HKLM..\Run: [sSC Service Utility] C:\Program Files\SSC Service Utility\ssc_serv.exe /s File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:

 


netsvcs

i dopiero wtedy kliknij Skanuj.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

W tych logach nie widzę już aktywnego Confickera (jest tylko ślad).

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
NetSvcs: wmdmpmsp -  File not found
NetSvcs: dxcbzuyhj -  File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowe logi z OTL - na takim samym dodatkowym ustawieniu, jak ostatnio.

 

Zrób też logi z FRST, bo może @Picasso zechce je obejrzeć.

 

jessi

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

jessika

 

W spoilerze komentarz:

 

 

 

Post usuwam. To wygląda na komputer administrowany, jeden z wielu z którymi pojawia się tu kasownik. Te restrykcje (nie pochodzą od Beniamina) są całkiem inne niż te = inne warunki są tu skonfigurowane (przecież widać jakich obiektów tyczą, tam programy zabezpieczające, tu inne rzeczy). Jest multum wariantów takich restrykcji, mogą być pożyteczne, mogą być szkodliwe. Zależy to od punktu widzenia, środowiska (komputer domowy vs. komputer w sieci) oraz użytych programów immunizujących (np. po skorzystaniu z CryptoPrevent cały log jest wytapetowany od góry do dołu podobnymi odczytami, i nie należy tego ruszać, by nie zdjąć ochrony). "ATTENTION" to tylko zwrócenie uwagi, ocena wpisu nie może być "w ciemno".

 

Druga sprawa, został usunięty ten wpis bez potwierdzenia czy rzeczywiście to szczątek:

 

O4 - HKLM..\Run: [sSC Service Utility] C:\Program Files\SSC Service Utility\ssc_serv.exe /s File not found

 

Ja go celowo nie ruszyłam (na etapie usuwania istotniejszych rzeczy), bo oprogramowanie EPSON jest na liście zainstalowanych (to jest część EPSON), a w odczyt nie można wierzyć w ślepo, OTL ten wpis przedstawi jako "not found" niezależnie od tego czy plik jest czy go nie ma. Wynik ułomnego systemu szukania plików, jeśli są doń doklejone parametry (tu: /s), tu był szukany plik "ssc_serv.exe /s" anie "ssc_serv.exe".

 

I jeszcze w kwestii skanu dostosowanego OTL: przecież FRST pokazuje skan Netsvc (skan główny) i msconfig (Addition) out-of-box... Cały czas były te dane.

 

 

 

 

 

kasownik

 

Sprawdź czy jest folder C:\Program Files\SSC Service Utility na dysku i podaj tę informację. Jeśli jest, podam jak wpis przywrócić. Jeśli nie ma, to nie trzeba więcej z tym nic robić i podam kroki końcowe.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Kończymy:

 

1. Drobnostka w Google Chrome, czyli reset cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

2. Przez SHIFT+DEL skasuj narzędzia zlokalizowane w folderze "fix" na Pulpicie, następnie popraw DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Jak wiesz, godzina XP już wybiła, tu będzie słabo. Najwyraźniej to komputer z zespołu określonego konkretnymi wytycznymi (na wszystkich komputerach ArcaBit i starocie). Nie za bardzo wiem co tu wchodzi w grę i co można zrobić (nowe instalacje / aktualizacje ?). O ile to możliwe, conajmniej uzupełnij chociaż braki w dostępnych aktualizacjach (nowych już nie będzie), bo tu np. IE jest w tragicznym stanie IE6. Nie wiadomo czego jeszcze brakuje.

 

Internet Explorer Version 6
 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.3.181.23 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 11.1.102.55 - Adobe Systems Incorporated) ----> wtyczka dla FF

Microsoft .NET Framework 2.0 Service Pack 2 (HKLM\...\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}) (Version: 2.2.30729 - Microsoft Corporation)

Microsoft Office Professional Edition 2003 (HKLM\...\{90110415-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.5614.0 - Microsoft Corporation)

Mozilla Firefox 27.0.1 (x86 pl) (HKLM\...\Mozilla Firefox 27.0.1 (x86 pl)) (Version: 27.0.1 - Mozilla)

 

 

 

.

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

@Picasso

Dzięki za wytłumaczenie.

 

Ale nie zgadzam się z Tobą w kwestii tego:

I jeszcze w kwestii skanu dostosowanego OTL: przecież FRST pokazuje skan Netsvc (skan główny) i msconfig (Addition) out-of-box... Cały czas były te dane.

Przecież wyraźnie widać, że FRST nie widzi tego, co widzi OTL (logi robione prawie w tym samym czasie, więc można wykluczyć, że w międzyczasie Użytkownik podpiął pendrive i nastąpiła reinfekcja, a dwie usługi były zarówno w FRST, jak i OTL, ale w FRST te usługi były uznane za bezplikowe, ):

Log FRST:

==================== NetSvcs (Whitelisted) ===================

NETSVC: stxqdgyoo -> No Registry Path.
NETSVC: fkczmzlrw -> No Registry Path.

W logu FRST  nie ma w ogóle pliku "clitj.dll"

 

Log OTL:

SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cljtj.dll -- (vesmabzas)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (stxqdgyoo)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (jrndnunlg)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (fkczmzlrw)

Wyraźnie widać, że FRST nie wykrył pliku tej usługi, i nie wykrył dwóch innych usług związanych z tym plikiem.

Dlatego zaleciłam dodatkowe ustawienie w OTL - skoro FRST nie jest w stanie zobaczyć aktywnego Confickera, wykrywa tylko nieaktywne ślady.

Usługi "fkczmzlw" i "stxqdqyoo" były zarówno w czasie wykonywania logu FRST, jak i logu OTL, ale tylko OTL określił je jako aktywne, z plikiem.

 

jessi

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

jessika, ale Ty mówisz o detekcji usługi i jej pliku (tego nie kwestionuję). Przecież określiłam wyraźnie o co mi chodzi: wartość Netsvc w rejestrze (FRST widział te wpisy) i wpisy wyłączone w msconfig (skan w Addition pokazuje że nie ma nic).

 

NETSVC: stxqdgyoo -> No Registry Path.

NETSVC: fkczmzlrw -> No Registry Path.

 

vs.

 

NetSvcs: stxqdgyoo - C:\WINDOWS\system32\cljtj.dll ()

NetSvcs: fkczmzlrw - C:\WINDOWS\system32\cljtj.dll ()

 

Trzy raporty (licz jeszcze GMER pokazujący ukryte usługi) wspólnie miały więc komplet danych.

 

 

.

Odnośnik do komentarza
kasownik

kasownik

Opublikowano
  • Autor
Opublikowano

Kończymy:

 

1. Drobnostka w Google Chrome, czyli reset cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

2. Przez SHIFT+DEL skasuj narzędzia zlokalizowane w folderze "fix" na Pulpicie, następnie popraw DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Jak wiesz, godzina XP już wybiła, tu będzie słabo. Najwyraźniej to komputer z zespołu określonego konkretnymi wytycznymi (na wszystkich komputerach ArcaBit i starocie). Nie za bardzo wiem co tu wchodzi w grę i co można zrobić (nowe instalacje / aktualizacje ?). O ile to możliwe, conajmniej uzupełnij chociaż braki w dostępnych aktualizacjach (nowych już nie będzie), bo tu np. IE jest w tragicznym stanie IE6. Nie wiadomo czego jeszcze brakuje.

 

Pkt 1 zrobiony

 

pkt 2, z tego folderu byl uruchamiany OTL i FRST, nie powinienem uruchomic sprzatania przez OTL (na c:\ sa po nim pozostalosci)

 

pkt. 3 zrobione

 

pkt 4, :( komputer nalezy do dostawu pt. "Pracownia multimedialna w szkole" i dopoki dziala nikt nie wstawi nowego, wiadomo jak jest sytuacja finansowa w naszych szkolach :(

Conficker zablokowal WU, ale widze, ze juz dziala, wiec co sie da, bedzie aktualne

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...