Trojan wykrywany w procesie explorer

[chups]

Cześć, zostałem poproszony o pomoc przy zainfekowanym systemie. Antywirus Nod32 wskazuje trojana w procesie explorer.exe i nie może go wyleczyć. Strony internetowe ładują się wybiórczo. Komputer jest mocno obciążony mimo nie wykonywania żadnych operacji na nim. Do infekcji najprawdopodobniej doszło po otwarciu zalinkowanego przez komunikator pliku *.jar.

 

 

Informacje o systemie:

Windows 7 SP1 32bit

 

 

Log z SecurityCheck:

 

 Results of screen317's Security Check version 0.99.83  

 Windows 7 Service Pack 1 x86 (UAC is enabled)  

 Internet Explorer 11  

``````````````Antivirus/Firewall Check:``````````````

 Windows Security Center service is not running! This report may not be accurate!

ESET NOD32 Antivirus 4.2   

 Antivirus out of date!

`````````Anti-malware/Other Utilities Check:`````````

 Java 7 Update 15  

 Java version out of Date!

 Adobe Flash Player 13.0.0.214  

 Adobe Reader 10.1.9 Adobe Reader out of Date!

 Mozilla Firefox (29.0.1) 

 Google Chrome 34.0.1847.137  

 Google Chrome 35.0.1916.114  

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  

````````````````````End of Log``````````````````````

 

W załącznikach pozostałe logi z OTL, FRST i Gmer

 

Z góry dziękuję za wszelką pomoc

 

Edit:

Przepraszam za formatowanie, z jakiegoś powodu znaki nowej linii są ignorowane przez forum

gmer.txt

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

[adacho]

Grasuje tu też tzw. ZeroAccess. Czekaj na wskazówki Picasso.

[picasso]

adacho

 

Nie ma tu śladów ZeroAccess. Jest całkiem inna infekcja.

 

 

chups

 

Przepraszam za formatowanie, z jakiegoś powodu znaki nowej linii są ignorowane przez forum

Poprawione. Na przyszłość, możesz użyć przycisku , by przełączyć edytor na tryb BBCode. Przełączenie trybów edytora akurat powoduje korektę przejść do nowej linii.

 

Antywirus Nod32 wskazuje trojana w procesie explorer.exe i nie może go wyleczyć.

W starcie są infekcyjne wpisy svchost ładujące infekcję ze strumieni ADS:

 

==================== Alternate Data Streams (whitelisted) =========
 

AlternateDataStreams: C:\Temp:052CDA90.dat

AlternateDataStreams: C:\Temp:pid1

AlternateDataStreams: C:\Temp:pid2

 

Przeprowadź następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKLM\...\Run: [svchost] => regsvr32 /s "C:\Temp:052CDA90.dat"
HKU\S-1-5-21-3426513747-2769345621-1612366341-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-3426513747-2769345621-1612366341-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:052CDA90.dat"
S3 GPU-Z; \??\C:\Users\Aga\AppData\Local\Temp\GPU-Z.sys [X]
SearchScopes: HKCU - {080865A4-FCAA-44E7-8B8B-FD4530C1478D} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=95A26C4A-E15A-4480-B50C-D509AF1AE126&apn_sauid=AF7C4BDE-2F51-4142-959F-AAA72927C763
FF SearchEngineOrder.1: Ask.com
FF SearchPlugin: C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles\s0q4p3k7.default\searchplugins\askcom.xml
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\Temp
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

 

 

 

.

[chups]

Dziękuje za szybką odpowiedź.
Wykonałem polecenia i załączam logi. Wygląda to już dobrze, ale poproszę o weryfikację

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Akcja pomyślnie przeprowadzona i nie widzę już żadnych jawnych obiektów infekcji. Kolejna porcja działań:

 

1. Uruchom FRST i w polu Search wklej 052CDA90, klik w Search Registry i dostarcz wynikowy log Search.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Zaprezentuj plik fixlog.txt.

 

 

 

.

[chups]

Załączam logi z szukania w rejestrze i usuwania. Dodam tylko, że w międzyczasie uruchomiło się jakieś automatyczne skanowanie w Nodzie ktory był zainstalowany i wykrył i usunął on właśnie pliki z jakiejś lokalizacji oznaczonej Quarantine, więc wynik tego drugiego działania FRST może być zaciemniony.

Dziękuję za szybką pomoc.

Fixlog.txt

Search.txt

[picasso]

Jeśli chodzi o reakcję ESET, to wykrył pewnie usuniętego (czyli i nieczynnego) trojana w folderze C:\FRST\Quarantine (kwarantanna FRST). Folder ten i tak w całości usunął ostatni skrypt do FRST. Lecimy dalej:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Usuń używane narzędzia za pomocą DelFix. Co się nie usunie ręcznie dokasuj.

 

3. Dla pewności zrób pełne skany za pomocą Malwarebytes Anti-Malware oraz Hitman Pro. Jeśli skanery coś wykryją, dostarcz ich raporty, w przeciwnym wypadku są one zbędne.

 

 

 

.

[adacho]

Takie pytanie, picasso. Skoro nie ma 0Access, to skąd wyłączona Zapora?

[picasso]

Nie wiem skąd wziąłeś informacje o wyłączonej Zaporze, jedyna dostępna tu informacja to niedziałanie usługi Centrum zabezpieczeń (czyli całkiem innej usługi) zgłoszone w nagłówku Security Check. Ta sekcja "Antivirus/Firewall Check" chyba Cię wprowadza w błąd nazwą. To lista programów AV i firewalli firm trzecich zarejestrowanych w Centrum zabezpieczeń - program sięga do WMI i robi tu mniej więcej to samo co ręczne listowanie przestrzeni nazw SecurityCenter i SecurityCenter2: KLIK. W tej sekcji nie ma weryfikacji usług natywnych Windows, za wyjątkiem powiadomienia o stanie Centrum i "możliwości nieadekwatnego raportu" z powodu jego dysfunkcji. A w związku z tym, iż metoda poboru danych bazuje na zawodnych rejestracjach Centrum, mogą się tu pokazywać różne niezgodności, tak jak w moim artykule opisane (np. wykryty antywirus, którego już dawno nie ma w systemie).

 

A jeśli chodzi o wyłączanie Zapory, Centrum zabezpieczeń i Windows Update: jest multum infekcji które to robią, usługi może też wyłączyć ... użytkownik. Ten stan w ogóle nie jest dowodem na obecność ZeroAccess (który notabene usługi kasuje a nie wyłącza). Tej infekcji nie typuje się po wyłączonych / skasowanych usługach, bo mogło się to stać za sprawą bardzo wielu przyczyn. Oczywiście można podejrzewać, że to są pośrednie skutki jego pobytu, jeśli są określone przesłanki / ślady w logu, czy zgłoszenia ze skanerów antymalware. Tu nie ma żadnych śladów żadnej znanej mi wersji ZA, ani żadnych znaków pośrednich usunięcia usług (w Extras klucz SharedAccess jest, w Dzienniku zdarzeń brak błędów).

 

 

 

.