Skocz do zawartości

Zawirusowany regedit.exe


Rekomendowane odpowiedzi

Użyłem ComboFix, bo miałem podejrzenia, że system jest zainfekowany i faktycznie informował mnie, że regedit.exe jest zainfekowany. Zainstalował mi konsolę odzyskiwania, usunął parę plików i zablokował część rejestru. Potem miałem problem z usunięciem folderu Qoobox, a właściwie jego podfolderu BackEnv, w końcu usunąłem to Unlockerem, a potem miałem problem z usunięciem tego z kosza, miałem stale info, że "nie można usunąć folderu DC25: odmowa dostepu", aż w końcu użyłem linuksowego Live-CD i usunąłem. Z usunięciem konsoli odzyskiwania miałem podobne problemy. Po części plikach pozostały jakieś śmieci, logi informują, że brak plików, jak się tego pozbyć?

 

Tu log OTL.Txt

a tu log Extras.Txt

 

ComboFix usunąłem poprzez cmd, ale log zostawiłem i wklejam również, żeby można było zobaczyć, co to był za pierwszy problem

Log ComboFix

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wyjaśnij skąd podejrzenie o infekcji. Póki co, nic tu nie wskazuje na obecność infekcji w stanie czynnym, za to jest ślad używania keygena lub cracka (KLIK).

 

[2010-11-04 00:15:13 | 000,081,920 | -H-- | C] () -- C:\WINDOWS\System32\v3shrtkgn.dll

Czyli sumarycznie: drobne sprzątanie do OTL, sprowadzone do usunięcia "not found" oraz drobnostek w konfiguracji Firefox (pozostałości po sponsorach: Conduit i Babylon Search). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (Prime95 Service)
SRV - File not found [Auto | Stopped] --  -- (LEC TranslateDotNet Server)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe -- (gupdate) Usługa Google Update (gupdate)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon)
DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\Jarek\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\archlp.sys -- (archlp)
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..browser.search.useDBForOrder: true
[2009-08-31 10:18:38 | 000,000,838 | ---- | M] () -- C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\ggmtq6d0.default\searchplugins\conduit.xml
[2009-10-22 21:39:39 | 000,002,194 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
[2010-11-04 00:15:13 | 000,081,920 | -H-- | C] () -- C:\WINDOWS\System32\v3shrtkgn.dll

 

klik w Wykonaj skrypt.

 

Użyłem ComboFix, bo miałem podejrzenia, że system jest zainfekowany i faktycznie informował mnie, że regedit.exe jest zainfekowany.

 

1. Zwracam uwagę, że: ComboFix to nie jest skaner antywirusowy, ComboFix bierze pod uwagę tylko domyślne wartości systemu. Taki odczyt z "zainfekowany" może być choćby z tego powodu, że jest tu modyfikowany Windows przygotowany przez nLite.

 

2. Są również masowe niezgodne odczyty w sekcji Sigcheck. Prócz w/w może to być związane z nieprawidłowością działania Usług kryptograficznych, a nie wirusami.

 

3. Wątpliwości budzi i to co zostało skasowane:

 

c:\documents and settings\All Users\Dane aplikacji\mazuki.dll

c:\documents and settings\Jarek\Dane aplikacji\inst.exe

c:\windows\system32\lsprst7.dll

c:\windows\system32\ssprs.dll

c:\windows\system32\tmpPrst.dll

Te trzy ostatnie pliki wyglądają na system licencji generowany przez niektóre programy (np. KLIK, ale jest więcej takich softów). Może były zerobajtowe, dlatego kasacja je objęła (widziałam to już na takich plikach).

Te dwa pierwsze, nie wiem co o nich sądzić. Mazuki.dll to chyba ehkm "patch" od programu VSO (KLIK). Plik inst.exe, o ile mnie pamięć nie zawodzi, to chyba również skutek instalacji VSO.

 

Potem miałem problem z usunięciem folderu Qoobox, a właściwie jego podfolderu BackEnv, w końcu usunąłem to Unlockerem, a potem miałem problem z usunięciem tego z kosza, miałem stale info, że "nie można usunąć folderu DC25: odmowa dostepu", aż w końcu użyłem linuksowego Live-CD i usunąłem.

 

To nie jest prawidłowa metoda usuwania ComboFix. Qoobox to nie jedyny obiekt zostawiany przez ComboFix na dysku. ComboFix usuwa się tylko przez parametr /uninstall. Gdybyś postąpił prawidłowo, nie byłoby żadnego z opisywanych problemów.

 

Z usunięciem konsoli odzyskiwania miałem podobne problemy.

 

Katalog Konsoli cmdcons jest zabezpieczony przez uprawnienia (Odmów dla Wszystkich). Działanie celowe. Wystarczy tylko zdjąć ten jeden ptaszek w konfiguracji uprawnień.

 

Po części plikach pozostały jakieś śmieci, logi informują, że brak plików, jak się tego pozbyć?

Skoro bierzesz w ręce ComboFix, to takie rzeczy powinny być Ci wiadome.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...