Zablokowany net przez trojan.ruskill

[green1988]

Witam.

Dziś po włączeniu kompa i internetu oraz po uruchomieniu przeglądarki Mozilla Firefox otworzyła się automatycznie jakaś strona CyberTarczyOrange z powiadomieniem ze na moim komputerze znajduje sie trojan.ruskill. i internet zostaje zablokowany.
Prosze o pomoc.

Kroki, które wykonałem po opisanej wyżej sytuacji to:
-odinstalowanie deamon tools,
-przeskanowanie dyskow antywirusem Eset Nod32,
-pełne skanowanie programem malware bytes Anti-Malware (zarażonych plików 4)
- skanowanie ADWCleaner (wykrytych zagrożeń 20)

Na razie zarażonych polików nie usuwałem.

Mój system operacyjny to win XP SP3, dostawcą internetu jest firma orange, a router wi-fi to SagemCom F@st 2704.
Z góry dziękuje za pomoc.

Logi FRST i GMER:

http://wklej.org/id/2976799/

http://wklej.org/id/2976801/

http://wklej.org/id/2976802/

http://wklej.org/id/2976804/

[Miszel03]

Raporty zostały wykonane bardzo starą wersją narzędzia Farbar Recovery Scan Tool (wersja sprzed 631 dni!). Pobierz najnowszą wersję (KLIK) i wykonaj nią raporty.   

 

-pełne skanowanie programem malware bytes Anti-Malware (zarażonych plików 4)

- skanowanie ADWCleaner (wykrytych zagrożeń 20)

 

Dostarcz raporty z tych działań. 

[green1988]

Proszę nowy FRST i reszta logów.

 

- antymalware http://wklej.org/id/2979729/

- ADWcleaner http://wklej.org/id/2979726/

- FRST http://wklej.org/id/2979731/

- FRST shortcut http://wklej.org/id/2979735/

- FRST addition http://wklej.org/id/2979733/

[Miszel03]

Radzę dobrze, żeby zacząć myśleć nad przeprowadzką z XP (on już nie ma wsparcia Microsoft) na co najmniej Windows 7. Powódem jest oczywiście dużo zagrożenia infekcja (dużo nie łapanych luk itd)

---

Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta. 
 
W skrypcie kosmetyka: kasacja pustych wpisów rejestru, CLSID oraz modyfikacji polityk grup. Ogólnie: brak jawnej infekcji, wyniki Malwarebytes wymagają dodatkowej weryfikacji poprzez usługę VirusTotal, a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania. 
 
1. Przez panel sterowania odinstaluj: Brave Dwarves 2 GOLD v1.15 (podaję jako działanie ewentualne, w FRST mam flagowanie żeby zwrócić na to uwagę, ale z tego co się orientuje to jakaś gra. Prawda?)
 
2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia ? SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{E7A37920-253C-4FF1-B169-298A7CE6CAA9}\localserver32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\Dropbox.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8 [370]
EmptyTemp: 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. 

3. Sprawdź poniższe pliki w usłudze VirusTotal.com (Uploudujesz plik > Klik w Przeskanuj > Po zakończonej analizie kopiujesz link z pasku adresów URL i dostarczasz go mi w następnym poście. Procedurę powtarzasz w przypadku każdego pliku (razem mają być cztery linki).

C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\verclsid.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000008c00002i\offlb.exe
E:\System Volume Information\_restore{41CD2F82-42C1-45B0-805E-D00B54D60369}\RP214\A0096337.exe

[green1988]

linki:

1. https://virustotal.com/pl/file/1a8e145a6d33bbda2e55e9a0742596c1a48639cea374638f86647aa6ad11221e/analysis/

2. https://virustotal.com/pl/file/7cd7fc4894e0555ef7c7e81be61bf7aee9fc0febbae8d7a6211ab70f425d1a47/analysis/

3. https://virustotal.com/pl/file/7f0cc59fd1d8382cbc30cfce85c8f7d21f77689753d7d9cb510cbce1a9d34f65/analysis/

4. https://virustotal.com/pl/file/9d5eef17ce6473d39d9675dcd1f9009cf3799152639ebc3a74a1bdd2bbc3288d/analysis/

5. ostatniego pliku nie moge odszukać ani nawet folderu E:\System Volume Information

[Miszel03]

5. ostatniego pliku nie moge odszukać ani nawet folderu E:\System Volume Information

 

 

On jest na dysku E:\ ale możemy to pominąć bo to folder przywracania, który i tak będziemy czyścić.

 

Pozostałe pliki skasuj ręcznie.

 

a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania.

 

Gdzie ten raport?

 

---

 

Napisz jak oceniasz obecną sytuacje. 

[green1988]

przepraszam za przeoczenie raportu, oto on: http://wklej.org/id/2981972/

Pozostałe pliki skasowane ręcznie.

 

ADWcleaner po ponowynym skanowaniu nie pokazuje już żadnych zarażonycjh plików.

 

Pozostaje problem ze sprawdzaniem systemu plików na dysku F podczas uruchamiania komputera każdorazowo pojawia się takie okno niebieskie przed uruchomieniem windows

"Twój system plików to NTFS, jeden z dysków wymaga sprawdzenia spójności danych. CHKDSC sprawdza pliki...."

[Miszel03]

Zrób nowy log FRST (bez Addition i Shortcut).

[green1988]

Zrób nowy log FRST (bez Addition i Shortcut).

 

http://wklej.org/id/2983301/

[Miszel03]

Jest już w porządku. Z mojej strony będziemy już kończyć.

 

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. 

 

Zaktualizuj również ważne programy: KLIK. 

 

Pozostaje problem ze sprawdzaniem systemu plików na dysku F podczas uruchamiania komputera każdorazowo pojawia się takie okno niebieskie przed uruchomieniem windows

"Twój system plików to NTFS, jeden z dysków wymaga sprawdzenia spójności danych. CHKDSC sprawdza pliki...."

 

Poczekaj najlepiej na odzew Groszexxx.

[green1988]

Dzięki bardzo Miszel03.