Seks linki

[kosa351]

Witam,

moi rodzice poprosili mnie, abym sprawdził ich komputer, bo ostatnio nagminnie wyskakuje im nowe okno z porno ogłoszeniami. Było to dla mnie podejrzane, więc przeskanowałem komputer MalwareBytes, Spybootem oraz Avirą. Żadnen z nich nie wykrył nic podejrzanego. Kazałem więc gdy wyskoczy to okno, niech zadzwonią. Na drugi dzień telefon, łącze się zdalnie i rzeczywiście otworzyło się nowe okno w FF z linkiem

http://sexnk.net/w/570/?ID=19377&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU1UY3dPVEl3SWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRjeU9ESXlJanR6T2pRNkltdHdjR2tpTzNNNk5Eb2lNakU0TlNJN2ZYTTZNem9pYldRMUlqdHpPak15T2lJeE5tVTVaamd3T1daaU1tVmtPRFF4T0dObVpqTmlPREkxTURjeE9UQmpZU0k3ZlE9PQ%3D%3D

Wrzucam logi z OTL i Gmera do analizy.

gmer1.txt

OTL.Txt

Extras.Txt

[picasso]

Log z GMER jest zaciemniony działaniem sterownika emulacji SPTD (KLIK).

 

DRV - [2010-11-30 12:41:04 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

W OTL widzę infekcję = brzydkie ukryte zadanie w Harmonogramie i koresponujący plik DLL:

 

[2011-03-06 16:49:40 | 000,000,328 | -HS- | M] () -- C:\WINDOWS\tasks\SORVUVLONA.job
[2010-12-23 18:51:58 | 000,061,440 | RHS- | C] () -- C:\WINDOWS\System32\kbdbhcj.dll

Kolejna sprawa, plik Windows nie ma sygnatury Microsoftu:

 

SRV - [2008-04-14 22:51:40 | 000,142,336 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\sessmgr.exe -- (RDSessMgr)
 
[2009-03-16 20:39:23 | 000,142,336 | ---- | C] () -- C:\WINDOWS\System32\sessmgr.exe

Czy jesteś świadomy blokady Przywracania systemu / było to robione celowo (?):

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1

 

 

---

Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-03-06 16:49:40 | 000,000,328 | -HS- | M] () -- C:\WINDOWS\tasks\SORVUVLONA.job
[2010-12-23 18:51:58 | 000,061,440 | RHS- | C] () -- C:\WINDOWS\System32\kbdbhcj.dll
[2010-08-08 15:44:50 | 000,000,000 | ---D | M] (Softonic_France Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\51eii27g.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Po restarcie systemu zostanie podany log.

 

 

2. Następnie roboty deinstalacyjne w Dodaj / Usuń:

 

• Do deinstalacji zbędnik Logitech Desktop Messenger (to podrzucacz "newsów" producenta, w ogóle niepotrzebny do pracy sprzętu).
  
• Od razu można zastąpić Adobe Reader 9.4.2 przez najnowszy Adobe Reader X (instalacja z ominięciem sponsora McAfee).
  
• Rozważ usunięcie Spybot Search & Destroy. To stary program, słabo ciągnie, a dzisiejsze antywirusy są już multifunkcyjne i spyware wchodzi w zakres detekcji. Tu wystarczy tylko MBAM jako skaner ręczny. Jeśli zdecydujesz o deinstalacji, nie zapomnij w opcjach immunizacji statycznej odkręcić status pliku HOSTS.
  

 

3. Nowy log z OTL wykonaj na warunku dostosowanym, w oknie Własne opcje skanowania / skrypt wklej:

 

/md5start
sessmgr.exe
/md5stop

Klik w Skanuj (a nie Wykonaj skrypt!) i zaprezentuj wyniki. Dołącz i log powstały z usuwania w punkcie 1

 

 

 

 

.

[kosa351]

W załączniku nowe logi po wykonaniu skryptu oraz poprawny z GMERa.

Przywracanie systemu zostało wyłączone świadomie. Komputer to poczciwy Compaq D510 z dyskiem twardy 40GB, więc każde wolne megabajty są pożądane. Niedługo będzie wymiana na jakiś 120GB więc po sklonowaniu starego dysku i przeniesieniu na nowy zostanie włączone przywracanie.

gmer.txt

OTL.Txt

otl_clean.txt

[picasso]

Nie wygląda na to, byś emulację SPTD zdjął. W OTL SPTD ma status "Running", zaś w GMER niezmiennie aktywność losowego tworu spkj.sys (pochodna SPTD), której nie powinno być przy prawidłowym zdjęciu emulacji. Ale OK, zostawmy już to. Skrypt do OTL przetworzył co należy, tylko ręcznie zniszcz ten folder po pasku Softonic_France Toolbar:

 

[2011-03-07 11:50:43 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\51eii27g.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}

 

Pozostała sprawa pliku C:\WINDOWS\system32\sessmgr.exe, który występuje tylko w jednej nieprawidłowej kopii.

 

1. Pobierz plik sessmgr.exe wyekstraktowany z pakietu SP3 PL: KLIK. Plik połóż bezpośrednio na C:\, gdyż ta ścieżka będzie w skrypcie.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\sessmgr.exe|C:\sessmgr.exe /replace
C:\WINDOWS\system32\dllcache\sessmgr.exe|C:\sessmgr.exe /replace

Znana już sekwencja: Wykonaj skrypt, restart, log wynikowy.

 

3. Zrób nowe logi z OTL, już tradycyjnie przez Skanuj. Dołącz log uzyskany z podmiany plików.

 

 

 

.

[kosa351]

Najnowsze logi

Extras.Txt

OTL.Txt

otl-sessmgr.txt

[picasso]

Plik prawidłowo podstawiony, przestała się w związku z tym pokazywać na liście niedomyślnych usług usługa Windows RDSessMgr. W raportach nie widzę już nic od infekcji. Wykonaj czynności końcowe, czyli:

 

1. Nadal nie jest skasowany folder odpadek po Softonic_France Toolbar:

 

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\51eii27g.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}

 

2. Wywołaj Sprzątanie w OTL.

 

Pytaniem jest: czy ustąpił problem "seks linków"?

 

 

 

.

[kosa351]

Usunięte i posprzątane. Dziękuje za pomoc.

Czy problem ustąpił to się okaże przy użytkowaniu. Mam nadzieję, że tak. Gdyby jednak nie to odezwę się w tym temacie. Pozdrawiam.

Edytowane 9 Kwietnia 2011 przez picasso
9.04.2011 - Upłynął miesiąc, problemu nie zgłaszasz. Temat uznaję za zamknięty. //picasso