BobBlunt Opublikowano 14 Marca 2011 Zgłoś Udostępnij Opublikowano 14 Marca 2011 Witam. Niedawno zauważyłem, że podczas uruchamiania komunikatora AQQ, który korzysta z IE zaczęło mi wyskakiwać okno: w tymże samym momencie, zawsze pojawia się komunikat z NOD32 o wykrytym nowym zagrożeniu: Skanowałem komputer NOD32 4.0.474.0 oraz Trojan Remover 6.5.4, ale oba nic nie wykryły. Posiadam system Windows Vista Home Basic Wczoraj ściągnąłem ComboFix'a bo gdzieś na jakimś forum pisało, że może mi pomóc. Przeskanowałem, po czym nie mogłem zalogować się do systemu, miałem szczęście, że mogłem użyć narzędzia do naprawy systemu podczas uruchomienia. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 18 Marca 2011 Zgłoś Udostępnij Opublikowano 18 Marca 2011 Ten komunikat wygląda jakby był od Javy. Nie wiem co o tym myśleć, ale ja bym to zignorował. Te wykrycia NODa też mnie nie przekonują. W logach generalnie nie widać żadnej aktywnej infekcji. Wykonasz jedynie skrypt kosmetyczny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-02-09 10:26:03 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Krystyna\AppData\Roaming\mozilla\Firefox\Profiles\4awivp8a.default\extensions\DTToolbar@toolbarnet.com [2009-11-05 18:58:33 | 000,002,395 | ---- | M] () -- C:\Users\Krystyna\AppData\Roaming\Mozilla\Firefox\Profiles\4awivp8a.default\searchplugins\daemon-search.xml O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1234806826-2403135869-279979013-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - Reg Error: Value error. File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\windows\system32\igfxdkp32.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. BTW: Zerknij jeszcze czy w folderze C:\Qoobox jest plik ComboFix-quarantined-files.txt. Jeśli tak to tez przeklej jego zawartość albo załącz. Odnośnik do komentarza
picasso Opublikowano 18 Marca 2011 Zgłoś Udostępnij Opublikowano 18 Marca 2011 1. Nie zaznaczaj opcji zaufania! To nie może być nic dobrego. Po pierwsze: strona nazdwoh.co.cc nie wygląda na realnie istniejącą (nie mogę jej w niczym otworzyć / na Google cicho), po drugie ten spis z NOD aktywowany w tym momencie jest wysoce alarmujący patrząc po samych adresach i kierunku na jakiś "zerowy" ZIP. Wygląda na to, że coś próbuje uruchomić pobieranie malware (a czy skuteczne / domeny istnieją to już inne zagadnienie). Jedyny wynik, który wygląda na do zignorowania, to ów Eicar. ComboFix wypakowuje taki testowy plik. Skoro to zawsze się uruchamia, gdy startuje AQQ oparte na maszynie IE, to wstępnie sprawdź co jest w dodatkach IE. Uruchom Opcje internetowe > Programy > Zarządzaj dodatkami > po lewej w menu poprzestawiaj opcje widokowe menu i porób z nich po kolei zrzuty ekranu i tu zaprezentuj. Jeszcze czekamy na ewentualny log powstały wtedy przy pracy ComboFix, oraz zobaczymy co się stanie po użyciu skryptu (komenda [emptytemp] adresuje cache Java). 2. W autoryzacji zapory jest znak, że w systemie było malware (podróbka "Intela", prawdziwy Intel to plik igfxtray.exe): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]"C:\windows\system32\igfxdkp32.exe" = C:\windows\system32\igfxdkp32.exe:*:Enabled:VLAN Dopisuję to powyżej do skryptu. 3. Przeskanuj ten system jeszcze przez Malwarebytes' Anti-Malware. . Odnośnik do komentarza
BobBlunt Opublikowano 18 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2011 Witam ponownie. Zrobiłem screeny dodatków z IE: przeskanowałem także programem Malwarebytes' Anti-Malware: w trakcie tego skanowania NOD wrzucił 3 pliki do kwarantanny: użyłem opcji: wykonaj skrypt z dopisanym fragmentem skryptu przez picasso, restart komputera, skan OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 19 Marca 2011 Zgłoś Udostępnij Opublikowano 19 Marca 2011 1. Nie podałeś loga z usuwania. Załączyłam usuwanie wpisu, a on nadal stoi: ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]"C:\windows\system32\igfxdkp32.exe" = C:\windows\system32\igfxdkp32.exe:*:Enabled:VLAN O ile skrypt się wykonał bez błędu (mówię: nie mam raportu z procesu przetwarzania skryptu), to może oznaczać, że ten plik jest na dysku i jest czynny. Uruchom OTL, wszystkie sekcje przestaw na Brak / Żadne, zaś w polu Własne opcje skanowania / skrypt wklej: /md5start igfxdkp32.exe /md5stop Klik w Skanuj (a nie Wykonaj skrypt) i przedstaw wynikowy raport. 2. W dodatkach IE nie widzę nic "ciekawego", wyniki z NOD wskazują cache Java. Nie jest jednak jeszcze wiadome czy cache Java przypadkiem nie jest zapełniane przez inny proces i to tylko konsekwencja próby uruchomienia owych szkodliwych adresów pokazanych na poprzednim obrazku NOD. Jeśli cache to znak pośredni czynnego malware, usuwanie cache będzie mieć skutek tylko tymczasowy. Wstępnie: Panel sterowania > przestaw na wygląd klasyczny > uruchom aplet Java > klik w Settings a następnie Delete files: Zresetuj system, ponów uruchamianie AQQ i podaj czy jest widoczna zmiana. 3. Kosmetycznie: odinstaluj DAEMON Tools Toolbar, widzę to na liście zainstalowanych aplikacji. . Odnośnik do komentarza
BobBlunt Opublikowano 19 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2011 Witam, jeszcze raz przeskanowałem z twoim skryptem, oto log: OTL.Txt Extras.Txt Po restarcie i uruchomieniu AQQ nic się nie pokazało. Ale muszę nadmienić, iż wczoraj też tak było. Od 18.03 nie miałem ataków. Odnośnik do komentarza
picasso Opublikowano 19 Marca 2011 Zgłoś Udostępnij Opublikowano 19 Marca 2011 Witam, jeszcze raz przeskanowałem z twoim skryptem Po pierwsze: Nie wolno ponawiać skryptów! To jednorazowe zadanie. Mnie chodziło o log, który wtedy powstał z instrukcji Landussa (logi z usuwania są w C:\_OTL). Po drugie: nie mam pojęcia co Ty wyprawiasz .... wklejasz to jako "Skanuj"! ========== Custom Scans ========== Zupełnie nie rozumiem co to u licha jest. Ten tekst z powyższego mojego posta to nie jest żaden skrypt (my skrypty wyróżniamy tylko i wyłącznie w tym szarym tagu), tego się nigdzie nie wkleja, to był tylko "cytat z loga", że to nadal jest w rejestrze, a ponownego usuwania to ja jeszcze nie zadałam. Czyli jeśli mówię, że (bo nadal jest to w rejestrze) widzę: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]"C:\windows\system32\igfxdkp32.exe" = C:\windows\system32\igfxdkp32.exe:*:Enabled:VLAN ... to oznacza tylko to co mówię = widzę. By to co widzę prawidłowo usunąć: 1. Otwórz OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\windows\system32\igfxdkp32.exe"=- Klik w Wykonaj skrypt. 2. Program przetworzy to i poda log z tego usuwania = ten log masz pokazać. Przeskanowałem wpisując w OTL to Czyli pliku nie ma na dysku. Po restarcie i uruchomieniu AQQ nic się nie pokazało. Ale muszę nadmienić, iż wczoraj też tak było. Od 18.03 nie miałem ataków. A może tu zadziałał już pierwszy skrypt z komendą czyszcze cache Java i stąd już nie ma tych objawów? . Odnośnik do komentarza
BobBlunt Opublikowano 19 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2011 Log'a, o którym pisałeś: ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\windows\system32\igfxdkp32.exe deleted successfully. OTL by OldTimer - Version 3.2.22.3 log created on 03192011_111112 Odnośnik do komentarza
picasso Opublikowano 19 Marca 2011 Zgłoś Udostępnij Opublikowano 19 Marca 2011 I okej, wpis został usunięty. Mówisz, że na razie nie startują żadne komunikaty Java podczas uruchomienia AQQ, to i należy poczekać czy jest to trwałe. Póki co, mogę zadać końcowe czyszczenie: 1. Skasuj z dysku kwarantannę OTL, czyli przez SHIFT+DEL skasuj folder C:\_OTL 2. Odinstaluj w prawidłowy sposób ComboFix. Pobierz go ponownie na Pulpit, z klawiatury kombinacja klawisz z flagą Windows + R i wklej komendę: C:\Users\Krystyna\Desktop\ComboFix.exe /uninstall 3. Wykonaj aktualizacje przeglądarek Firefox i Internet Explorer: INSTRUKCJE. Temat zostawiam otwarty, oczekując na całkowite potwierdzenie, że problem już nie występuje. PS. "pisałeś" = "pisałam" = jestem kobietą. . Odnośnik do komentarza
BobBlunt Opublikowano 19 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2011 Dobrze, zrobiłem tak jak jest napisane. Poczekamy zobaczymy. Nie wiedziałem, że jesteś kobietą, nie sugeruje się nigdy avatarami. Może dlatego jest taki porządek na forum Odnośnik do komentarza
Rekomendowane odpowiedzi