farek Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 W systemie zainstalował się XP Antivirus 2012. Na podstawie nazwy procesu (igb.exe) usunąłem dwa klucze w rejestrze, jeden w HKCU\SOftware\Microsoft\Windows\CurrentVersion\Run, a drugi nie pamiętam, ale chyba usunięcie tamtego spowodowało problem z plikami *.exe. Próbowałem przywrócić system (2-krotnie) z konta administratora, ale bez efektu. Zainstalowałem też spyware-doctora (pomiędzy pierwszym i drugim przywracaniem), ale to narzędzie niczego nie znalazło. Nie załączam raportu z GMERA, bo jeszcze się robi, a ja przez weekend nie będę miał dostępu do tego komputera. Może jednak nie będzie potrzebny (objawów wskazujących na rootkita brak). Z góry dziękuję za pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Problem w tym, że niedokładnie usuwałeś z rejestru wpisy malware. Pozostały asocjacje EXE: O35 - HKU\S-1-5-21-973132478-3635299164-243078915-1009..exefile [open] -- "C:\Documents and Settings\ewa\Ustawienia lokalne\Dane aplikacji\igb.exe" -a "%1" %*O37 - HKU\S-1-5-21-973132478-3635299164-243078915-1009\...exe [@ = exefile] -- "C:\Documents and Settings\ewa\Ustawienia lokalne\Dane aplikacji\igb.exe" -a "%1" %* GMER jest w toku, to mu nie przerywaj. Instrukcje do wykonania gdy ukończy pracę: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKU\S-1-5-21-973132478-3635299164-243078915-1009..exefile [open] -- "C:\Documents and Settings\ewa\Ustawienia lokalne\Dane aplikacji\igb.exe" -a "%1" %* O37 - HKU\S-1-5-21-973132478-3635299164-243078915-1009\...exe [@ = exefile] -- "C:\Documents and Settings\ewa\Ustawienia lokalne\Dane aplikacji\igb.exe" -a "%1" %* [2011-06-24 11:37:06 | 000,013,432 | -HS- | M] () -- C:\Documents and Settings\ewa\Ustawienia lokalne\Dane aplikacji\pef1jekonq014v2j [2011-06-24 11:37:06 | 000,013,432 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\pef1jekonq014v2j O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java "file:///C:/WINDOWS/Java/classes/xmldso.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Po wymuszonym restarcie powinien zgłosić się raport z wynikami usuwania. 2. Przejdź do Dodaj / Usuń programy i odinstaluj zbędnik WinAmp Toolbar. Wymontuj go także z rozszerzeń Firefox. 3. Wygeneruj nowe logi z OTL. Dołącz i ten z usuwania z punktu 1. . Odnośnik do komentarza
farek Opublikowano 27 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 Dziękuję. Skrypt wykonałem z konta administratora, co prawdopodobnie było błędem, bo po zalogowaniu na konto "zepsute" problem istniał nadal. Wykonałem go jednak tam ponownie i aplikacje uruchamiają się już poprawnie. WinAmp Toolbar usunąłem. Załączam obydwa raporty z usuwania, nowe logi z OTL oraz na wszelki wypadek log z GMER'a. 06272011_073856.txt 06272011_075148.txt OTL.Txt gmer_log.txt Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2011 Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 Skrypt wykonałem z konta administratora, co prawdopodobnie było błędem, bo po zalogowaniu na konto "zepsute" problem istniał nadal. Wykonałem go jednak tam ponownie i aplikacje uruchamiają się już poprawnie. Tak, to był błąd. Ta infekcja działa na bieżącym koncie użytkownika. Alternatywne konta, które nie podlegały jej działaniu, mają nienaruszone EXE. Stąd też taki skrypt uruchomiony z poziomu innego konta niż zainfekowane może usunąć tylko i wyłącznie część wspólną dla wszystkich kont, czyli wpisy z gałęzi HKEY_LOCAL_MACHINE (tu: nieistotne wpisy O16 z błędami, ale nie wpisy infekcji), oraz pliki z dysku. Natomiast wszystkie wyniki z HKEY_CURRENT_USER (tu: związanie infekcji z otwieraniem EXE) mogą być zlikwidowane skryptem tylko z poziomu konta poszkodowanego. Problem infekcji rozwiązany, ale jeszcze szczątki są do wyczyszczenia po deinstalacji WinAmp Toolbar. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.selectedEngine: "Winamp Search" FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1 FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-11-05 09:37:13 | 000,000,362 | ---- | M] () -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\6cskuule.default\searchplugins\winamp-search.xml O16 - DPF: Microsoft XML Parser for Java "file:///C:/WINDOWS/Java/classes/xmldso.cab" (Reg Error: Key error.) Klik w Wykonaj skrypt. Gdy się przetworzy, uruchom Sprzątanie w OTL. 2. Na wszelki wypadek przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy. . Odnośnik do komentarza
farek Opublikowano 28 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2011 Wykonałem skrypt i sprzątanie w OTL. Malwarebytes' Anti-Malware znalazł jakieś 2 wpisy. Na razie niczego nie usuwałem. W załączeniu log z Malwarebytes. mbam-log-2011-06-28 (08-17-30).txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2011 Zgłoś Udostępnij Opublikowano 28 Czerwca 2011 1. Wyniki z MBAM: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Ten wynik można zignorować. Wyłączone alerty Centrum zabezpieczeń na temat aktualizacji nie świadczą o infekcji. To ustawienie równie dobrze może wprowadzić użytkownik ręcznie lub tweaker. Malware też to robi, ale to awykonalne, by MBAM precyzyjnie wykazał źródło operacji. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Ten wynik do usunięcia. Jest równoznaczny z dewiacjami pola zaznaczania pokazywania ukrytych plików. Edycję tę prowadzi malware portowane via nośniki USB. 2. Aktualizacje do wykonania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1.3"7-Zip" = 7-Zip 4.65"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Gadu-Gadu" = Gadu-Gadu 7.7 - Okropnie stare Java do deinstalacji i wymiany przez najnowszą wersję, zaktualizuj też wszystkie aplikacje Adobe tu zakreślone: INSTRUKCJE. - GG7 ani nie jest szczególnie bezpieczne użytkowo, ani nie jest zdolne nawet obsłużyć własnej sieci. Poczytaj temat Darmowe komunikatory. Proponuję jako zamiennik WTW. 3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
farek Opublikowano 29 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2011 Wykonane. Bardzo dziękuję za pomoc i pozdrawiam! Odnośnik do komentarza
Rekomendowane odpowiedzi