Sprawdzenie loga po infekcji fałszywego flashplayera

[kosa351]

Witam,

Dostałem kompa, który nie chciał się uruchomić (brak boot.ini oraz uszkodzone pliki z folderu /system32. Infekcja nastąpiła poprzez instalację zainfekowanego flashplayer (facebook), a system nie posiadał żadnego AV. Po przywróceniu systemu do życia, usunąłem to co się da. zaktualizowałem soft. Jednak proszę o sprawdzenie logów.

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Temat jedzie do działu Malware. Jeszcze czyszczenie jest wymagane, gdyż są szczątki tej Facebook-infekcji (m.in fałszywy plik HOSTS operujący znakiem Unicode symulującym literę "o", autoryzacje w zaporze....), plus drobne adware i puste wpisy do usuwania się kwalifikują.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\drivers\etc\hîsts
C:\WINDOWS\update.*
C:\WINDOWS\av_ico
C:\WINDOWS\ufa
C:\WINDOWS\ufa.rar
C:\WINDOWS\phoenix
C:\WINDOWS\phoenix.rar
C:\WINDOWS\rpcminer.rar
C:\WINDOWS\geoiplist
C:\WINDOWS\geoiplist.rar
C:\WINDOWS\unrar.exe
C:\WINDOWS\info1
C:\WINDOWS\loader2.exe_ok
C:\Program Files\mozilla firefox\searchplugins\seekservice133.xml
C:\Program Files\mozilla firefox\searchplugins\seekservice135.xml
C:\Program Files\mozilla firefox\searchplugins\seekservice137.xml
C:\Program Files\mozilla firefox\searchplugins\seekservice139.xml
C:\Program Files\mozilla firefox\searchplugins\seekservice145.xml
C:\Program Files\mozilla firefox\searchplugins\zwunzi128.xml
C:\Program Files\mozilla firefox\searchplugins\zwunzi129.xml
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\77yihvzx.default\searchplugins\askcom.xml
C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\77yihvzx.default\searchplugins\BearShareWebSearch.xml
C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\77yihvzx.default\searchplugins\conduit.xml
C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\77yihvzx.default\extensions\engine@conduit.com
C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\77yihvzx.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\77yihvzx.default\extensions\ffxtlbr@babylon.com
C:\Documents and Settings\Home\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Home\Dane aplikacji\PriceGong
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Home\Moje dokumenty\Pobieranie\Flash-Player.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.3\svchost.exe"=-
 
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:3.6.0.10
FF - prefs.js..keyword.URL: "http://www.google.com/search?ie=UTF-8&oe=utf-8&q="
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll File not found
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-1604221776-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Są tu poszkodowane antywirusy. Jako zainstalowany widnieje ESET NOD32 Antivirus, ale widzę też obiekty Avira i Avast. Z poziomu Trybu awaryjnego zastosuj te narzędzia firmowe: Avast Uninstall Utility + Avira RegistryCleaner.

 

3. Wygeneruj nowe logi: z OTL opcją Skanuj + AD-Remover z opcji Scan. Dołącz log z wynikami usuwania z punktu 1.

 

 

 

 

.

[kosa351]

Logi w załączniku.

Domyślnym AV jest obecnie Avira. System dostał spywarem (AntiVirus Enhanced Protection Mode) blokującym AV, zresztą jak zauważyłaś.

otl_kill.txt

Ad-Report-SCAN1.txt

OTL.Txt

[picasso]

Skrypt wykonany, pozostały do czyszczenia szczątki adware oraz uzgodnienie pewnych niuansów plików Windows.

 

1. W logu z OTL widać:

 

O1 HOSTS File: ([2011-09-09 10:01:23 | 000,000,000 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

Plik HOSTS nie pokazuje żadnej zawartości i jest równy zero bajtów. Otwórz ten plik i wstaw w nim zgodną z Windows XP zawartość:

 

127.0.0.1 localhost

O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - C:\WINDOWS\System32\WgaLogon.dll ()
 
[2009-09-16 21:34:59 | 001,481,728 | ---- | C] () -- C:\WINDOWS\System32\LegitCheckControl.dll
[2009-09-16 21:34:59 | 000,323,072 | ---- | C] () -- C:\WINDOWS\System32\WgaTray.exe
[2009-09-16 21:34:59 | 000,190,976 | ---- | C] () -- C:\WINDOWS\System32\WgaLogon.dll
[2009-09-16 21:26:39 | 000,168,448 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

Plik WGA nie ma sygnatury MS. Czy to jest XP "z Koziej Wólki" i kombinowano tu z oszukaniem WGA?

 

2. Zamknij Firefox i upewnij się, że jego proces zniknął. Uruchom AD-Remover z opcją Clean.

 

3. Drobna poprawka ad wpisów, których powyższa procedura nie ruszy, plus usunięcie mini szczątków Avast. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\WINDOWS\avastSS.scr

4. Wyprodukuj nowy log z AD-Remover z opcji Scan do oceny.

 

 

 

.

[kosa351]

Log załączony.

Istnieje duże prawdopodobieństwo, że system jak to ujęłaś pochodzi z Koziej Wólki Jednak nie wnikam, w to co znajoma ma zainstalowane i jakiego jest pochodzenia.

Ad-Report-SCAN2.txt

[picasso]

Czy na pewno Firefox był odładowany podczas procesu czyszczenia w AD-Remover? Narzędzie nadal widzi w preferencjach Firefox Conduit, a powinno to zlikwidować. Ponów opcję Clean i przedstaw kolejny log AD-Remover trybu Scan.

[kosa351]

Podczas skanowania proces FF jest na 100% ubity.

Ad-Report-SCAN3.txt

[picasso]

Bez zmian.

 

1. Zamknij Firefox (proces ma być odładowany).

 

2. Otwórz w Notatniku plik C:\Documents and Settings\Home\Dane aplikacji\Mozilla\FireFox\Profiles\77yihvzx.default\Prefs.js i wytnij z niego wszystkie linie zawierające ciągi CommunityToolbar.*, ConduitEngine.*, CT2530240.*. Zapisz zmiany w pliku.

 

3. Uruchom Firefox (to test, czy prefs.js nie jest odkręcane), a po tym zrób log z AD-Remover z opcji Scan.

 

 

 

.

[kosa351]

Komputer już oddany. Po niedzieli postaram się zdalnie oczyścić.

Dziękuje za pomoc.