Spowolnienie otwierania stron - łączenie przez immensesearchsystem.com

[cinkoo]

Od kilku dni mam problem z przeglądaniem internetu. Otwieranie stron znacznie się spowolnilo, a w doatku zauwazylem, że podczas otwierania np. wikipedii u dołu strony pojawia się napis: oczekiwanie na immensesearchsystem.com. Gdy napis ten zniknie, pojawia sie pusta strona i dopiero jej odswiezenie powoduje, ze strona się uruchamia.

 

Serdecznie proszę o pomoc!

 

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 08:06 on 17/10/2011 (xp)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

HKCU:DAEMON Tools Lite -> Removed

 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

 

 

-=E.O.F=-

OTL.Txt

Extras.Txt

[picasso]

Nie podałeś obowiązkowego loga z GMER (o iie oczywiście nie wystąpiły przeszkody typu GMER nie chce działać). Jest tu paskudna infekcja rootkit ZeroAccess:

 

MOD - [2008-04-14 22:50:40 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
 
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
 
O20 - HKU\S-1-5-21-1409082233-1715567821-839522115-1003 Winlogon: Shell - (C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c\X) -C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c\X ()
 
File not found -- C:\WINDOWS\System32\
[2011-10-15 18:37:43 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c
[2011-10-17 08:08:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\749563319

 

Pierwszy etap: uruchom Kaspersky TDSSKiller i przedstaw co on widzi. Jeśli cokolwiek wykryje, przyznaj akcję Skip i nic jeszcze nie usuwaj. Tylko log zaprezentuj.

 

 

 

.

[cinkoo]

Po skanowaniu w Kaspersky TDSSKiller nie wyswietlil się zaden log. Skanowalem na domyslnych ustawieniach, skan przebiegl dosyc szybko, bo trwał kilkanascie sekund.

[picasso]

Skany w TDSSKiller są błyskawiczne, bo narzędzie jest specjalizowane. No ale czy Kaspersky coś wykrył / podejmowałeś jakieś akcje? Na temat raportu: wczytaj się w opis narzędzia = log się sam nie otwiera, log ręcznie na dysku musisz znaleźć.

[cinkoo]

Zrobilem skan jeszcze raz (z zaznaczeniem opcji Verify driver digital signatures i Detect TDLFS file system). Program wykryl kilka infekcji we wszystkich ustawilem opcje Skip.

 

Na dysku znalazlem taki log: czy o ten wlasnie chodzi ?

TDSSKiller.2.6.9.0_17.10.2011_08.52.49_log.txt

[picasso]

Sterownikiem ZeroAccess jest ten:

 

08:53:03.0781 2816	b76dad2c        (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\749563319:1217549011.exe
08:53:03.0781 2816	Suspicious file (Hidden): C:\WINDOWS\749563319:1217549011.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
08:53:03.0781 2816	b76dad2c ( HiddenFile.Multi.Generic ) - warning
08:53:03.0781 2816	b76dad2c - detected HiddenFile.Multi.Generic (1)

 

O pozostałych bez podpisu cyfrowego nie wiem co sądzić, gdyż zainfekowanie sterowników Windows przez ZeroAccess ma inne zwroty. Na razie kwestie sigów omijam. Wykonaj następujące operacje:

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku HiddenFile.Multi.Generic przyznaj akcję Delete. Zresetuj system.

 

2. Pobierz i uruchom zgodnie z wytycznymi ComboFix. Narzędzie powinno zwrócić już na początku uruchomienia, że wyczuwa ZeroAccess.

 

3. Następnie zrób nowy log z Kasperskiego. Dołącz raport wygenerowany przez ComboFix w punkcie 2.

 

 

 

.

[cinkoo]

Po uruchomieniu Combofix pojawil sie komunikat o wykryciu AVG 2011. W AVG pojawia sie komunikat "BRAK aktywnych skladnikow" Ochrona rezydentna jest wylaczona, ale Combofix nadal wykrywa AVG. Co mam robic ?

[picasso]

Jeśli na pewno rezydent AVG ma status wyłączony, mimo tego co mówi ComboFix zatwierdź jego uruchomienie.

[cinkoo]

Pisze z drugiego komputera. Combofix wlasnie skanuje system (ukonczono etap 5), ale nie przestawil automatycznie zegara. Czy to nic zlego?

[picasso]

Nic złego, ComboFix już tego nie prowadzi / nie ma takiego tekstu w oknie. Nie pamiętam od kiedy ta zmiana jest, ale mój temat opisowy już od dawna ma ten tekst wycięty.

[cinkoo]

ComboFix zakonczyl skanowanie i pojawil sie komunikat o ponownym uruchamianiu systemu. Trwa to juz jednak ponad 10 min. Mam dalej czekac, czy zrestartowac system recznie?

[picasso]

10 minut to dużo.... Chyba zawias. Odczekaj jeszcze chwilę i wymuś restart. Jeśli po restarcie nie zgłosi się ComboFix wcale lub zatnie się na nieskończonym "tworzenie raportu" bez otworzenia tego raportu, uruchom ComboFix ponownie i pozwól mu wykonać pełną rundę od początku.

[cinkoo]

Przesylam logi z Combofix i Kaspersky'ego.

ComboFix.txt

TDSSKiller.2.6.9.0_17.10.2011_12.21.39_log.txt

[picasso]

Wg Kasperskiego czynności rootkit ustały. Ale ... w ComboFix nadal widać strumień rootkita załadowany:

 

skanowanie ukrytych plików ...  
.
.
c:\windows\749563319:1217549011.exe 816 bytes executable
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\749563319:1217549011.exe

 

ComboFix zajmował się usuwaniem dodatkowych składników tej infekcji (kasacja usługi i plików / podmiana zarażonego atapi.sys), a także namierzył zainfekowane pliki programów i aktualnie aplikacje tu widoczne są poszkodowane:

 

c:\windows\system32\Ati2evxx.exe . . . jest zainfekowany!!
c:\windows\system32\Ati2evxx.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe . . . jest zainfekowany!!
c:\program files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\AVG\AVG10\avgwdsvc.exe . . . jest zainfekowany!!
c:\program files\AVG\AVG10\avgwdsvc.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\Java\jre6\bin\jqs.exe . . . jest zainfekowany!!
c:\program files\Java\jre6\bin\jqs.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE . . . jest zainfekowany!!
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe . . . jest zainfekowany!!
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\program files\UPHClean\uphclean.exe . . . jest zainfekowany!!
c:\program files\UPHClean\uphclean.exe . . . was deleted!! You should re-install the program it pertains to

 

Nie wszystkie kasacje ComboFix wyglądają na prawidłowe, np. usunięcie katalogów BITS (to od FlashGeta) i WinBox.

 

 

1. Otwórz Notatnik i wklej w nim:

 

ADS::
c:\windows\749563319
 
File::
c:\windows\749563319
 
Folder::
c:\documents and settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

2. Rekonstruuj ubytki:

- AVG do całkowitego przeinstalowania, to i tak starsza wersja. Odinstaluj go normalną drogą, popraw przez AVG Remover.

- Do przeinstalowania także ATI Catalyst, User Profile Hive CleanUp Service, Java i Nero.

- W Dodaj / Usuń programy wywołaj też naprawę pakietu Office, może to uzupełni usunięty plik MDM.EXE.

 

3. Po wykonaniu wyżej wymienionych czynności zrób nowy log z OTL z opcji Skanuj (Extras nie potrzebuję po raz drugi)i przedstaw do oceny. Dołącz log z ComboFix pozyskany w punkcie 1.

 

 

 

.

[cinkoo]

Po upuszczeniu skryptu na ikone Combofix, program zaczyna pelne skanowanie systemu. Tak ma byc ? Mam rownniez problem z klawiatura. W ogole nie moge na niej pisac

[picasso]

Tak ma być, przecież jest w opisie ComboFix, że wykonywanie skryptu z "graficznego" punktu widzenia pozornie wygląda tak samo jak tradycyjne uruchomienie. Na temat klawiatury: czy to się stało teraz po użyciu ComboFix? Może rootkit jednak wrócił i zainfekował sterownik klawiatury. Ukończ co masz zrobić, do logów które kazałam podać dołóż jeszcze ponownie uruchomiony TDSSKiller.

[cinkoo]

Problem z klawiatura zaczal sie po usunieciu infekcji w TDSSKiller (b76dad2c). Najpierw przestala dzialac myszka (kursor byl niekatywny). Dopiero po kilku restartach systemu myszka zaczela dzialac, ale przestala dzialac klawiatura.

[picasso]

Notabene: tę usługę kasował uruchomiony w późniejszym czasie ComboFix, więc coś tu było nie tak z pierwszą operacją likwidacji w TDSSKiller. Ja poczekam na wszystkie logi. Prawdopodobnie sterownik klawiatury jest zainfekowany bądź uszkodzony. Zobaczymy co logi powiedzą.

[cinkoo]

Logi:

ComboFix.txt

OTL.Txt

[picasso]

Jest bez zmian, rootkit jest czynny.

 

1. Uruchom DummyCreator. W oknie wklej:

 

C:\WINDOWS\749563319

 

Klik w Create.

 

2. Ważne: zresetuj system.

 

3. Uruchom ESET Win32/Sirefef Trojan remover.

 

4. Uruchom ComboFix. Do prezentacji jego log oraz nowy log z OTL.

 

 

 

.

[cinkoo]

Po uruchomieniu ESET Win32/Sirefef Trojan remover pojawia się komunikat :

 

You are running in Normal boot mode, if infiltration will be found security access rights may be not restored for ESET products due to Self-defense.

If you have no ESET products installed and still want to perform scanning and cleaning of your system please skip this message by clicking [YES]

 

Czy mam go zaakceptowac ? Czy ten program moge uruchomic w normalnym trybie ? Nie musze wchodzic w tryb awaryjny ?

[picasso]

cinkoo proszę nie stosuj opcji "Odpisz", która w denerwujący sposób automatycznie cytuje cały poprzedni post. Korzystaj z opcji "Dodaj odpowiedź".

 

 

Czy mam go zaakceptowac ? Czy ten program moge uruchomic w normalnym trybie ? Nie musze wchodzic w tryb awaryjny ?

 

Tak, masz zakceptować, przecież nie masz produktów ESET zainstalowanych.

 

 

 

.

[cinkoo]

Oto nowe logi z ComboFix i OTL.

 

Po uruchomieniu i przeskanowaniu ESET Win32/Sirefef Trojan remover pojawił się komunikat

 

"Win32/Sirefef has NOT been found on your system.".

 

Mam jeszcze pytanie odnośnie AVG. Antyvirus znacznie obciaza mi system. Czy Avast bylby dobra alternatywą dla AVG ?

ComboFix.txt

OTL.Txt

[picasso]

Mam jeszcze pytanie odnośnie AVG. Antyvirus znacznie obciaza mi system. Czy Avast bylby dobra alternatywą dla AVG ?

 

Na razie nie czas tu na takie dywagacje. System jest poważnie zainfekowany, a instalacja antywirusa mija się teraz z celem. Rootkit go znokautuje i trzeba będzie się trudzić z resetem ACL i usuwaniem zdefektowanych komponentów.

 

 

---

Niestety, usuwanie pozorowane. Strumień rootkit jest niezmiennie załadowany:

 

skanowanie ukrytych plików ...  
.
.
c:\windows\749563319:1217549011.exe 816 bytes executable
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\749563319:1217549011.exe

 

W Winsock nadal przekierowanie. Odtwarzają się usuwane już tu pliki. Rootkit niewątpliwie czynny.

 

1. Zrób nowy CFSCript.txt o zawartości:

 

Rootkit::
C:\WINDOWS\749563319:1217549011.exe
 
File::
C:\WINDOWS\749563319
 
Folder::
C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c

 

2. Przejdź w Tryb awaryjny Windows i uruchom CFSCript.txt poprzez przeciągnięcie na ComboFix.

 

3. Po restarcie systemu wygeneruj nowe logi z TDSSKiller i OTL. Dodaj log z wynikami usuwania w ComboFix.

 

 

Jeśli ta procedura zawiedzie, zmienię środowisko czyszczenia na zewnętrzne (płyta startowa).

 

 

.

[cinkoo]

Przesylam nowe logi. Po skanowaniu w ComboFix na zainfekowanym komputerze nie mam polaczenia internetowego.

OTL.Txt

ComboFix.txt

TDSSKiller.2.6.9.0_18.10.2011_08.04.46_log.txt