Spowolnienie otwierania stron - łączenie przez immensesearchsystem.com

[picasso]

Jesteśmy na prostej. W końcu puścił strumień, został skasowany konfig rootkita, a także ComboFix był zdolny wykryć naruszenie w sterowniku klawiatur i8042prt.sys:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c
c:\documents and settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c\@
c:\documents and settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c\U\80000000.@
c:\documents and settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c\U\800000cb.@
c:\documents and settings\xp\Ustawienia lokalne\Dane aplikacji\b76dad2c\X
c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
c:\windows\749563319
.
Zainfekowana kopia c:\windows\system32\drivers\i8042prt.sys została znaleziona. Problem naprawiono 
Plik odzyskano z - The cat found it  
Zainfekowana kopia c:\windows\system32\Ati2evxx.exe została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\windows\system32\ReinstallBackups\0000\DriverFiles\ati2evxx.exe 
.
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_.i8042prt
-------\Service_b76dad2c

 

Ustąpiły modyfikacje Winsock. Co pozostało:

 

1. Od infekcji są tu widoczne jeszcze te dwa pliki:

 

File not found -- C:\WINDOWS\System32\
 
[2011-10-18 07:30:57 | 000,048,016 | -HS- | C] () -- C:\WINDOWS\System32\c_59836.nl_

 

ComboFix nie skasował tym razem pliku "not found" (widziany tak przez OTL, bo nie ma nazwy = ciężki do skasowania) i nie wiem dlaczego.

 

2. Ponadto, sterownik ipsec widać bez sygnatury MS:

 

DRV - [2008-04-14 00:49:44 | 000,075,264 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ipsec.sys -- (IPSec)

 

Ale to już wiadome od pierwszego skanu TDSSKiller, który wykrył całą grupę plików niesygnowanych. Jeszcze tu jest niesprecyzowany wątek z niesygnowanym tcpip.sys, mam wątpliwości czy to ruszać. Nie patchowałeś aby tego pliku, by zniwelować limit połączeń?

 

3. Są też nadal szkody po rootkicie, ComboFix usuwał zainfekowane pliki i usługi są martwe:

 

SRV - File not found [Auto | Stopped] --  -- (UPHClean)
SRV - File not found [Auto | Stopped] --  -- (MDM)
SRV - File not found [Auto | Stopped] --  -- (JavaQuickStarterService)
SRV - File not found [Auto | Stopped] --  -- (ERSvc)

 

W tym zestawie mam jednak wątpliwości na temat wpisu ERSvc (Usługa raportowania błędów). To nie było widoczne w pierwszym OTL, ale ComboFix się tym nie zajmował (żaden log nie pokazuje takiej kasacji), skąd więc ten brak. Dlatego mam wątpliwości, bo w normalnych warunkach to bym podejrzewała modyfikowany umyślnie Windows (są w logu subtelne ślady, że z takowym mogę mieć do czynienia). Pytanie: czy to modyfikowany Windows?

 

 

Po skanowaniu w ComboFix na zainfekowanym komputerze nie mam polaczenia internetowego.

 

Przy uruchomieniu ComboFix na komunikacie o wykryciu infekcji ZeroAccess jest ostrzeżenie na ten temat i prośba, by po utracie sieci zresetować ponownie komputer. Możliwe też, że problem leży w sterowniku ipsec.sys.

 

 

 

---

Kolejna partia czyszczenia:

 

1. Plik ipsec.sys wyekstraktowany z XP SP3: KLIK. Ułóż go w katalogu C:\Tmp.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
del "\\?\C:\Windows\system32\ " /C
C:\WINDOWS\System32\c_59836.nl_
C:\WINDOWS\system32\drivers\ipsec.sys|C:\Tmp\ipsec.sys /replace
C:\WINDOWS\system32\dllcache\ipsec.sys|C:\Tmp\ipsec.sys /replace
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (JavaQuickStarterService)
SRV - File not found [Auto | Stopped] --  -- (UPHClean)
O3 - HKU\S-1-5-21-1409082233-1715567821-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found
O8 - Extra context menu item: Pobierz za pomocą Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm File not found
O18 - Protocol\Handler\avgsecuritytoolbar - No CLSID value found
[2011-03-04 16:27:23 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Documents and Settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\z6x2d474.Domyślny użytkownik\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011-10-17 14:28:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVG10
[2011-07-08 12:28:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\xp\Dane aplikacji\AVG10
[2011-03-28 06:31:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\xp\Dane aplikacji\DVDVideoSoftIEHelpers

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System powinien zostać zrestartowany, a po restarcie otrzymasz log z usuwania.

 

3. Przejdź do Dodaj / Usuń programy i odinstaluj poszkodowaną aplikację User Profile Hive Cleanup Service. Wywołaj naprawę komponentów Office.

 

4. Przedstaw nowy log z OTL z opcji Skanuj oraz z TDSSKiller, ale w konfiguracji zaznacz tylko jedną opcję do skanowania, czyli Verify driver digital signatures .... Dorzuć log z wynikami usuwania OTL pozyskany w punkcie 2.

 

 

 

 

.

[cinkoo]

1. Plik ipsec.sys (...) Ułóż go w katalogu C:\Tmp.

 

Niestety nie posiadam na dysku C folderu Tmp ani Temp Czy mam go utworzyc recznie ?

 

Jeszcze tu jest niesprecyzowany wątek z niesygnowanym tcpip.sys, mam wątpliwości czy to ruszać. Nie patchowałeś aby tego pliku, by zniwelować limit połączeń?

 

Nic tam nie "grzebałem" i nie patchowałem tego pliku.

 

Dlatego mam wątpliwości, bo w normalnych warunkach to był podejrzewała modyfikowany umyślnie Windows (są w logu subtelne ślady, że z takowym mogę mieć do czynienia). Pytanie: czy to modyfikowany Windows?

 

Tak, to modyfikowany Windows.

 

3. Przejdź do Dodaj / Usuń programy i odinstaluj poszkodowaną aplikację User Profile Hive Cleanup Service. Wywołaj naprawę komponentów Office.

 

Czy chodzi o naprawe komponentow Microsoft Office ? W Dodaj/usun programy w Microsoft Office(posiadam wersje 2003) klikam na zmien i Zainstaluj ponownie lub napraw ?

[picasso]

Niestety nie posiadam na dysku C folderu Tmp ani Temp Czy mam go utworzyc recznie ?

 

Oczywiście go nie ma, Ty masz go utworzyć. Dokładnie nazwa Tmp (a nie Temp), bo taka jest ustalona w skrypcie.

 

 

Tak, to modyfikowany Windows.

 

Czyli może mieć już z biegu patch tego pliku:

 

 

Nic tam nie "grzebałem" i nie patchowałem tego pliku.

 

Dlatego tcpip.sys zostawię w spokoju. Usługę raportowania błędów chyba też tak potraktuję (tylko nie rozumiem czemu tego nie było widać w pierwszym OTL).

 

 

Czy chodzi o naprawe komponentow Microsoft Office ? W Dodaj/usun programy w Microsoft Office(posiadam wersje 2003) klikam na zmien i Zainstaluj ponownie lub napraw ?

 

Tak. I opcja "napraw" do wykorzystania.

 

 

 

.

[cinkoo]

Log z usuwania w OTL:

 

http://wklej.org/id/609606/

 

Podczas usuwania User Profile Hive Cleanup Service wyswietla mi się komunikat "There is a problem with the Windows Installer package. A program required for this install to complete could not be run. Contact with your support personnel or package vendor".

OTL.Txt

TDSSKiller.2.6.10.0_18.10.2011_10.50.17_log.txt

[picasso]

Nie wypowiadasz się czy sieć już działa. Wszystkie zadania ujęte skryptem pomyślnie wykonane: skasowane pliki infekcji, podmieniony ipsec.sys, usunięte odpadki.

 

 

1. Zostały następujące szczątki do korekty:

 

SRV - File not found [Auto | Stopped] --  -- (MDM)

 

Jeśli to już stan po reperacji Office, to plik nie został zrekonstruowany. Pierwotnie wpis wyglądał w następujący sposób:

 

SRV - [2003-06-19 23:25:00 | 000,322,120 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)

 

Potem przeinstalujesz cały Office 2003, by to odtworzyć.

 

 

Podczas usuwania User Profile Hive Cleanup Service wyswietla mi się komunikat "There is a problem with the Windows Installer package. A program required for this install to complete could not be run. Contact with your support personnel or package vendor".

 

Skorzystaj z Windows Installer CleanUp do usunięcia tej pozycji.

 

 

2. Posprzątaj po używanych narzędziach. Odinstaluj ComboFix w prawidłowy sposób. W Start > Uruchom > wklej komendę:

 

"c:\documents and settings\xp\Pulpit\ComboFix.exe" /uninstall

 

Następnie w OTL uruchom Sprzątanie.

 

 

3. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool i przedstaw raport. Interesują mnie tylko wyniki infekcyjne, nie przeklejaj wyników typu OK/Archive/Packed/Password Protected.

 

 

 

.

[cinkoo]

Nie wypowiadasz się czy sieć już działa. Wszystkie zadania ujęte skryptem pomyślnie wykonane: skasowane pliki infekcji, podmieniony ipsec.sys, usunięte odpadki.

 

Tak, siec juz dziala bez problemu.

 

SRV - File not found [Auto | Stopped] --  -- (MDM)

 

Jeśli to już stan po reperacji Office, to plik nie został zrekonstruowany. Pierwotnie wpis wyglądał w następujący sposób:

 

SRV - [2003-06-19 23:25:00 | 000,322,120 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)

 

Potem przeinstalujesz cały Office 2003, by to odtworzyć.

 

Reperacje Office wykonałem zaraz po tym jak wkleilem logi na forum. Po zakonczeniu, wyswietlil sie komunikat, ze naprawa przebiegla pomyslnie. Czy w zwiazku z tym nadal musze przeinstalowac Office'a ?

[picasso]

Reperacje Office wykonałem zaraz po tym jak wkleilem logi na forum. Po zakonczeniu, wyswietlil sie komunikat, ze naprawa przebiegla pomyslnie. Czy w zwiazku z tym nadal musze przeinstalowac Office'a ?

 

W poście #26 podawałam konkretną kolejność zadań (!): w punkcie 3 reperacja Office, by log z OTL zrobiony w punkcie 4 przedstawił czy reperacja była pomyślna. Skoro Ty sobie przestawiasz punkty, fałszujesz wygląd raportów. I teraz nie wiem czy naprawa uzupełniła ten plik - log jest sprzed naprawy. Zrób sobie log z OTL i już samodzielnie popatrz czy usługa MDM nadal pokazuje się jako "File not found". Jeśli nie, z Office już nic nie musisz kombinować. Jeśli tak, Office jednak do reinstalacji.

 

 

 

.

[cinkoo]

Czy skanowanie w Kaspersky Virus Removal Tool mam wykonac uzywajac opcji Automatic Scan ?

 

Edit Po skanowaniu program wyswietlil komunikat: no threats detected. Zapisalem jednak raport z pola Automatic Report Scan. Czy mam go przedstawic do sprawdzenia ? Na dysku C posiadam foldery MSOCache, found.000 Czy mogę je usunac ?

 

W nowym logu OTL nie ma juz zadnej wzmianki o pliku MDM.

[picasso]

Wygląda na to, że daliśmy radę. Finalizacja tematu:

 

1. Zmień hasła logowania w serwisach, obecność infekcji rootkit tworzy niepewny grunt.

 

2. Zresetuj reguły systemowej zapory (usuwanie martwych wpisów): Start > Uruchom > cmd i wpisz komendę netsh firewall reset

 

3. Zainstaluj pełne oprogramowanie antywirusowe. Odpowiadając na zaległy pytanie AVG kontra Avast: tak, Avast to jest dobra alternatywa dla AVG, być może będzie też mniej obciążał system.

 

4. Oprogramowanie do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A81300000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Opera 11.50.1074" = Opera 11.50

 

Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE.

 

5. Na sam koniec po w/w (de)instalacjach wyczyść lokalizacje tymczasowe (TFC - Temp Cleaner) oraz foldery Przywracania systemu (INSTRUKCJE).

 

 

Edit Po skanowaniu program wyswietlil komunikat: no threats detected. Zapisalem jednak raport z pola Automatic Report Scan. Czy mam go przedstawic do sprawdzenia ?

 

Raport zbędny, skoro "no threats detected".

 

 

Na dysku C posiadam foldery MSOCache, found.000 Czy mogę je usunac ?

 

Folder FOUND.000 to odpadek po pracy narzędzia checkdisk, skasować jak najbardziej można. Folder MSOCache to folder Office używany właśnie do reinstalacji / naprawy pakietu z dysku bez konieczności posługiwania się płytą instalacyjną Office. Po usunięciu folderu akcje tego typu będą prosić o podanie płyty Office. Jeśli nie interesuje Cię to, prawidłowa metoda usuwania folderu opisana w KB825933 (narzędzie Oczyszczania dysku).

 

 

PS. Jeszcze odpowiadałam na Twój temat z Firefox i JavaScript: KLIK. Jeśli temat ukończony, odpisz tam i będziemy zamykać.

 

 

 

.

[cinkoo]

Serdecznie dziekuje za pomoc @picasso. Mam jeszcze 2 male problemy: 1: przy uruchamianiu systemu pojawia się na ok. 2-3 sekund plansza z wyborem sposobu uruchomienia systemu: tryb awaryjny, tryb awaryjny z obsluga sieci, uruchom windows xp normalnie itd. Dopiero pozniej pojawia sie logo winsows xp i ekran powitalny. Czy mozna to jakos wylaczyc, tak by system uruchamial sie "normalnie" bez tego wyboru ? 2: podczas instalacji sterownikow ASUSA do karty graficznej system automatycznie wykryl sterowniki z wlozonej do napedu plyty i je zainstalował. Na wspomnianej plycie znajduje sie oprogramowanie ATI Catalyst Control Center. Czy instalowanie tego oprogramowania jest konieczne, czy tez wystarcza sterowniki, ktore system automatycznie wykryl i zainstalował z płyty?

[picasso]

Mam jeszcze 2 male problemy: 1: przy uruchamianiu systemu pojawia się na ok. 2-3 sekund plansza z wyborem sposobu uruchomienia systemu: tryb awaryjny, tryb awaryjny z obsluga sieci, uruchom windows xp normalnie itd.

 

To skutek uruchomienia ComboFix, który zainstalowal Konsolę odzyskiwania. Jest to przecież w opisie ComboFix w sekcji "Skutki uboczne" (KLIK). Wystarczy, że wykonasz edycję pliku BOOT.INI zgodnie ze wzskazówkami, by menu startowe zniknęło. A pełne usunięcie Konsoli polega na skasowaniu z dysku C ukrytych obiektów rozruchowych CMLDR i CMDCONS. Jedna uwaga, ComboFix stosuje tu pewną sztuczkę i zapobiega kasacji folderu CMDCONS. Odblokowanie kasacji polega na wejściu w Uprawnienia folderu (KLIK) i dla grupy Wszyscy zdjęcie ptaszka z Odmów na rzecz Pełnej kontroli.

 

 

2: podczas instalacji sterownikow ASUSA do karty graficznej system automatycznie wykryl sterowniki z wlozonej do napedu plyty i je zainstalował. Na wspomnianej plycie znajduje sie oprogramowanie ATI Catalyst Control Center. Czy instalowanie tego oprogramowania jest konieczne, czy tez wystarcza sterowniki, ktore system automatycznie wykryl i zainstalował z płyty?

 

A jaki kontekst pytania? Tutaj w temacie rootkit zainfekował stronę "software" ATI, czyli ATI Catalyst Center a nie sterowniki właściwe *.sys. I to oprogramowanie musiało być reinstalowane. Natomiast jeśli pytasz tak sobie z innego powodu, to czy Catalyst jest istotny odpowiada ten temat: KLIK.

 

 

 

 

.

[cinkoo]

Dziękuję raz jeszcze za pomoc. Problem rozwiazany.