Security Sphere

[marcinkowski]

Witam.

Kolega z pracy podrzucił mi tu laptopa właśnie z takim syfkiem no i może coś jeszcze w nim siedzi, ale mam tu pewien problem na początek więc zanim coś zrobię to wolę zapytać. Problem jest tego rodzaju że nie mogę uruchomić OTL, Gmera jeszcze nie próbowałem ale pewnie również się nie da, po prostu się nie uruchamia, dodatkowo nie mogę odinstalować DT bo deinstalator również się nie uruchamia, Menadżer Zadań również się nie uruchamia, chciałem zrobić no ale nie mogę.

Widziałem tu na forum temat z tym syfem i tam jest wskazany katalog tego programu, czy jeżeli go wywalę tak od ręki, to może pomóc czy trzeba to zrobić jakoś inaczej.

Poproszę o jakieś wskazówki jak za to się zabrać.

[picasso]

Problem jest tego rodzaju że nie mogę uruchomić OTL

 

Zastartuj do Trybu awaryjnego, ale na konto dotknięte infekcją (a nie wbudowanego Administratora), OTL powinien się uruchomić.

[marcinkowski]

Przy okazji usunąłem DT, no nie do końca bo nie udało mi się usunąć klucza z rejestru, nie poradziłem sobie z uprawnieniami ale zajmę się tym później, Logi z OTL-a zrobiłem, ale nie wiedziałem czy z Gmera również robić w awaryjnym czy trzeba w normalnym.

Extras.Txt

OTL.Txt

[picasso]

Prócz Security Sphere, są jeszcze ślady w mapowaniu po podpinaniu zainfekowanego USB, oraz odpadki po sponsoringowych paskach.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2524492288-3767872630-1049285630-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKU\S-1-5-21-2524492288-3767872630-1049285630-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-21-2524492288-3767872630-1049285630-1000\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKU\S-1-5-21-2524492288-3767872630-1049285630-1000..\RunOnce: [kJ01677LgOhE01677] C:\ProgramData\kJ01677LgOhE01677\kJ01677LgOhE01677.exe ()
O4 - HKU\S-1-5-21-2524492288-3767872630-1049285630-1000..\Run: [uTorrent] "C:\Users\Piotrek\Downloads\utorrent.exe" File not found
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}:2.0.0.54356
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.3.3.2
[2011-04-14 03:11:20 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\opw87xpg.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-04-14 03:11:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\opw87xpg.default\extensions\engine@conduit.com
[2011-01-18 11:54:48 | 000,000,863 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\opw87xpg.default\searchplugins\conduit.xml
[2009-05-14 20:41:32 | 000,000,000 | ---D | M] (BearShare MediaBar) -- C:\Program Files\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}
[2011-10-22 17:45:31 | 000,000,000 | ---D | C] -- C:\ProgramData\kJ01677LgOhE01677
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Spodziewany restart.

 

2. Na liście zainstalowanych nie widzę w ogóle ESET, ale jego składniki są w raporcie:

 

SRV - [2007-12-21 09:22:44 | 000,019,200 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe -- (EHttpSrv)
SRV - [2007-12-21 09:21:16 | 000,468,224 | ---- | M] (ESET) [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
DRV - [2007-12-21 09:21:56 | 000,033,800 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\System32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2007-12-21 09:19:54 | 000,039,944 | ---- | M] (ESET) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\eamon.sys -- (eamon)

 

Skorzystaj z ESET Uninstaller.

 

3. Do oceny nowe logi: log z OTL (Extras już nie potrzebuję), AD-Remover z opcji Scan oraz zaległy GMER. Dołącz też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

[marcinkowski]

Zrobiłem chyba wszystko jak trzeba, nie wiem tylko co z tym NOD-em, użyłem tego programiku do usuwania jeszcze w trybie awaryjnym i wywaliło mi błąd że nic nie znalazł do usunięcia, ale po restarcie jak już się uruchomił w trybie normalnym to NOD normalnie się uruchomił.

Ad-Report-SCAN1.txt

Gmer.txt

Otl skrypt.txt

OTL.Txt

[picasso]

1. Nie wiem czemu przy tej infekcji OTL usuwa z pierwszej linii plik w folderze tej infekcji, ale folderu już nie widzi:

 

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2524492288-3767872630-1049285630-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\kJ01677LgOhE01677 deleted successfully.
C:\ProgramData\kJ01677LgOhE01677\kJ01677LgOhE01677.exe moved successfully.
(...)
Folder C:\ProgramData\kJ01677LgOhE01677\ not found.

 

... a on nadal jest:

 

[2011-10-22 17:45:31 | 000,000,000 | ---D | C] -- C:\ProgramData\kJ01677LgOhE01677

 

Przez SHIFT+DEL go załatw.

 

2. AD-Remover wykrył trochę wtrętów adware. Uruchom go w trybie Clean. Firefox musi być zamknięty podczas tej operacji. Po akcji AD-Remover można już odinstalować.

 

3. W/w proces nie ruszy jednego wpisu rejestru, Start > Uruchom > regedit i skasuj:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}

 

4. W OTL uruchom Sprzątanie.

 

5. Przeskanuj system za pomocą Malwarebytes' Anti-Malware i przedstaw raport (o ile coś zostanie znalezione).

 

 

nie wiem tylko co z tym NOD-em, użyłem tego programiku do usuwania jeszcze w trybie awaryjnym i wywaliło mi błąd że nic nie znalazł do usunięcia, ale po restarcie jak już się uruchomił w trybie normalnym to NOD normalnie się uruchomił.

 

Ja też nie wiem co z nim, bo na liście zainstalowanych nie ma takiej pozycji, a jednak wygląda na to, że to pełna i działająca (?) instalacja. Ale fakt, stary. On się kwalifikuje do wymiany ....

 

 

 

.

[marcinkowski]

Wszystko fajnie ale ja mam tu jeszcze jeden bardzo poważny problem, chodzi o to że gdzieś mi wcięło jeden bardzo ważny plik, jest do niego skrót na pulpicie ale jest pusty, czy to możliwe że plik może być gdzieś ukryty tak jak to się czasem robi przy infekcjach, czy może został on niechcący usunięty, był chyba jakiś plik zgłaszany przez system jako plik przygotowany do nagrania i został on usunięty, czy taki plik dało by się odzyskać, tak to podejrzewam gdyż skrót prowadzi do katalogu C:\Users\Piotrek\AppData\Local\Microsoft\Windows\Burn\Burn.

I jeszcze jedno pytanie, na pulpicie jest dużo plików ukrytych z dopisanym rozszerzeniem .sha, to co toto jest, to tak ma być?

[picasso]

Wszystko fajnie ale ja mam tu jeszcze jeden bardzo poważny problem, chodzi o to że gdzieś mi wcięło jeden bardzo ważny plik, jest do niego skrót na pulpicie ale jest pusty, czy to możliwe że plik może być gdzieś ukryty tak jak to się czasem robi przy infekcjach, czy może został on niechcący usunięty, był chyba jakiś plik zgłaszany przez system jako plik przygotowany do nagrania i został on usunięty, czy taki plik dało by się odzyskać, tak to podejrzewam gdyż skrót prowadzi do katalogu C:\Users\Piotrek\AppData\Local\Microsoft\Windows\Burn\Burn.

 

Przy tej infekcji nikt mi nie zgłaszał niepożądanego usunięcia danych. Wnioskując z opisu skrót prowadzi jedynie do (pustego już) cache nagrywania, a pliku głównego nie ma, czyli widzę tu tylko jakieś oprogramowanie do odzysku danych np. Recuva Portable, uruchomione z pendrive (nie z dysku na którym ma być prowadzone szukanie utraconego pliku).

 

 

I jeszcze jedno pytanie, na pulpicie jest dużo plików ukrytych z dopisanym rozszerzeniem .sha, to co toto jest, to tak ma być?

 

W logach nic takiego nie widzę. Jakie dokładnie nazwy mają te obiekty?

 

 

 

.

[marcinkowski]

Niektóre nie mają dopisków tylko jest samo np. Martusia.sha, a niektóre np. Disko Polo Skaner.mp3.sha.

A i jeszcze odnośnie tamtego pliku, nie wiem dla czego ale dymek na skrócie pokazuje "lokalizacja 2", możliwe że była jeszcze inna lokalizacja. I jeszcze jedno, czy jeżeli ten plik był w cache nagrywania to on będzie miał normalne rozszerzenie jak film czy może jakieś systemowe, bo nie wiem czego miałbym szukać, ten plik do nagrania miał inną nazwę niż skrót do niego.

A np. przez cofnięcie systemu to się jego nie odzyska??

 

Edycja:

Załączam log z MBAM.

mbam-log-2011-10-26 (20-45-46).txt

[picasso]

Wszystkie wyniki pokazane w MBAM to odpadki po infekcjach i usuń to.

 

 

Niektóre nie mają dopisków tylko jest samo np. Martusia.sha, a niektóre np. Disko Polo Skaner.mp3.sha.

 

To wygląda na pliki zawierające sumą kontrolną pliku głównego.

 

 

A i jeszcze odnośnie tamtego pliku, nie wiem dla czego ale dymek na skrócie pokazuje "lokalizacja 2", możliwe że była jeszcze inna lokalizacja. I jeszcze jedno, czy jeżeli ten plik był w cache nagrywania to on będzie miał normalne rozszerzenie jak film czy może jakieś systemowe, bo nie wiem czego miałbym szukać, ten plik do nagrania miał inną nazwę niż skrót do niego.

 

To co jest w cache to jedynie plik skopiowany tymczasowo ze swojej oryginalnej lokalizacji i zanika po wykonaniu operacji nagrywania. Plik w cache ma identyczną nazwę jak oryginał. Przykład z mojego folderu Burn:

 

 

Skąd się wziął tu skrót na Pulpicie (system nie tworzy czegoś takiego domyślnie), nie wiem, ale jego utworzenie samo w sobie było mało sensowne, bo jak widać skrót kierował do pliku tymczasowego o charakterze zanikowym. Moim pytaniem jest: gdzie leżał oryginał?

 

 

A np. przez cofnięcie systemu to się jego nie odzyska??

 

Nie wiem. Poza tym, użycie ogólnego Przywracania systemu oczywiście odwróci tu wszystkie wykonane zmiany i robota podwójna. Jeśli chcesz pokręcić z Przywracaniem, to spróbuj czegoś innego, czyli równoważność użycia funkcji "Poprzednie wersje plików" z wyższych edycji Vista. Funkcja ta pozwala selektywnie odzyskać z kopii cieniowej pliki, o ile oczywiście Przywracanie było włączone i obejmowało ten obszar. Tu widziana Vista Home nie ma do tego dostępu, ale można zainstalować ShadowExplorer i za jego pomocą sprawdzić czy istnieje kopia cieniowa uwzględniająca skasowany plik. Jeśli program tego nie znajdzie, to znaczy że Przywracanie systemu i tak by Ci nic nie dało (brak poprzedniej wersji pliku).

 

 

 

.

[marcinkowski]

Skąd się wziął tu skrót na Pulpicie (system nie tworzy czegoś takiego domyślnie), nie wiem, ale jego utworzenie samo w sobie było mało sensowne, bo jak widać skrót kierował do pliku tymczasowego o charakterze zanikowym. Moim pytaniem jest: gdzie leżał oryginał?

 

I dla tego właśnie skojarzyło mi się to z tą infekcją co tworzy skróty a ukrywa pliki, wydaje mi się że przed czyszczeniem był tam normalny plik a nie skrót, zwłaszcza że skrót jest do katalogu.

Plik mógł być np. na penie i z tego co wiem to kolega mówił że oni go skopiowali normalnie na dysk, ale go nigdzie na dysku nie ma.

[picasso]

I dla tego właśnie skojarzyło mi się to z tą infekcją co tworzy skróty a ukrywa pliki, wydaje mi się że przed czyszczeniem był tam normalny plik a nie skrót, zwłaszcza że skrót jest do katalogu.

 

Gdyby tak było, to skrót kierowałby na kompletnie inny obiekt = obiekt infekcji, a nie folder Burn. Tylko się upewnię, opcja "Ukryj chronione pliki systemu operacyjnego" jest odfajkowana?

 

Już Ci podałam dwie metody odzysku potencjalnej wersji pliku: wyszukiwanie w kopii cieniowej Przywracania systemu za pomocą ShadowExplorer lub Recuva Portable. Więcej nie wymyślę, przy założeniu że plik został skasowany (na co tu wygląda).

 

 

 

.

[marcinkowski]

W porządku tak tylko sobie głośno myślałem.

Pięknie podziękował za pomoc.

 

Edit:

Shadow Explorer znalazł w tym katalogu, katalog z jakimiś mp3-jkami, z 22 października, więc będę się musiał dowiedzieć czy ten film był wrzucony tam później, może to były usunięte te mp3.

Edytowane 27 Października 2011 przez marcinkowski

[picasso]

Nic się nie wypowiadasz czy uzyskałeś coś podanymi narzędziami? Plik nie znaleziony?

 

Ukończmy też sprawę z czyszczeniem systemu. Do wykonania:

 

1. Obowiązkowe aktualizacje:

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.16982)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16)

 

- System w fatalnym stanie aktualizacji (brak SP1+SP2 i IE9), przestarzały ESET zainstalowany, reszta zakreślona także wymaga aktualizacji (KLIK).

- Zaś kalekie GG7 można zamienić (KLIK).

 

2. Czyszczenie folderów Przywracania systemu (oczywiście już po użyciu ShadowExplorer)

 

 

 

 

.

[marcinkowski]

Zamiast odświeżyć stronę to ja edytowałem post, więc tak jak pisałem wyżej, Shadow Explorer znalazł w tym katalogu, katalog z jakimiś mp3-jkami, z 22 października, więc będę się musiał dowiedzieć czy ten film był wrzucony tam później, może to były usunięte te mp3.

Z tej Recuvy jeszcze nie skorzystałem ale przeskanowałem programem R-Studio portable oczywiście no i nic tam nie znalazłem ale zrobiło się późno i poszedłem spać, może dzisiaj przeskanuję jak się z tym wyrobię.

Z tymi aktualizacjami to jest już tak u ludzi którzy nie mają zielonego pojęcia o komputerach, dopóki chodzi to nic nie robią, a w dodatku jak korzysta się z internetu mobilnego gdzie są limity danych, ja w tej chwili mogę to pościągać u siebie i zainstalować.

Odnośnie GG to już zostawiam decyzję dla nich, nie ode mnie to zależy.

[picasso]

Zamiast odświeżyć stronę to ja edytowałem post, więc tak jak pisałem wyżej, Shadow Explorer znalazł w tym katalogu, katalog z jakimiś mp3-jkami, z 22 października, więc będę się musiał dowiedzieć czy ten film był wrzucony tam później, może to były usunięte te mp3.

 

Rozumiem, że sprawdzasz folder Burn, a tu raczej należy szukać oryginalnej lokalizacji tego pliku.

 

 

kolega mówił że oni go skopiowali normalnie na dysk, ale go nigdzie na dysku nie ma

 

I nie wiedzą gdzie kopiowali, do której ścieżki?

 

 

 

.

[marcinkowski]

I nie wiedzą gdzie kopiowali, do której ścieżki?

Bo to właściwie laptop chyba jego syna, a ten stary taki niekumaty że nie mogę od niego nic wyciągnąć, coś wspominał że mogli to mieć na karcie pamięci w modemie od internetu.

Rozumiem, że sprawdzasz folder Burn, a tu raczej należy szukać oryginalnej lokalizacji tego pliku.

Sprawdzałem Burn, ale i pulpit bo to standardowe miejsce gdzie mogli to skopiować, no ale na pulpicie jest skrót, sprawdzałem również w profilu użytkownika.

Teraz instaluję te SP-ki, strasznie to długo idzie.

 

Edit:

1. Poprzez ShadowExplorer doszedłem do tego o co chodzi z tym skrótem na pulpicie, to co w dymku pokazuje Lokalizacja 2 oznacza nazwę katalogu "2" i to jest (znaczy się był) katalog z tymi mp3 które były przygotowane do nagrania, ale dowiedziałem się że tamten katalog z tym filmem miał nazwę chyba "4" więc będę musiał jeszcze raz przejrzeć ale w tej chwili skanuję Recuvą.

 

2. Odinstalowałem NOD-a i zainstalowałem Comodo IS i po pierwszym przeskanowaniu przyczepił się do trzech plików, załączyłem log.

Comodo log.txt

Edytowane 28 Października 2011 przez marcinkowski

[picasso]

2. Odinstalowałem NOD-a i zainstalowałem Comodo IS i po pierwszym przeskanowaniu przyczepił się do trzech plików, załączyłem log.

 

Wątpię w pierwszy wynik. A te dwa kolejne to od infekcji:

 

UnclassifiedMalware@5472674 C:\Users\Piotrek\AppData\Local\VirtualStore\Windows\System32\2.ico
UnclassifiedMalware@8295089 C:\Users\Piotrek\AppData\Local\VirtualStore\Windows\System32\1.ico

 

To kopie wirtualizowane. Oryginały już MBAM usuwał:

 

Zainfekowanych plików:
c:\Windows\System32\1.ico (Malware.Trace) -> No action taken.
c:\Windows\System32\2.ico (Malware.Trace) -> No action taken.

 

A wszystko to odpadki, bez znaczenia już dla systemu.

 

 

.

[marcinkowski]

Picasso dzięki za pomoc, laptopa musiałem już oddać, te pliki wywaliłem, a filmu nie znalazłem.