ramzes11 Opublikowano 29 Października 2011 Zgłoś Udostępnij Opublikowano 29 Października 2011 Witam. Od dwóch dni mam identyczny problem i nie wiem jak sobie z nim poradzić. NOD pokazuje takiego samego wirusa. Ktoś ma pomysł? Nod wykrywa sirefef.CH, sirefef.A i sirefef.D Mój system to windows 7 64 bit. Problem polega na tym że gdy w przeglądarce wejdę na jakiś link to nie przenosi mnie na stronę którą chciałem tylko na jakąś stronę ze spamę a gdy dopiero ją odświeżę wczytuje się odpowiednia strona. Zamieszczam wymagane logi OTL i EXTRAS. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Tu są określone zasady: KLIK. Nie wolno się podpinać pod cudze tematy, a poza tym jest obowiązkowym przedstawić logi z OTL. O tym jaki masz system w tamtym temacie raczyłeś powiedzieć dopiero w poście numer 3, oczekujesz jasnowidzeń. Infekcja dobrze nam tu znana, rozwiązujemy ją od ręki. Tylko proszę się dostosować i dostarczyć raporty z OTL, które są podstawą dla doboru prawidłowych działań. Odnośnik do komentarza
ramzes11 Opublikowano 30 Października 2011 Autor Zgłoś Udostępnij Opublikowano 30 Października 2011 Poprawiłem już temat. Proszę o pomoc. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Infekcję widać w postaci następujących wpisów w logu: MOD - [2009/07/14 01:15:51 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not foundO10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found O20 - HKU\S-1-5-21-6487619-206620248-1708617713-1000 Winlogon: Shell - (C:\Users\Dom\AppData\Local\1593756a\X) - File not found[2011/10/27 22:38:44 | 000,000,000 | -HSD | C] -- C:\Users\Dom\AppData\Local\1593756a Prócz tego, w obliczu powyższej infekcji nieomal niegodne uwagi, paski adware i wątpliwej reputacji wtyczka vShare, która zrobiła hijack przeglądarki IE na stronę startsear.ch. 1. Wstępny etap usuwania infekcji ZeroAccess: pobierz i uruchom zgodnie z wytycznymi ComboFix. 2. Usuwanie adware i wątpliwych wtyczek: przejdź do Panelu sterowania do apletu deinstalacji i zlikwiduj Babylon toolbar on IE, Facemoods Toolbar, vShare.tv plugin 1.3. 3. Wygeneruj świeże logi: OTL z opcji Skanuj (Extras już zbędne) + AD-Remover z opcji Scan. I dołącz log z ComboFix wygenerowany w punkcie 1. . Odnośnik do komentarza
ramzes11 Opublikowano 30 Października 2011 Autor Zgłoś Udostępnij Opublikowano 30 Października 2011 Użyłem już Combofixa i teraz załączam wymagane logi. Ad-Report-SCAN1.txt ComboFix.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 ComboFix skasował następujące elementy infekcji: c:\users\Dom\AppData\Local\1593756a\Uc:\users\Dom\AppData\Local\1593756a\U\80000000.@c:\users\Dom\AppData\Local\1593756a\U\800000cb.@c:\windows\assembly\tmp\Uc:\windows\assembly\tmp\U\000000c0.@c:\windows\assembly\tmp\U\000000cb.@c:\windows\assembly\tmp\U\000000cf.@c:\windows\assembly\tmp\U\80000000.@c:\windows\assembly\tmp\U\800000c0.@c:\windows\assembly\tmp\U\800000cb.@c:\windows\assembly\tmp\U\800000cf.@ Poleciał także crack NOD, cały program monitujący REFOG Personal Monitor (jeśli instalowany celowo, będzie potem do reinstalacji) oraz jakiś niesprecyzowany C:\prefs.js (sam ten plik utworzyłeś?). Nie widzę tu jednak biblioteki. Dodaj kolejny skan dla pewności, uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej: C:\Windows\*. /RP /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy. Gdy go ocenię, otrzymasz kolejne instrukcje reperacji szkód po infekcji oraz usuwania szczątków adware. . Odnośnik do komentarza
ramzes11 Opublikowano 30 Października 2011 Autor Zgłoś Udostępnij Opublikowano 30 Października 2011 Ja nie utworzyłem tego pliku o którym mówisz. Załączam nowy log OTL. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Na pewno odinstalowałeś vShare? Coś za dużo wpisów. OK, idziemy dalej: 1. Naprawa Winsock po działalności infekcji: ----> Reset części Protocol: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset ----> Reset części NameSpace: Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system. 2. Czyszczenie szczątków oraz lokalizacji tymczasowych. Uruchom AD-Remover w trybie Clean, co wykończy widziane przez niego wpisy. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: Files C:\Users\Dom\AppData\Local\1593756a C:\Users\Dom\AppData\Roaming\Babylon C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{472734EA-242A-422b-ADF8-83D1E48CC825}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Otwórz Google Chrome i w Opcjach przestaw domyślną wyszukiwarkę np. na Google a wyszukiwarkę Babylon usuń z listy. 4. Do oceny: log z wynikami usuwania + nowy log z OTL z opcji Skanuj (bez Extras) + AD-Remover z opcji Scan. . Odnośnik do komentarza
ramzes11 Opublikowano 30 Października 2011 Autor Zgłoś Udostępnij Opublikowano 30 Października 2011 Zapomniałem usunąć vshare. Teraz usunołem i zrobiłem nowy log w OTL Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 (edytowane) To nie ten log! Usuwam. Masz zrobić nowy pełny log z OTL na warunkach z przyklejonego tematu. I gdzie log z AD-Remover? Zedytuj posta wstawiając prawidłowe logi, a ja tu doedytuję własny podając końcowe instrukcje. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi