Blokowana strona xxx i podejrzany proces update.exe

[Mlynek]

Witam serdecznie!

Proszę o pomoc w następującym temacie.

 

W przeciągu tygodnia kilka razy Avast informował o blokowaniu wyskakującej strony. Niestety nie mogę teraz znaleźć jej nazwy, ale pamiętam, że było tam coś w stylu datporn lub dativporn. AV poinformował, że źródłem tego jest plik update.exe*32 znajdujący się w lokalizacji C:\Program Files (x86)\Common Files\ComObjects. Znalazłem to również wśród procesów uruchomionych z opisem Firefox. (Firefox'a kiedyś miałem, ale go odinstalowałem) Proces jest ciągle aktywny i wyróżnia się wyższym obciążeniem pamięci.

 

Log z Security Check

 

 

Results of screen317's Security Check version 0.99.30

Windows 7 x64 (UAC is disabled!)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Adobe Flash Player 10.0.32.18 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 AvastUI.exe

``````````End of Log````````````

 

 

Reszta raportów w załącznikach.

 

Proszę o podpowiedzi.

Pzdr

Extras.Txt

OTL.Txt

[picasso]

W przeciągu tygodnia kilka razy Avast informował o blokowaniu wyskakującej strony. Niestety nie mogę teraz znaleźć jej nazwy, ale pamiętam, że było tam coś w stylu datporn lub dativporn. AV poinformował, że źródłem tego jest plik update.exe*32 znajdujący się w lokalizacji C:\Program Files (x86)\Common Files\ComObjects. Znalazłem to również wśród procesów uruchomionych z opisem Firefox. (Firefox'a kiedyś miałem, ale go odinstalowałem)

 

W raporcie jest następujący zestaw, i wygląda to zdecydowanie niezdrowo:

 

========== Processes (SafeList) ==========
 
PRC - [2010-03-31 00:58:04 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Common Files\ComObjects\update.exe
 
========== Modules (No Company Name) ==========
 
MOD - [2012-01-06 09:09:04 | 000,044,032 | ---- | M] () -- C:\Program Files (x86)\Common Files\ComObjects\js3260.dll
MOD - [2010-03-31 00:58:04 | 001,015,256 | ---- | M] () -- C:\Program Files (x86)\Common Files\ComObjects\js3250.dll
 
 
[2012-01-11 20:02:20 | 000,000,000 | ---D | C] -- C:\Users\Klient\AppData\Roaming\Mozilla
[2012-01-11 20:02:20 | 000,000,000 | ---D | C] -- C:\Users\Klient\AppData\Local\AMozilla
[2012-01-11 20:02:09 | 000,000,000 | ---D | C] -- C:\Users\Klient\AppData\Roaming\AMozilla
[2012-01-11 20:02:04 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\ComObjects

 

Natomiast Firefox może i odinstalowany, ale niecałkowicie. Notowalne szczątki w rejestrze:

 

 

 

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8051.1204: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Program Files (x86)\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Program Files (x86)\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files (x86)\Veetle\plugins\npVeetle.dll (Veetle Inc)

FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files (x86)\Veetle\Player\npvlc.dll (Veetle Inc)

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Klient\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Klient\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)

 

 

 

 

W zakres usuwania wejdą te podejrzane obiekty oraz odpadki prawdziwego Firefoxa.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\Common Files\ComObjects
C:\Users\Klient\AppData\Roaming\Mozilla
C:\Users\Klient\AppData\Local\AMozilla
C:\Users\Klient\AppData\Roaming\AMozilla
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\mozilla.org]
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wykonaj nowy log z OTL opcją Skanuj (Extras po raz drugi już nie potrzebuję). Przedstaw i log z wynikami usuwania otrzymany w punkcie 1.

 

 

 

 

.

[Mlynek]

Ok, zrobione. Po restarcie komunikat Nie można znaleźć pliku skryptu "C:\Program Files (x86)\Common Files\ComObjects\data.js".

 

Pierwszego loga wklejam, bo nie mogłem go załączyć.

 

 

All processes killed

========== FILES ==========

C:\Program Files (x86)\Common Files\ComObjects\uninstall folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\searchplugins folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\res\html folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\res\fonts folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\res\entityTables folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\res\dtd folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\res folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\plugins folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\modules folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\greprefs folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\extensions folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\dictionaries folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\defaults\profile\chrome folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\defaults\profile folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\defaults\pref folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\defaults\autoconfig folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\defaults folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\components folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects\chrome folder moved successfully.

C:\Program Files (x86)\Common Files\ComObjects folder moved successfully.

C:\Users\Klient\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} folder moved successfully.

C:\Users\Klient\AppData\Roaming\Mozilla\Extensions folder moved successfully.

C:\Users\Klient\AppData\Roaming\Mozilla folder moved successfully.

C:\Users\Klient\AppData\Local\AMozilla\AFirefox\Profiles\ff.profile\OfflineCache folder moved successfully.

C:\Users\Klient\AppData\Local\AMozilla\AFirefox\Profiles\ff.profile folder moved successfully.

C:\Users\Klient\AppData\Local\AMozilla\AFirefox\Profiles folder moved successfully.

C:\Users\Klient\AppData\Local\AMozilla\AFirefox folder moved successfully.

C:\Users\Klient\AppData\Local\AMozilla folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\OfflineCache folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\minidumps folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\extensions folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\chrome folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\bookmarkbackups folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\ABE\rules folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile\ABE folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles\ff.profile folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Profiles folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox\Crash Reports folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla\AFirefox folder moved successfully.

C:\Users\Klient\AppData\Roaming\AMozilla folder moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Mozilla\ not found.

Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\MozillaPlugins\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\mozilla.org\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Klient

->Temp folder emptied: 2271552 bytes

->Temporary Internet Files folder emptied: 1594060 bytes

->Google Chrome cache emptied: 20195461 bytes

->Flash cache emptied: 6019 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 28992 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50601 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 23,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 01172012_215340

 

Files\Folders moved on Reboot...

C:\Users\Klient\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PJOFQZZV\background_banner_stripe3[1].jpg moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IG7ITBHX\background_banner-right-part[1].jpg moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IG7ITBHX\background_banner_newbox[1].jpg moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GEMJDP10\api[1].htm moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GEMJDP10\background_button_green_full[1].png moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ADZ59KWH\api[1].htm moved successfully.

C:\Users\Klient\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ADZ59KWH\list-item-plus[1].png moved successfully.

File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

OTL.Txt

[picasso]

Pierwszego loga wklejam, bo nie mogłem go załączyć.

 

Zasady działu omawiają to, w załącznikach są dozwolone jedynie rozszerzenia *.TXT. To co próbowałeś dołączać to rozszerzenie *.LOG. Wystarczyła zmiana nazwy pliku.

 

 

---

Zadanie pomyślnie wykonane, za wyjątkiem nie całkowitego opróżnienia wpisów Firefox.

 

1. Z kluczami po Firefox rozpraw się ręcznie. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i w kluczach:

 

HKEY_LOCAL_MACHINE\Software

HKEY_LOCAL_MACHINE\Software\Wow6432Node

 

... usuń wszystkie klucze mające w nazwie "Mozilla".

 

2. Odinstaluj wątpliwą wtyczkę vShare. Wtyczka ta jest znana ze śmiecenia komputera i zdecydowanie nie polecam tego trzymać w systemie.

 

3. W OTL uruchom Sprzątanie, co usunie z dysku kwarantannę OTL i sam OTL jako taki.

 

4. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

5. Wykonaj pełne skanowanie systemu za pomocą posiadanych i zaktualizowanych o najnowsze bazy aplikacji MBAM + Avast. Jeżeli cokolwiek wykryją, przedstaw raporty wynikowe.

 

 

 

.

[Mlynek]

Witam!

Po skanowaniach - MBAM trochę wykrył, Avast już nic.

Ręcznie wyczyściłem rejestr zgodnie ze wskazówkami, lecz nadal po starcie systemu pojawia się: Nie można znaleźć pliku skryptu "C:\Program Files (x86)\Common Files\ComObjects\data.js".

mbam-log-2012-01-18 (17-44-39).txt

[picasso]

Wyniki MBAM (PUP.VShareRedir) to śmietnik zrobiony przez wtyczkę vShare.

 

 

Ręcznie wyczyściłem rejestr zgodnie ze wskazówkami, lecz nadal po starcie systemu pojawia się: Nie można znaleźć pliku skryptu "C:\Program Files (x86)\Common Files\ComObjects\data.js".

 

Podaj mi skanowanie pod kątem wystąpień tego pliku w rejestrze. Pobierz ponownie OTL, uruchom i wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

data.js /RS

 

Klik w Skanuj (a nie Wykonaj skypt!). Przedstaw log wynikowy.

 

 

.

[Mlynek]

Załączam log

OTL.Txt

[picasso]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\TaskMngr: wscript.exe "C:\Program Files (x86)\Common Files\ComObjects\data.js" [2009-07-14 02:14:49 | 000,141,824 | ---- | M] (Microsoft Corporation)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\\TaskMngr: wscript "C:\Program Files (x86)\Common Files\ComObjects\data.js"

 

To ciekawe, OTL pierwszego wpisu w ogóle nie widział.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"TaskMngr"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows]
"TaskMngr"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal ten plik

 

2. Powtórz skanowanie w OTL na identyczne warunki jak zadałam. Jeżeli log będzie pusty, wpisy pomyślnie usunięte i sprawa zakończona. Dla pewności jeszcze raz usuwanie punktów Przywracania systemu.

 

 

 

.

[Mlynek]

Pięknie! W raporcie nic, przy ponownym uruchomieniu niczego już nie ma. Dzięki.

 

Zanim zakończymy to proszę Cię jeszcze o jedno. Co w tym przypadku z nośnikami pamięci (pen/karta SD)? Czy uważasz, że coś na nich może siedzieć i co ewentualnie powinienem z nimi zrobić?

[picasso]

Co w tym przypadku z nośnikami pamięci (pen/karta SD)? Czy uważasz, że coś na nich może siedzieć i co ewentualnie powinienem z nimi zrobić?

 

Nie sądzę, by tu widziana infekcja była takiego typu. Ale jeśli się niepokoisz, możesz podać log z USBFix z opcji Listing pod kątem weryfikacji urządzeń.

 

 

 

.

[Mlynek]

Załączam log z USBFix, rozumiem, że nie trzeba było podłączać tych urządzeń?

UsbFix.txt

[picasso]

Załączam log z USBFix, rozumiem, że nie trzeba było podłączać tych urządzeń?

 

Wręcz przeciwnie, w jaki bowiem sposób mam je sprawdzić? Miałam na myśli: jeśli się niepokoisz o swoje urządzenia, możesz je przepuścić przez sprawdzian, ale to jest odrębna historia od infekcji tu usuwanej. Zaś aktualny log: nic podejrzanego na C+D.

 

 

 

.

[Mlynek]

Aj się popisałem. O takie zdolności psychokinetyczne nie mogę Cię posądzać, żebyś mi pendrive leżący w szufladzie ładnie zdiagnozowała .

Sorki, źle Cię zrozumiałem.

 

Jeśli mogę kontynuować w tym temacie to załączam, mam nadzieję, ostatni log.

UsbFix.txt

[picasso]

Złą opcję użyłeś, Research a nie Listing. I broń Boże nie podejmuj akcji na "wynikach" muza + muzyka. To fałszywe alarmy USBFix.

[Mlynek]

Ok, jest Listing.

Tak wiem, już mi kiedyś elegancko całą muzykę zutylizował.

UsbFix.txt

[picasso]

Nie widzę nic podejrzanego. Sprawa jest ukończona.

[Mlynek]

Pozostaje mi bardzo podziękować za poświęcony czas i pomoc.

Nieczęsto spotyka się w sieci osoby o tak wysokiej kulturze jak Twoja, nie mówiąc już o wiedzy (która dla mnie jest kosmiczna).

 

Pozdrawiam