Sprawdzenie systemu po ataku Internet security

[deredas]

Witam Picasso,

3 dni temu wieczorem komputer został zaatakowany przez wirusa internet security. Z minuty na minutę na komputerze nie można było uruchomić coraz więcej rzeczy. Każda aplikacja, która próbowałem otworzyć była blokowana. Bałem się, że utracę wszystkie dane, bo przeczytałem na necie, że ten wirus bardzo szybko niszczy wszystko co się da.

 

W związku z tym to co zrobiłem przedstawię w punktach:

1. Uruchomiłem komputer w trybie awaryjnym z obsługą sieci

2. Ściągnąłem Malware Bytes Anti-Malware, zainstalowałem i uruchomiłem skanowanie. Malware znalazło jakieś wirusy i pozostawiło log po swojej pracy.

3. Kolejne przeskanowanie tym Malware Bytes i już nie wykryto wirusów.

4. Będąc dalej w trybie awaryjnym ściągnąłem Avasta, zainstalowałem i uruchomiłem skanowanie.

5. Avast znalazł 617 zarażonych plików. Dodałem je do kwarantanny.

6. Avast poinformował, że aby dokończyć usuwanie wirusów musi zrestartować komputer.

7. Zrestartowałem komputer i uruchomiłem w trybie awaryjnym z obsługą sieci. Bałem się odpalać go w normalnym trybie.

8. Puściłem go raz jeszcze i już Avast nic nie wykrył

9. Uruchomiłem w trybie normalnym i znowu uruchomiłem Avasta. Tym razem znalazł 8 zainfekowanych plików, które tym razem usunąłem.

10. Avast po skończonej pracy zaproponował abym zrestartował kompa i uruchomił skanowanie w trakcie uruchamiania systemu.

11. Zgodziłem się i jak komputer zaczął startować to avast na nowo zaczął szukać wirusów. Podczas skanowania podał informację że znalazł uszkodzone pliki z rozszerzeniem *.cab. Pytał co ma zrobić. Wybrałem opcję Usuń wszystkie. Usunąłem je bo były w katalogu Samsung Kies (oprogramowanie do przerzucania zdjęć z telefonu)

12. Skończyło się skanowanie i komputer został uruchomiony.

13. Zrobiłem obowiązkowe logi OTL oraz GMER.

 

Proszę o sprawdzenie czy teraz już wszystko jest w porządku.

 

Zrzuty ekranu z dziennika z Avasta

http://flickcabin.com/public/viewset/41728

mbam-log-2012-02-06 (23-06-10).txt

mbam-log-2012-02-06 (23-12-50).txt

GMER.txt

Extras.Txt

OTL.Txt

[picasso]

Tutaj wystąpiły dwa typy infekcji, także przeniesiona na skutek podpięcia zainfekowanego nośnika USB. Po tej infekcji z USB zostało jeszcze mapowanie MountPoints2:

 

O33 - MountPoints2\{7321ad9f-ed36-11e0-a57b-0002e33cf36b}\Shell - "" = AutoRun
O33 - MountPoints2\{7321ad9f-ed36-11e0-a57b-0002e33cf36b}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{7321ada1-ed36-11e0-a57b-0002e33cf36b}\Shell - "" = AutoRun
O33 - MountPoints2\{7321ada1-ed36-11e0-a57b-0002e33cf36b}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{c1e8079e-3bd4-11df-9eba-0002e33cf36b}\Shell\AutoRun\command - "" = G:\albkpq3.exe
O33 - MountPoints2\{c1e8079e-3bd4-11df-9eba-0002e33cf36b}\Shell\open\Command - "" = G:\albkpq3.exe

 

 

 

1. Drobne czyszczenie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
[2010-03-17 19:05:54 | 000,010,350 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\6JQ57
[2010-03-17 19:05:44 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\LocalService\Dane aplikacji\rbuwzv.dat
[2010-03-11 21:52:39 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat
O4 - HKLM..\Run: [TISDNMonitor] C:\Program Files\TELES\ISDN Tools\tisdnmon.exe File not found
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll) - File not found
 
:Commands
[emptytemp]

 

Rozpocznij przez Wykonaj skrypt. System zostanie zrestartowany. Po ukończeniu zadania użyj Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Zaktualizuj oprogramowanie: INSTRUKCJE.

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16
""{9E35B051-C7EE-47CB-BA43-9A7FFD4E61DE}" = OpenOffice.org 3.1
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1202660629-789336058-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Thunderbird (3.0.3)" = Mozilla Thunderbird (3.0.3)

 

 

 

.

[deredas]

Piszę teraz z innego kompa. Uruchomiłem ten skrypt klinkąłem Wykonaj skrypt. W OTL-u pojawił się napis "Killing processes DO NOT INTERRUPT". i nic się nie dzieje. Komputer nie wykazuje żadnych oznak, że pracuje. Mija już ponad godzina, a program OTL cały czas wisi. Do tej pory w miarę szybko wykonywał skrypt i komp się restartował. Pytanie co mam zrobić ? Czy mogę go zresetować i uruchomić raz jeszcze ten skrypt ? Czy może jeszcze poczekać cierpliwie ?

[picasso]

W OTL-u pojawił się napis "Killing processes DO NOT INTERRUPT". i nic się nie dzieje. Komputer nie wykazuje żadnych oznak, że pracuje. Mija już ponad godzina, a program OTL cały czas wisi. Do tej pory w miarę szybko wykonywał skrypt i komp się restartował. Pytanie co mam zrobić ?

 

Przerwij działanie i zrób nowy log z OTL dla potwierdzenia co się (nie)wykonało.

 

 

 

.

[deredas]

W załączniku nowe logi. Musiałem zresetować kompa. Bo OTL nie odpowiadał.

OTL.Txt

[picasso]

Extras po raz drugi niepotrzebny, usuwam. Skrypt nic nie wykonał, powtórz go ale bez komendy czyszczenia Temp (zabija procesy), czyli:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
[2010-03-17 19:05:54 | 000,010,350 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\6JQ57
[2010-03-17 19:05:44 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\LocalService\Dane aplikacji\rbuwzv.dat
[2010-03-11 21:52:39 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat
O4 - HKLM..\Run: [TISDNMonitor] C:\Program Files\TELES\ISDN Tools\tisdnmon.exe File not found
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll) - File not found

 

 

.

[deredas]

Witam,

tym razem skrypt wykonał się w 20 sekund. W załączniku log. Po wykonaniu skryptu nie nastąpił restart systemu ani o niego nie poprosił.

 

 

Jak skanowałem system avastem zaraz po ataku to wszystkie zarażone pliki (było ich 617) znalezione przez avasta dodałem do kwarantanny. Być może avast blokuje ich usunięcie ?

02102012_180857.txt

[picasso]

Sprawa jest tu ukończona.

 

 

Po wykonaniu skryptu nie nastąpił restart systemu ani o niego nie poprosił.

 

Oczywiście, przecież celowo wyeliminowałam komendę prowadzącą do zabijania procesów, która prowokuje autoreset.

 

 

Jak skanowałem system avastem zaraz po ataku to wszystkie zarażone pliki (było ich 617) znalezione przez avasta dodałem do kwarantanny. Być może avast blokuje ich usunięcie ?

 

Nie rozumiem do czego zmierzasz i o jakie pliki Ci chodzi ... Natomiast otrzymałam informację wyjaśniającą ten efekt: "W OTL-u pojawił się napis "Killing processes DO NOT INTERRUPT". i nic się nie dzieje. Komputer nie wykazuje żadnych oznak, że pracuje.". Otóż ponoć to jest skutek próby zabijania procesów przy czynnej usłudze rezydenta MBAM. W pierwszej kolejności przed użyciem skryptu zabijającego procesy należało odznaczyć ochronę / start z Windows, zresetować komputer i dopiero wtedy uruchomić skrypt. Ale to już nie ma znaczenia w aktualnej sytuacji, po wykonaniu skryptu.

 

 

 

.

[deredas]

Tylko tak informacyjnie napisałem o tym , że komputer po wykonaniu skryptu się nie zrestartował.

 

Jeśli chodzi o drugą część wypowiedzi to chciałem zapytać czy pliki objęte kwarantanną przez avasta można ręcznie usunąć ? Czy avast nie będzie bronił dostępu do tych pliku a tym samym czy avast nie będzie blokował możliwości ich ręcznego usunięcia ? Chcę usunąć te pliki przeniesione do kwarantanny aby mieć pewność, że na dysku nie ma żadnego zainfekowanego pliku.

 

Czy mogę teraz wykonać pozostałe punkty czyli 2+3?

[picasso]

Jeśli chodzi o drugą część wypowiedzi to chciałem zapytać czy pliki objęte kwarantanną przez avasta można ręcznie usunąć ? Czy avast nie będzie bronił dostępu do tych pliku a tym samym czy avast nie będzie blokował możliwości ich ręcznego usunięcia ? Chcę usunąć te pliki przeniesione do kwarantanny aby mieć pewność, że na dysku nie ma żadnego zainfekowanego pliku.

 

Ale przecież pliki w kwarantannie Avast są izolowane (już przeniesione, nie ma ich w systemie w formie oryginalnej), wystarczy opróżnić kwarantannę Avast... Z tym, że tu nie zostało podane co jest w kwarantannie.

 

 

Czy mogę teraz wykonać pozostałe punkty czyli 2+3?

 

Oczywiście. To było do wykonania od razu po pomyślnym przetworzeniu skryptu.

 

 

.

[deredas]

A więc tak:

1. Pliki z kwarantanny Avasta usunąłem

2. Punkt przywracania systemu wyczyszczony

3. Aktualizacje zrobiłem

 

 

W między czasie Malwarebytes zgłasza mi blokowanie połaczenia wychodzącego na adres IP.

W załączniku log. Mam podejrzenia że na kompie coś nadal jest lub nim steruje.

protection-log-2012-02-17.txt

[picasso]

To nie wygląda szkodliwie. Adresy IP 193.17.41.93 + 193.17.41.98 to adresy firmy O2: KLIK / KLIK / KLIK. Nasuwa się pytanie czy otwierałeś w przeglądarce któryś z serwisów O2.

 

[deredas]

OK dziękuję za wytłumaczenie. Być może siostra tam zagląda. Zapytam jej jak wróci.

 

A mam pytanie o aktualizację

Adobe Flash Player 11.1.102.62 (7,74 MB)

 

 

Zainstalowałem tę wersję. W przeglądarce wyskoczyła informacja, że instalacja zakończyła się pomyślnie. A mimo to jak wchodzę na interię np. to pojawi się od góry napis aby pobrał wtyczkę Adobe Flash Player.

 

Co zrobić aby poprawnie zainstalowaćflash playera ?

[picasso]

A mam pytanie o aktualizację

Adobe Flash Player 11.1.102.62 (7,74 MB)

 

Zainstalowałem tę wersję. W przeglądarce wyskoczyła informacja, że instalacja zakończyła się pomyślnie. A mimo to jak wchodzę na interię np. to pojawi się od góry napis aby pobrał wtyczkę Adobe Flash Player.

 

Z poziomu której przeglądarki był pobierany i instalowany Flash, z poziomu której wchodzisz na Interia?

 

 

.

[deredas]

Witam,

problem występuje w przeglądarce firefox. Na stronie interii nie wyświetla się reklama. Zrzut w załączniku.Natomiat jak wejdę na jutuba to filmy mogę odtwarzać.

 

W przeglądarce IE nie ma takie problemu wszystko ładnie się wyświetla.

 

Udało się. Jak uruchamiałem instalator to wyłączałem firefoxa. Jak uruchomilem z poziomu firefoxa i dopiero na prośbe instalatora zamknalem firefoxa to sie zainstalowalo dobrze.