Chyba wirus z faca / Mój email został dodany do spamlisty

[rafiksq]

Zostałem skierowany tutaj offilutka78 z forum pclab.pl.

 

otóż od paru dni nie mogę zaktualizować kompa:

"Centrum akcji nie moze zmienic ustawien rozszerzenia windows update"

 

i uruchomić avasta.

 

przesyłam logi z OTL:

http://wklej.org/id/685331/

http://wklej.org/id/685332/

 

 

malwarebytes:

Malwarebytes Anti-Malware (Okres testowy) 1.60.1.1000

www.malwarebytes.org

 

Wersja bazy: v2012.02.09.03

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

rafiksq :: RAFAŁ [administrator]

 

Ochrona: Wyłączona

 

09-02-2012 10:34:55

mbam-log-2012-02-09 (10-34-55).txt

 

Typ skanowania: Pełne skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 623409

Upłynęło: 2 godzin(y), 16 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 5

C:\Users\rafiksq\DoctorWeb\Quarantine\loader7.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

E:\programy\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Keygens\RkChimaria.exe (Trojan.Agent.CK) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

E:\programy\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Patches\adobe.photoshop.cs4-nopex32.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

E:\programy\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Patches\adobe.photoshop.cs4.-patch.exe (PUP.Hacktool.Patcher) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

E:\programy\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Adobe.Photshop.CS4.Extended.PL [Melkor - torrenty.org]\Patches\PhotoShopCS4_X32_Crk.exe (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

(zakończone)

[picasso]

Jest tu numeryczny sterownik sugerujący czynności rootkit:

 

[2012-02-07 18:51:31 | 000,049,584 | ---- | M] () -- C:\windows\SysNative\drivers\90d93898eb3a0f61.sys

 

Wiele poprawnych usług sterownikowych wygląda na zablokowane = brak odczytu markera producenta:

 

 

 

DRV:64bit: - [File Corrupted - Detail Data unreadable] [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)

DRV:64bit: - [2011-03-11 07:41:12 | 000,027,008 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\SysNative\drivers\amdxata.sys -- (amdxata)

DRV:64bit: - [2011-02-16 17:23:46 | 000,074,240 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\Drivers\RimUsb_AMD64.sys -- (RimUsb)

DRV:64bit: - [2011-01-11 22:33:14 | 000,031,088 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\clwvd.sys -- (clwvd)

DRV:64bit: - [2010-11-20 14:33:35 | 000,078,720 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)

DRV:64bit: - [2010-11-20 12:07:05 | 000,059,392 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\drivers\tsusbflt.sys -- (TsUsbFlt)

DRV:64bit: - [2010-11-20 10:37:42 | 000,109,056 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\drivers\sdbus.sys -- (sdbus)

DRV:64bit: - [2010-09-28 10:37:30 | 000,503,352 | ---- | M] () [Kernel | Boot | Stopped] -- C:\windows\SysNative\Drivers\sptd.sys -- (sptd)

DRV:64bit: - [2010-09-22 23:36:48 | 000,048,488 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\fssfltr.sys -- (fssfltr)

DRV:64bit: - [2010-09-08 20:08:39 | 000,082,816 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\Drivers\pcouffin.sys -- (pcouffin)

DRV:64bit: - [2010-03-03 14:24:52 | 007,843,040 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\igdpmd64.sys -- (intelkmd)

DRV:64bit: - [2010-03-03 14:24:52 | 007,843,040 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\igdkmd64.sys -- (igfx)

DRV:64bit: - [2010-02-01 08:39:16 | 000,214,000 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\Drivers\vm332avs.sys -- (vm332avs)

DRV:64bit: - [2010-01-27 04:05:00 | 000,231,328 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\drivers\RtHDMIVX.sys -- (RTHDMIAzAudService)

DRV:64bit: - [2010-01-20 09:22:16 | 000,157,296 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\jmcr.sys -- (JMCR)

DRV:64bit: - [2010-01-15 19:08:34 | 000,039,008 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\SysNative\DRIVERS\LhdX64.sys -- (LHDmgr)

DRV:64bit: - [2010-01-15 01:51:20 | 000,021,288 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\btwrchid.sys -- (btwrchid)

DRV:64bit: - [2010-01-15 01:51:14 | 000,132,648 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\drivers\btwavdt.sys -- (btwavdt)

DRV:64bit: - [2010-01-15 01:51:10 | 000,098,344 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\drivers\btwaudio.sys -- (btwaudio)

DRV:64bit: - [2010-01-07 13:46:20 | 000,302,128 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\SynTP.sys -- (SynTP)

DRV:64bit: - [2009-12-14 09:03:50 | 000,053,800 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\drivers\btusbflt.sys -- (btusbflt)

DRV:64bit: - [2009-12-10 12:34:08 | 000,037,392 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\SysNative\DRIVERS\hotcore3.sys -- (hotcore3)

DRV:64bit: - [2009-11-20 16:09:48 | 000,537,112 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\SysNative\DRIVERS\iaStor.sys -- (iaStor)

DRV:64bit: - [2009-11-06 13:56:06 | 001,550,848 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\athrx.sys -- (athr)

DRV:64bit: - [2009-10-16 04:32:24 | 000,321,064 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\k57nd60a.sys -- (k57nd60a) Broadcom NetLink ™

DRV:64bit: - [2009-09-17 21:54:54 | 000,056,344 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\HECIx64.sys -- (HECIx64) Intel®

DRV:64bit: - [2009-07-21 15:20:06 | 000,121,840 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\wsvd.sys -- (wsvd)

DRV:64bit: - [2009-07-16 12:55:34 | 000,011,280 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\WDMirror.sys -- (wdmirror)

DRV:64bit: - [2009-07-16 04:38:20 | 000,079,376 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\drivers\WDBridge.sys -- (Bridge0)

DRV:64bit: - [2009-07-14 02:48:04 | 000,065,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\lsi_sas2.sys -- (LSI_SAS2)

DRV:64bit: - [2009-07-14 02:45:55 | 000,024,656 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\stexstor.sys -- (stexstor)

DRV:64bit: - [2009-07-14 01:39:20 | 000,023,040 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\WSDPrint.sys -- (WSDPrintDevice)

DRV:64bit: - [2009-07-14 01:35:32 | 000,012,288 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\serscan.sys -- (StillCam)

DRV:64bit: - [2009-07-14 01:10:47 | 000,011,264 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\Drivers\RootMdm.sys -- (ROOTMODEM)

DRV:64bit: - [2009-06-10 21:35:28 | 005,434,368 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\netw5v64.sys -- (netw5v64) Intel®

DRV:64bit: - [2009-06-10 21:34:33 | 003,286,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\evbda.sys -- (ebdrv)

DRV:64bit: - [2009-06-10 21:34:28 | 000,468,480 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\bxvbda.sys -- (b06bdrv)

DRV:64bit: - [2009-06-10 21:34:23 | 000,270,848 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\b57nd60a.sys -- (b57nd60a)

DRV:64bit: - [2009-06-10 21:31:59 | 000,031,232 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)

DRV:64bit: - [2009-04-07 07:33:08 | 000,035,104 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\btwl2cap.sys -- (btwl2cap)

DRV:64bit: - [2009-01-09 14:02:08 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Running] -- C:\windows\SysNative\DRIVERS\RimSerial_AMD64.sys -- (RimVSerPort)

DRV:64bit: - [2008-08-06 13:32:16 | 000,151,656 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\windows\SysNative\DRIVERS\wimfltr.sys -- (WimFltr)

 

 

 

 

To wszystko wskazuje na ten przypadek infekcji: KLIK. Wykonaj skanowanie za pomocą Kaspersky TDSSKiller. Nic w programie nie usuwaj, wszystkie wyniki daj na Skip, tylko raport tekstowy przedstaw.

 

 

 

.

[rafiksq]

Dzieki za odp. Przy instalacji tego kasperskiego wyskakuje info "can't load driver", pozniej po skanowaniu ktore trwa zaledwie pol sek. jest info "no threats found".

 

UDAŁO SIĘ:

http://wklej.org/id/685745/

[picasso]

Uruchom ponownie TDSSKiller i dla wyniku 90d93898eb3a0f61 wybierz akcję Delete, wszystkie pozostałe wyniki (!) opuść za pomocą Skip. Zresetuj system. Wygeneruj nowy log z TDSSKiller (przypominam: jeśli coś znów się pokaże = skip) oraz z OTL.

 

 

 

.

[rafiksq]

Dzięki problem rozwiązany.

[picasso]

Zakładasz, że to koniec. Prosiłam o logi, nie otrzymałeś jeszcze sprzątania finałowego.

 

Dodatkowo, proszę na chwilę wstrzymaj osłony rezydentne Avast, skopiuj na Pulpit folder C:\TDSSKiller_Quarantine, zapakuj go do ZIP i wyślij mi na PW.

 

 

 

.

[rafiksq]

Witam,

proszę o pomoca od jakiś 2 tygodni coraz częściej mam problemy z wysyłaniem emaili z programu thunderbird tzn dostaje informacje ,ze moj email został dodany do spamlisty np.http://cbl.abuseat.org/lookup.cgi?ip=79.96.74.122&.pubmit=Lookup.

Oczywiscie ejst tam opcja kasowania ale po paru godzinach znowu to samo. Cos tam niby jest to cutwailu. Jak to usunac?

 

logi z OTL:

http://wklej.org/id/704659/

http://wklej.org/id/704660/

[picasso]

Przeprowadź ultra szybkie skanowanie Kaspersky TDSSKiller dla formalności (gdyby jednak coś wykrył = Skip i tylko log do oceny).

 

Edit: no tak, Ty już tu byłeś z rootkitem Necurs i tematu nie ukończyłeś, ani też nie wysłałeś mi kwarantanny, którą miałam w zamiarze przesłać Kasperskiemu. Daj moment na analizę OTL.

Edytowane 12 Marca 2012 przez picasso
Tematy sklejam razem. //picasso

[rafiksq]

Jak nie??? Przeciez jeszcze podziekowałem za wspolprace, chyba ze pozniej cos napisałes to bardzo przepraszam:)

 

Kaspersky nic nie znalazł, ani Malwarebytes' Anti-Malware.

[picasso]

Jak nie??? Przeciez jeszcze podziekowałem za wspolprace, chyba ze pozniej cos napisałes to bardzo przepraszam:)

 

Po pierwsze: napisałam. Po drugie: racz doczytać mój ostatni post z tamtego wątku i nie otrzymałam kwarantanny. Po trzecie: mój drogi, byliśmy w połowie czyszczenia, zwiałeś po pierwszym ustąpieniu objawów nie interesując się czy to na pewno koniec. Tak nie wygląda temat ukończony, nie zostało tam przeprowadzone: czyszczenie kwarantanny, czyszczenie folderów Przywracania systemu, czyszczenie lokalizacji tymczasowych, skanowanie wybranym narzędziem dla pewności, wymiana haseł logowania, aktualizacje. Jakieś pytania?

 

I być może to co się teraz dzieje, to jest część tamtego problemu. Hasła nie zostały zmienione. Jak mówię, chwilę mi daj na obejrzenie logów z OTL.

 

 

.

[rafiksq]

Najmocniej przerpaszam, nie ma nic na swoje wytłumaczenie, a tak na marginesie wszystkiego najlepszego:)

[picasso]

W pierwszej kolejności doślij mi to o co proszę w tamtym temacie (na dysku ciągle jest ten katalog):

 

Dodatkowo, proszę na chwilę wstrzymaj osłony rezydentne Avast, skopiuj na Pulpit folder C:\TDSSKiller_Quarantine, zapakuj go do ZIP i wyślij mi na PW.

 

 

Na temat bieżącego problemu: tu nie widać nic, ale podejrzanym jest, że klasyfikacja e-mail jako składowej botnetu wystąpiła po leczeniu rootkita, to sugeruje konsekwentny ciąg wydarzeń. Do wykonania zaległości i akcje:

 

1. W Google Chrome w zarządzaniu wyszukiwarkami przestaw domyślną z Babylon na coś innego, zaś Babylon skasuj.

 

2. Usuwanie wpisów odpadków + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1710499267-3274262945-1777536463-1004\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.
IE - HKU\S-1-5-21-1710499267-3274262945-1777536463-1004\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found
IE - HKU\S-1-5-21-1710499267-3274262945-1777536463-1004\..\SearchScopes\{8B63A8D6-BBED-4341-8867-790E5F524C96}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box"
[2012-02-15 12:39:22 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\rafiksq\AppData\Roaming\mozilla\Firefox\Profiles\7l82tgd2.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}
[2012-02-09 21:30:18 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\rafiksq\AppData\Roaming\mozilla\Firefox\Profiles\7l82tgd2.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2010-12-20 22:09:07 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\rafiksq\AppData\Roaming\mozilla\Firefox\Profiles\7l82tgd2.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012-02-15 12:39:39 | 000,000,000 | ---D | C] -- C:\Users\rafiksq\AppData\Local\Conduit
 
:Files
rd /s /q C:\Users\rafiksq\DoctorWeb /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Po tym zastosuj Sprzątanie kasujące OTL wraz z kwarantanną.

 

3. Zamknij przeglądarki. Zastosuj AdwCleaner z opcji Delete. Po tym użyj w nim Uninstall.

 

4. Czyszczenie folderów Przywracania systemu: KLIK.

 

5. Skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera ustaw skanowanie wszystkich obszarów, tak = długo to potrwa. Jeżeli Kaspersky coś wykryje, zaprezentuj log z wynikami typu zagrożenie (inne typy mnie nie interesują). Jeżeli skan nic nie wykryje:

 

6. Zmień hasła logowania we wszystkich serwisach (e-mail / Facebook etc...)

 

 

 

a tak na marginesie wszystkiego najlepszego:)

 

Dziękuję.

 

 

 

.

[rafiksq]

log po skasowaniu w OTL:

http://wklej.org/id/704732/

 

adwcleaner:

http://wklej.org/id/704737/

[picasso]

Logi są OK = wykonane. Nawet nie prosiłam o ich pokazywanie, obstawiając brak problemów. Leć dalej.

[rafiksq]

U góry jeszcze załączyłem log z adwcleanera nie wiem czy widziałaś

[picasso]

Przecież to ja złączyłam posty. I zauważ edycję mojej wypowiedzi na liczbę mnogą "Logi są OK".

[rafiksq]

Rozumiem, skanuje jeszcze tym kasperskym. Czy coś w tych logach zauważyłaś nie pokojącego?

[picasso]

rafiksq, czy ja wyrażam się aż tak niejasno? Wszystko zostało powiedziane na temat dostarczonych tu logów. A te ostatnie z usuwania to akurat najmniej istotne, to kosmetyka.

Edytowane 17 Kwietnia 2012 przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso