Ataki, trojan Kryptik i inne

[Ivory123]

Sytuacja przedstawia się następująco:

 

Po wykryciu przez ochronę w czasie rzeczywistym nod32 paru trojanów zaczęły dziać się dziwne rzeczy.

Chodzi o trojany Kryptic. ABDY, Kryptic ABEN, Opachki P i inne które zamieszczam na poniższym screenie.

http://www63.zippysh...35710/file.html

 

 

Proces csrss.exe przestał działać, o czym poinformowało mnie okienko windowsowskie. Drugi raz ten sam proces przestał działać podczas uruchamiania systemu, zmuszony byłem wtedy do reboota.

Dodatkowo parę razy nod 32 blokował ataki.

 

Logi dodałem.

OTL.Txt

Extras.Txt

[picasso]

W skład obowiązkowych logów wchodzi i GMER, a system nie przygotowany do jego uruchomienia (działa w tle sterownik SPTD od emulacji napędów wirtualnych). Natomiast w logach z OTL nie widzę już nic infekcyjnego, do korekty dodana wartość Shell oraz wyrzucenie śmieć-wyszukiwarki "Web Search" wstawionej przez instalację vShare do Firefox (w IE też możliwe, że jest, OTL nie pokazuje SearchScopes). Ponadto, jest zainstalowany ESET ale widać sterowniki McAfee.

 

 

1. Te drobnostki do korekty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\7xr8quos.default\searchplugins\startsear.xml
[2011-05-01 19:24:04 | 000,001,592 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\7xr8quos.default\searchplugins\web-search.xml
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{0DA8063F-E975-484D-9190-CD11774E6688}F:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{7FF8471F-E4F8-4696-9FE3-089001886879}F:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{BC390997-A78A-4DD6-B117-FDFB288A7B68}F:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{F40102B1-DAC8-4A70-8173-8F3CD7F5A8E6}F:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Odinstaluj vShare, zarówno w rozszerzeniach Firefox, jak i przez Panel sterowania.

 

3. Posprzątaj po McAfee za pomocą narzędzia McAfee Consumer Products Removal tool.

 

4. Przedstaw nowy log z OTL z opcji Skanuj (bez Extras już) oraz log AdwCleaner z opcji Search. Dołącz i log z wynikami usuwania uzyskany w punkcie 1

 

 

 

.

Edytowane 25 Marca 2012 przez picasso
25.03.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso