Skocz do zawartości

Po infekcji (trojan, malware) i leczeniu nie startuje explorer.exe


Rekomendowane odpowiedzi

Witam serdecznie.

Mam problem ze zlokalizowanie przyczyny nie starującego razem z system procesu explorer.exe. Widzę w sieci, że problem dość popularny w ostatnich dniach - pewnie ten sam syf.

 

W każdym razie po stwierdzeniu infekcji odpaliłem Malwarebytes' Anti-Malware - wykrył infekcję i usunął kilka plików (log w załączeniu). Niestety problem z explorer.exe pozostał.

 

Kiedyś już wałczyłem z infekcją na tym systemie stąd możliwe pozostałości z ComboFix (straszne słowo :P ) dlatego na wszelki wypadek dorzucam log z jego wcześniejszego działania (tak, wiem że CF to nie jest narzędzie do logów - użyty był z premedytacją).

 

Wiem, że najłatwiej dodać explorer.exe do autostartu ale to chyba nie jest rozwiązanie :P

 

Pozdrawiam

Extras.Txt

OTL.Txt

ComboFix.txt

mbam-log-2012-03-01 (10-39-30).txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Mam problem ze zlokalizowanie przyczyny nie starującego razem z system procesu explorer.exe. Widzę w sieci, że problem dość popularny w ostatnich dniach - pewnie ten sam syf.

 

Istotnie, ten sam co u reszty na forum. Problem tworzy dodany wtórnie wpis Shell w gałęzi HKEY_CURRENT_USER:

 

O20 - HKU\S-1-5-21-2069460132-842757298-3216149559-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKU\S-1-5-21-2069460132-842757298-3216149559-1000 Winlogon: Shell - ("C:\Users\Dominik\winlogon.exe") - File not found

 

Prawidłowy Shell to tylko ten w HKEY_LOCAL_MACHINE:

 

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

 

 

Wiem, że najłatwiej dodać explorer.exe do autostartu ale to chyba nie jest rozwiązanie

 

I nic Ci to nie da, a wręcz jeszcze się pojawią skutki uboczne.

 

 

Kiedyś już wałczyłem z infekcją na tym systemie stąd możliwe pozostałości z ComboFix (straszne słowo :P ) dlatego na wszelki wypadek dorzucam log z jego wcześniejszego działania (tak, wiem że CF to nie jest narzędzie do logów - użyty był z premedytacją).

 

To stary log z ComboFix, sprzed 4 miesięcy. A narzędzie usuwało całkiem inną infekcję, czyli rootkita ZeroAccess. I jeżeli wtedy zakończyłeś tylko na wesołym uruchomieniu ComboFix, to:

 

- Przypuszczalnie nadal są tu ślady działań ZeroAccess typu naruszenia w repozytoriach Vista.

- Niedoczyszczenie. W autoryzacjach zapory widać explorer.exe (to autoryzacje robione przez ZeroAccess). A te oto wyniki z MBAM to jest stara nie zamknięta wtedy sprawa:

 

Files Detected:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Quarantined and deleted successfully.

C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Quarantined and deleted successfully.

 

- Nie wspominając o tym, że narzędzie powinno zostać w prawidłowy sposób odinstalowane, co usuwa jego składniki inne niż te oczywiste i resetuje status Przywracania systemu ...

 

 


1. Korekta efektu z Shell. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj system dla potwierdzenia ustąpienia efektu.

 

2. Na wszelki wypadek wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

3. Zresetuj reguły zapory z poziomu Panelu sterowania.

 

 

.

Odnośnik do komentarza

Polecenie z punktu 1. pomogło, dziękuję!

Log z sfc w załączniku - nie wiedziałem czy chodzi Ci o te ze znacznikiem "[sR]" czy "[sR] Cannot repair member file" jak w tutorialu, więc na wszelki wypadek umieszczam z filtracją dla wszystkich wpisów z [sR] w treści.

 

Zapora zresetowana.

 

Co do CF nadmienię, że miałem taką sytuację, że nie mogłem czekać - wieczorem dostałem zainfekowany komputer a na rano miał działać, więc przed pochopną reinstalacją odpaliłem CF (nie miałem nic do stracenia). A że pomogło to temat tak się został.

 

p.s. żeby dorosły syn czyścił po jeszcze starszym ojcu infekcje ze stron xxx :P Tym razem wprost mu powiedziałem, że to nie ładnie i pokazałem jak włączyć tryb prywatny w Firefox - zawsze to coś :P

 

 

Jeszcze raz wielkie dzięki picasso - kolejny raz mi pomogłaś :]

sfc.txt

Odnośnik do komentarza
Log z sfc w załączniku - nie wiedziałem czy chodzi Ci o te ze znacznikiem "[sR]" czy "[sR] Cannot repair member file" jak w tutorialu, więc na wszelki wypadek umieszczam z filtracją dla wszystkich wpisów z [sR] w treści.

 

Chodziło mi o log ogólny z wszystkimi znacznikami [sR]. Narzędzie SFC jednak naprawiło szkody, które wyglądają na pochodną rootkita ZeroAccess np.:

 

2012-03-01 11:44:51, Info    CSI    000001fd [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup

 

Dla porównania stary odczyt z ComboFix:

 

Zainfekowana kopia c:\windows\system32\drivers\tdx.sys została znaleziona. Problem naprawiono 

Plik odzyskano z - The cat found it :)

 

A na temat reszty:

 

1. ComboFix należy w końcu w prawidłowy sposób odinstalować. Pobierz go ponownie, z klawiatury klawisz z flagą Windows + R i w Uruchom wklej:

 

"pełna ścieżka dostępu do ComboFix.exe" /uninstall

 

2. Wykonaj dla pewności sprawdzanie za pomocą mini skanera Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami, o ile będą. Reszta wyników mnie nie interesuje.

 

 

 

 

.

Odnośnik do komentarza

Chodziło mi o log ogólny z wszystkimi znacznikami [sR]. Narzędzie SFC jednak naprawiło szkody, które wyglądają na pochodną rootkita ZeroAccess np.:

Czyli dobry dałem :]

 


Plik odzyskano z - The cat found it :)

Ten komunikat jest genialny, skąd wziąć takiego kota do znajdywania? :P

 

A na temat reszty:

 

1. ComboFix należy w końcu w prawidłowy sposób odinstalować. Pobierz go ponownie, z klawiatury klawisz z flagą Windows + R i w Uruchom wklej:

 

"pełna ścieżka dostępu do ComboFix.exe" /uninstall

 

Zrobiłem chociaż coś tam jeszcze pozostało po nim - przy deinstalacji do jednego z plików nie było dostępu.

 

2. Wykonaj dla pewności sprawdzanie za pomocą mini skanera Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami, o ile będą. Reszta wyników mnie nie interesuje.

KV pokazuje, że czysto. Były jakieś pliki "Password Protected", których nie przeskanował - czy to istotne? Jeśli tak to wrzucę logi.

Odnośnik do komentarza
Zrobiłem chociaż coś tam jeszcze pozostało po nim - przy deinstalacji do jednego z plików nie było dostępu.

 

Jakiego pliku?

 

 

KV pokazuje, że czysto. Były jakieś pliki "Password Protected", których nie przeskanował - czy to istotne? Jeśli tak to wrzucę logi.

 

Skoro nic nie wykrył z obszaru zagrożeń, to nie muszę już nic oglądać.

 

 

.

Odnośnik do komentarza
  • 4 tygodnie później...

Witam, przepraszam, że nie odpisałem wcześniej ale inna sprawa natury zabezpieczeń mnie dotknęła i musiałem sobie z nią poradzić - infekcja iframe serwera. Na szczęście poradziłem sobie z nią bez utraty innych danych (może jakiś tutorial nawet z tego zrobię).

 

Nie mam aktualnie dostępu do omawianego wcześniej komputera więc temat uważam za rozwiązany.

Mam nadzieję, że plik który się nie skasował to nie będzie jakiś problem.

 

Dziękuję za pomoc i pozdrawiam.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...