Przekierowuje z Google do abnow.com

[Witold]

Witam. Złapałem dzisiaj jakiś syf na komputer. Najprawdopodobniej wpakował mi się do systemu ze strony PEB. Powyłączał mi on wszystkie programy, razem z antywirusem i sam podawał się za antywirusa, prowadzącego skan. Próby uruchomienia jakiegokolwiek programu blokował, nawet menadżera zadań. Jednak udało mi się go usunąć przez panel sterowania, a następnie jakieś zainfekowane pliki usunąłem programem Malwarebytes' Anti-Malware. Wszystko zaczęło znowu działać, ale pojawił się problem z Google. Ze wszystkich linków przekierowuje mnie na stronę abnow.com. Nic się nie wczytuje. Oto log z Anti-Malware:

 

 

EDIT: Przypomniało mi się, że ten wirus to smart fortress 2012 czy coś takiego.

 

 

 

 

 

Malwarebytes' Anti-Malware 1.39

Wersja bazy definicji: 2421

Windows 5.1.2600 Service Pack 3

 

2012-03-18 14:50:17

mbam-log-2012-03-18 (14-50-17).txt

 

Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowane obiekty: 239127

Upłynęło: 1 hour(s), 4 minute(s), 52 second(s)

 

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 1

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 3

Zainfekowane foldery: 0

Zainfekowane pliki: 1

 

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

 

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

 

Zainfekowane klucze rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{x1lbdspc-cj56-gx2e-y5sc-tkthm12e710e} (Generic.Bot.H) -> Quarantined and deleted successfully.

 

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

 

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Zainfekowane foldery:

(Nie wykryto groźnych plików)

 

Zainfekowane pliki:

C:\WINDOWS\system32\install\Update.exe (Generic.Bot.H) -> Quarantined and deleted successfully.

 

 

 

 

 

Dodaję też wymagane logi.

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

gmer.txtPobieranie informacji ...

[Landuss]

Tu jest infekcja ZeroAccess. Zacznij od użycia z trybu awaryjnego narzędzia ComboFix i zaprezentuj z niego raport. Po tym działaniu wykonaj nowe logi z OTL i Gmer i załącz do posta.

[Witold]

Logi z OTL i Gmera wykonać też w trybie awaryjnym? A co do ComboFixa to postępwać wg. instrukcji zamieszczonych w tutorialu, tak?

[Landuss]

Oczywiście, że tak jak w opisie masz zrobić. Zaś nowe logi masz wykonać w normalnym trybie.

[Witold]

Własnie piszę z trybu awaryjnego. Coś jest nie tak z ComboFixem. Uruchomiłem go, wszyskto szło zgodnie z opisem. Coś tam się wypakowało i... koniec. Nic się dalej nie dzieje. Uruchomiłem więc jeszcze raz, i najpierw było deleting, potem extracting i znowu nic. Co zrobić?

[Landuss]

Pokaż nowe logi z OTL oraz Gmer. Najwyżej usuwanie będziesz prowadził z zewnątrz.

[Witold]

Zrobić je w normalnym trybie?

[Landuss]

Jeśli nie pisze abyś zrobił w awaryjnym to znaczy ze masz robić w normalnym.

[Witold]

Oto logi:

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

gmer2.txtPobieranie informacji ...

[Landuss]

Infekcja cały czas aktywna więc zmiana metody. Tak jak wspomniałem trzeba będzie to usunąć z zewnątrz.

 

1. Pobierz i wypal płytę OTLPE (z niej będziesz prowadził usuwanie)

 

2. Pobierz czysty plik ipsec.sys pod XP SP3: KLIK. Plik umieść bezpośrednio na dysku C:\

 

3. Przygotuj w Notatniku plik tekstowy z treścią skryptu:

 

:Files
copy /y C:\ipsec.sys C:\WINDOWS\System32\drivers\ipsec.sys /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB48361$ /C
C:\Windows\$NtUninstallKB48361$
C:\Documents and Settings\Administrator\My Documents\BFBC2
C:\Documents and Settings\Administrator\Local Settings\Application Data\f66fb579
C:\Documents and Settings\All Users\Application Data\F4D55F3B212C2CDD0021D13AD151FC4E
C:\windows\System32\dds_log_ad13.cmd
C:\windows\tasks\At*.job
C:\windows\digtss.exe
C:\windows\pfbstar.exe
C:\windows\cpdat.exe
C:\windows\ptw32.exe
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus)
SRV - [2008-04-14 11:00:00 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\WINDOWS\system32\uisp.dll -- (ngserver)
NetSvcs: ngserver - C:\WINDOWS\system32\uisp.dll (Iomega)
 
:Commands
[resethosts]
[emptytemp]

 

Plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE.

 

4. Start z OTLPE i do wykonania zadanie:

 

- uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klikasz w Run Fix. Z tego działania powstanie log, który będziesz prezentować.

 

5. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

6. Dajesz nowe logi do oceny z GMER + log z wynikami przetwarzania skryptu z punktu 3 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

C:\Windows\*. /RP /s
C:\Windows|$NtUninstallKB48361$;true;true;false /FP

 

Klik w Skanuj.

[Witold]

Na razie dodaję tylko log z OTL'a wykonany na dodatkowym warunku. Z punktu trzecie nie wypluło mi żadnego skryptu. Gmera zrobię w nocy, gdyż teraz komputer jest mi potrzebny do pracy. Na dodatek powiem, że Google działa już normalnie i wszystko zdaje się być w normie. Jutro rano zamieszczę skrypt z gmera. Serdecznie dziękuję za pomoc i pozdrawiam!

OTL.TxtPobieranie informacji ...

[Landuss]

Gmera nadal nie załączyłeś, ale już widać że jest znacznie lepiej. Teraz wykonasz kolejny skrypt już spod normalnie uruchomionego systemu.

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows|$NtUninstallKB48361$

 

Klik w Unlock.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files

C:\Windows|$NtUninstallKB48361$
C:\windows\System32\se44mdm.dll
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
netsh winsock reset /C
 
;Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search Bar"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
 
:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\uisp.dll -- (ngserver)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ugldrpod.sys -- (ugldrpod)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bDMusicb.sys -- (bDMusicb)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [HKLM] C:\windows\system32\install\Update.exe File not found
O4 - HKCU..\Run: [HKCU] C:\windows\system32\install\Update.exe File not found
NetSvcs: ATNT40K -  File not found
NetSvcs: sr_watchdog -  File not found
NetSvcs: sshrmd -  File not found
NetSvcs: lxbu_device -  File not found
NetSvcs: se45obex -  File not found
NetSvcs: se44mdm - C:\windows\System32\se44mdm.dll (Iomega)
NetSvcs: steamdvr -  File not found
NetSvcs: UCTblHid -  File not found
NetSvcs: PGPsdkDriver -  File not found
NetSvcs: ctxhttp -  File not found
NetSvcs: mmc_2K -  File not found
NetSvcs: incdrec -  File not found
NetSvcs: crauto -  File not found
NetSvcs: service1 -  File not found
NetSvcs: rismxdp -  File not found
NetSvcs: WLAN_USB -  File not found
NetSvcs: SDdriver -  File not found
NetSvcs: mcusrmgr -  File not found
NetSvcs: SrvcEKIOMngr -  File not found
NetSvcs: ds1 -  File not found
NetSvcs: egathdrv -  File not found
NetSvcs: bthidmgr -  File not found
NetSvcs: symfw -  File not found
NetSvcs: alcxwdm -  File not found
NetSvcs: aw_host -  File not found
NetSvcs: Gernuwa -  File not found
NetSvcs: ngserver - %systemroot%\system32\uisp.dll File not found
NetSvcs: WmdmPmSp -  File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Wykonujesz nowe logi z OTL na dodatkwoym warunku:

 

netsvcs
C:\Windows|$NtUninstallKB48361$;true;true;false /FP

Edytowane 7 Maja 2012 przez picasso
7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso