sum1 Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Plaga abnow.com szaleje. Dopadła również i mnie. Poza przekierowaniem nie zauważyłem innych objawów. Posiadam antywirus Avira oraz firewalla Outpost i po przeskanowaniach usunąłem część rzeczy, ale sama Avira podawała, że wciąż istnieje jakiś ukryty proces. W każdym razie na jeden dzień google.pl działało mi poprawnie, teraz jednak problem powrócił. Niestety zamiast wszystko najpierw dokładnie przeczytać odpaliłem Combofixa i po wystąpieniu błędu (nie udało mi się go przeczytać) teraz jedynie się rozpakowuje. Tematów o abnow.com jest dużo, ale teraz wolałem nie kombinować już nic na własną rękę. - system 32-bit - logi zrobiłem według podanych przepisów i za pomocą programów z autoryzowanych miejsc - odinstalowałem DAEMON Tools Za pierwszym razem nie odpaliłem Combofixa w trybie awaryjnym, nie miałem usuniętego wirtualnego napędu i za późno wyłączyłem antywirusa. Najpierw wystąpił błąd bez treści, następnie pojawiło się okno z niebieskim tłem, tak jakby Combofix włączył się normalnie i później wystąpił ten błąd, którego nie udało mi się przeczytać. Deinstalacje robiłem podając pełną ścieżkę, ale instalacje zatrzymują się na rozpakowaniu. Byłbym bardzo wdzięczny za pomoc. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 - odinstalowałem DAEMON Tools Deinstalacja programu nie usuwa jego sterownika SPTD (kluczowy element przeszkadzający narzędziom). Sterownik czynny (widzą to GMER i OTL). DRV - [2010-12-25 17:03:22 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Należy wykonać deinstalację sterownika SPTD wg kroków z ogłoszenia: KLIK (narzędzie SPTDinst). I to do wykonania od razu przed przejściem dalej. Plaga abnow.com szaleje. Cóż, rootkit jak najbardziej czynny i aktualnie zainfekowanym sterownikiem systemowym jest redbook.sys... Wstępna próba leczenia: 1. Pobierz plik redbook.sys w wersji XP SP3 (KLIK). Rozpakowany redbook.sys umieść wprost na C:\, ta ścieżka będzie brana pod uwagę w skrypcie. 2. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\redbook.sys C:\WINDOWS\system32\drivers\redbook.sys DeleteFile: C:\WINDOWS\System32\dds_log_ad13.cmd DeleteFolder: "C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\35e91cde" Klik w Execute Now. Zatwierdź restart komputera. Na dysku C powstanie log z narzędzia. 3. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB54984$ Klik w Unlock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB54984$ /C netsh winsock reset /C :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\transbaseservice.dll -- (w300mdm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\wpdusb.dll -- (w200obex) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nvport.dll -- (vxd) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MxlW2k.dll -- (utscsi) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\JiaoIO.dll -- (s117nd5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\allegro.dll -- (personalsecuredriveservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\rrrspy.dll -- (pciSd) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NEOFLTR_600_13319.dll -- (pcidrv) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\relational.dll -- (nvata) SRV - File not found [Auto | Running] -- %systemroot%\system32\imapiservice.dll -- (ntiopnp) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bltrust.dll -- (MREMP50) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ups.dll -- (mfeavfk) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nsm1mdfl.dll -- (mctskshd.exe) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s125mgmt.dll -- (interactivelogon) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Anydlc.dll -- (FVXSCSI) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\flashpnt.dll -- (freepops) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\i2omp.dll -- (dlacdbhm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CamAv.dll -- (BrPar) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symc8xx.dll -- (adiusbaw) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem) SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 5. Do oceny: logi z przetwarzania skryptów z punktów 2 + 4, nowy log OTL zrobiony na warunku dostosowanym (patrz niżej) + GMER + Farbar Service Scanner (wszystkie opcje zaznaczone). Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB54984$;true;true;false /FP Klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
sum1 Opublikowano 28 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2012 Dziękuję za szybką odpowiedź. Wykonałem następujące kroki. Avira ciągle znajdowała mi jakieś .dll. Możliwe, że to od używanych programów, ale wolałem podać. Nie podałem wcześniej, ale od czasu infekcji przy każdym uruchomieniu komputera Outpost pytał mnie czy zezwolić local:any, UDP:22292 na działanie jako serwer. Za każdym razem blokowałem. 1. SPTD usunięty (z rejestru również) Wyłączenie Outposta (co chwila by się pytał o pozwolenie) 2. BlitzBlank C:\WINDOWS\system32\bdselfpr.dll - wykryła Avra 3. GrantPerms C:\WINDOWS\system32\sdhelper.dll - jw. C:\WINDOWS\system32\MaxtorFrontPanel1.dll C:\WINDOWS\system32\s117unic.dll 4. OTL - skrypt C:\WINDOWS\system32\mldserv.dll C:\WINDOWS\system32\PCASp50.dll 5. OTL - skan (zrobiłem bez Extras) C:\WINDOWS\system32\ql2100.dll C:\WINDOWS\system32\MaxtorFrontPanel1.dll C:\WINDOWS\system32\PCASp50.dll C:\WINDOWS\system32\PCASp50.dll C:\WINDOWS\system32\asctrum.dll 6. Wyłączenie Outposta i Aviry, poGMERałem 7. FSS Uruchomiłem ponownie. Outpost o nic nie pytał. Google działa normalnie, ale w GMER było widać, że dalej coś jest z svchost.exe Zrobiłem jeszcze scan na malware w Outpost i chociaż on znalazł tylko jedną rzecz w Cookies, to Avira w tym czasie wykryła chyba z sześć trojanów w System Volume Information. FSS.txt GMER2.txt OTL2.Txt OTL_skrypt_txt_03282012_102610.txt blitzblank_txt.txt Sys_LogWin_txt.txt Odnośnik do komentarza
picasso Opublikowano 28 Marca 2012 Zgłoś Udostępnij Opublikowano 28 Marca 2012 Do uzupełnienia wypowiedzi służy opcja Edytuj, zamiast pisać posty w serii, gdy nikt jeszcze nie odpisał. Łączę. Avira wykrywa po prostu pliki DLL pomocnicze infekcji (ZeroAccess tworzy podrobione usługi i masowo wrzuca pliki, które się tylko wymieniają przy próbie usuwania), ale nie zasadniczy trzon infekcji. GMER wygląda znacznie lepiej, tzn. nie ma wskazań na zainfekowany sterownik SYS oraz łącza symbolicznego. Winsock się niestety nie zresetował i mamy jeszcze różne obiekty ZeroAccess do czyszczenia. Kolejna porcja zadań: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL MOD - [2008-04-14 23:51:44 | 000,005,120 | ---- | M] () -- C:\WINDOWS\system32\ql2100.dll [2010-12-25 19:15:53 | 000,000,000 | -HSD | M] -- C:\WINDOWS\$NtUninstallKB54984$ [2012-03-28 10:19:47 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_log_ad13.cmd O20 - Winlogon\Notify\aheskjgq: DllName - (aheskjgq.dll) - File not found SRV - [2008-04-14 23:51:44 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\PCASp50.dll -- (ssidrv) SRV - [2008-04-14 23:51:44 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\MaxtorFrontPanel1.dll -- (k750mgmt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bdselfpr.dll -- (websenseclientdeployservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sdhelper.dll -- (wdelmgr20) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\oracle_load_balancer_60_server-forms6i.dll -- (spbbcdrv) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mldserv.dll -- (pnkbstrb) SRV - File not found [Auto | Running] -- %systemroot%\system32\ql2100.dll -- (dtscsi) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s117unic.dll -- (avpnnic) NetSvcs: snapman380 - File not found NetSvcs: w200obex - File not found NetSvcs: FVXSCSI - File not found NetSvcs: vxd - File not found NetSvcs: adiusbaw - File not found NetSvcs: w300mdm - File not found NetSvcs: mfeavfk - File not found NetSvcs: mctskshd.exe - File not found NetSvcs: nvata - File not found NetSvcs: utscsi - File not found NetSvcs: swmsflt - File not found NetSvcs: websenseclientdeployservice - %systemroot%\system32\bdselfpr.dll File not found NetSvcs: k750mgmt - %systemroot%\system32\MaxtorFrontPanel1.dll File not found NetSvcs: pnkbstrb - %systemroot%\system32\mldserv.dll File not found NetSvcs: dtscsi - %systemroot%\system32\ql2100.dll File not found NetSvcs: ssidrv - C:\WINDOWS\system32\PCASp50.dll () NetSvcs: avpnnic - %systemroot%\system32\s117unic.dll File not found NetSvcs: wdelmgr20 - %systemroot%\system32\sdhelper.dll File not found NetSvcs: spbbcdrv - %systemroot%\system32\oracle_load_balancer_60_server-forms6i.dll File not found NetSvcs: ntiopnp - File not found NetSvcs: dlacdbhm - File not found NetSvcs: pcidrv - File not found NetSvcs: s117nd5 - File not found NetSvcs: personalsecuredriveservice - File not found NetSvcs: MREMP50 - File not found NetSvcs: interactivelogon - File not found NetSvcs: pciSd - File not found NetSvcs: freepops - File not found NetSvcs: BrPar - File not found :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Start > Uruchom > cmd i wpisz polecenie netsh winsock reset. Zresetuj system. 3. Wygeneruj do oceny nowy log z OTL z opcji Skanuj oraz GMER. dołącz log z przetwarzania skryptu w punkcie 1. . Odnośnik do komentarza
sum1 Opublikowano 29 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2012 Wykonałem wszystkie rzeczy. Extras.Txt GMER.txt OTL.Txt OTL_03282012_223940.txt Odnośnik do komentarza
picasso Opublikowano 29 Marca 2012 Zgłoś Udostępnij Opublikowano 29 Marca 2012 Zadanie prawie wykonane, z wyjątkiem folderu ex-łącza (Folder move failed. C:\WINDOWS\$NtUninstallKB54984$ scheduled to be moved on reboot.). 1. Do GrantPerms wklej co poniżej i klik w Unlock. C:\WINDOWS\$NtUninstallKB54984$ Upewnij się, że masz wszystkie opcje widokowe aktywowane (Mój komputer > Narzędzia > Opcje folderów > Widok > zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego), przez SHIFT+DEL spróbuj skasować folder C:\WINDOWS\$NtUninstallKB54984$. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W start > Uruchom > wklej komendę: "C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall Gdy ukończy, w OTL zastosuj Sprzątanie likwidujące OTL wraz z kwarantanną. Ręcznie dokasuj folder C:\WINDOWS\ERDNT, inne używane narzędzia oraz pliki *.sys. 3. Widzę zainstalowany Malwarebytes Anti-Malware. Na wszelki wypadek wykonaj nim pełny skan. Przedstaw raport, o ile coś zostatnie wykryte. . Odnośnik do komentarza
sum1 Opublikowano 29 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2012 Znalazło mi jedynie to: Wykrytych plików: 1 C:\WINDOWS\Media\NewIcon.ico (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Rozumiem, że to koniec leczenia. Serdecznie dziękuję za szybką i profesjonalną pomoc. Następnym razem nie będę robił nic na własną rękę. mbam-log-2012-03-29 (18-25-30).txt Odnośnik do komentarza
picasso Opublikowano 29 Marca 2012 Zgłoś Udostępnij Opublikowano 29 Marca 2012 Tak, to koniec. Na finał: 1. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 23"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Tlen.pl" = Tlen.pl Przy okazji: Tlen.pl to martwy nierozwijany program. Może Cię zainteresuje WTW jako alternatywa: KLIK. 2. Na wszelki wypadek prewencyjnie zmień hasła logowania w serwisach. Sprawdź czy wszystko działa. Jeśli nic nie wyskoczy, możemy temat zamykać. . Odnośnik do komentarza
sum1 Opublikowano 29 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2012 Wiem, że Tlen.pl jest nierozwijany, ale sentyment i przyzwyczajenie robią swoje. Nie mam nawet ostatniej wersji, bo była już w stylu nowych GG i zaliczała zwiechy. WTW zapowiada się naprawdę nieźle. Dzięki za polecenie. Java, Skype i Adobe Reader wykazują błąd z Instalatorem Windows. Odnośnik do komentarza
picasso Opublikowano 29 Marca 2012 Zgłoś Udostępnij Opublikowano 29 Marca 2012 Java, Skype i Adobe Reader wykazują błąd z Instalatorem Windows. Jaki konkretnie błąd się pokazuje? Przepisz go 1:1. Odnośnik do komentarza
sum1 Opublikowano 29 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2012 Po wyłączeniu Outposta zainstalowałem Javę i Adobe Readera, ale Skype na koniec wyświetlił mi coś takiego: Cannot create the directory 'C:\WINDOWS\repair\default'. A file with this name already exists. Please rename or remove the file and click retry, or click Cancel to exit. Dałem Cancel i jakoś dokończył instalację. Ogólnie to myślę nad zmianą antywirusa i firewalla. Istnieje jakieś połączenie godne polecenia? (chyba że to już zakrawa o offtop) Posiadałem już AVG, Avasta, Sygate'a i ZoneAlarm. Odnośnik do komentarza
picasso Opublikowano 30 Marca 2012 Zgłoś Udostępnij Opublikowano 30 Marca 2012 Cannot create the directory 'C:\WINDOWS\repair\default'. A file with this name already exists. Please rename or remove the file and click retry, or click Cancel to exit. Dałem Cancel i jakoś dokończył instalację. To dziwny błąd. Nie wiem co ma tu wspólnego instalator Skype z folderem fabrycznego rejestru Windows XP (C:\WINDOWS\repair). Nie potrafię tego dopasować. Ogólnie to myślę nad zmianą antywirusa i firewalla. Istnieje jakieś połączenie godne polecenia? (chyba że to już zakrawa o offtop)Posiadałem już AVG, Avasta, Sygate'a i ZoneAlarm. Offtop - dlaczego? Pytania takie wchodzą w pełni w zakres tematu. Na temat tego co tu było: o Sygate zapomnij (tak przestarzały produkt, że zabezpieczenia to iluzja), zaś ZoneAlarm nieszczególnie polecam, jeśli to była darmowa okrojona wersja. Polecane przeze mnie zapory darmowe zapory: Online Armor Free, COMODO Firewall, PrivateFirewall. Aktualna kombinacja Avira + Outpost Security Suite 7.1: - Avira w wersji darmowej nie ma np. osłony Web, a raczej: ceną aktywacji tej funkcji jest pozwolenie na instalację śmiecia Ask Toolbar. To już Avast daje za darmo więcej funkcji. - Outpost Security Suite 7.1, o ile sobie przypominam, to podczas instalacji nie można wykluczyć komponentu antywirusowego (który zdaje mi się być słabszym elementem zestawu), a to tworzy dubel funkcyjny z w/w. Czy składnik antywirusowy jest u Ciebie czynny? Poza tym, możesz przeglądnąć sekcję oprogramowanie zabezpieczające, może z dyskusji / testów pozyskasz jakieś dodatkowe wnioski: KLIK. . Odnośnik do komentarza
sum1 Opublikowano 30 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Marca 2012 Tak, tamte firewalle miałem lata temu. Po prostu napisałem, co sprawdzałem już wcześniej. Outpost posiada pakiet anti-malware i jest u mnie włączony, ale bardziej irytują mnie jego ciągłe zapytania i blokowania zaufanych aplikacji, a nie chcę ustawiać allow most lub allow all (przepuszcza wtedy dużo, a i tak blokuje np. aktualizacje). Wybiorę sobie coś z poleconych przez Ciebie, a antywirusa poszukam w podanym dziale. Dziękuję jeszcze raz za profesjonalną pomoc i rady. Odnośnik do komentarza
Rekomendowane odpowiedzi