Skocz do zawartości

Kryptic, brak sieci, brak wielu elementów Menu Start


Rekomendowane odpowiedzi

Witam,

 

mam do ogarnięcia zainfekowany czymś komputer. Po wejściu na jedną ze stron, Avast zaalarmował, że coś atakuje kompa. Niby to zablokował, ale i tak się musiało dostać.

Efekt, to brak dostępu do sieci po WiFi (sterowane z poziomu IBM/Lenovo Access Connection, a nie Windowsa), jakby podmieniony proces explorer.exe albo coś w tym rodzaju, bo najpierw wszystko się wgrywało po restarcie jak należy, po czym w pewnym momencie wszystko znikało (jak przy zabiciu procesu explorer.exe właśnie) i ładowało się od nowa, ale juz bez większości ikonek w trayu, z brakiem połączenia sieciowego, otwierało się ileś okienek IE, komp był dosyć powolny i pewnie parę jeszcze innych rzeczy, których użytkownik już nie spamiętał.

 

Wykryłem w autostarcie skrót o nazwie ch8l0.exe, który jako ścieżkę skrótu miał coś w stylu: c:\windows\system32\rundll32.exe,NewfunEx,c:\XXXXXX\temp\XXX.exe

Po wygooglowaniu wyszło, że to prawdopodobnie jakiś trojan Kryptic.

Oprócz tego na dysku C: znalazłem zdecydowanie nieporządany plik settings.ini (w załączeniu)

 

Przeprowadzone było czyszczenie różnych tempów. Ręcznie, ale także skryptem Clear Temp Folder oraz All Users Temp Cleaner z Hiren's BootCD 15.1

Później przeskanowane Avirą i Malwarebytes' Anti Malware (z Hiren's BootCD 15.1) oraz Avastem i Spybot Search&Destroy.

Malwarebytes znalazł jeszcze jakieś coś o nazwie Codec-C i niby wszystko usunął.

 

Sam ręcznie przeszukałem jeszcze rejestr systemowy pod kątem tych różnych plików, nazw znalezionych syfów, ścieżek dostępu itp.

Z autostartu oczywiście usunąłem wspomniany skrót. Przejrzałem klucze Run, RunOnce itp. w rejestrze.

 

Komputer po tych akcjach wydaje się być uzdrowiony, ale... no właśnie nie w pełni.

Wycięło gdzieś większość pozycji z Menu Start. Zarówno skrótów do programów, jak i na przykład Narzędzia Systemowe, czy Narzędzia Administracyjne. Ale pole Uruchom, czy Panel Sterowania jest. Zniknęły też punkty przywracania (bo chciałem ewentualnie z tego skorzystać).

 

Mam gdzieś jeszcze System State zbackupowany, ale jest już dość stary, bo z 30.11.2011, więc użycie tego uważam za ostateczność.

 

Czy mógłbym zatem prosić o pomoc? Być może da się jeszcze to wszystko jakoś uratować?

 

Logi w załączeniu i poniżej.

Laptop to Lenovo T61

 

SecurityCheck:

Results of screen317's Security Check version 0.99.32

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

MVPS Hosts File

Spybot - Search & Destroy

Java™ 6 Update 24

Java version out of date!

Adobe Flash Player 10.3.183.11 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of date!

Mozilla Firefox (11.0.)

Mozilla Thunderbird (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 avastUI.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

gmer.txt

ZLY_settings.ini._ZLY.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W podanych raportach nie notuję już obiektów infekcji.

 

 

Komputer po tych akcjach wydaje się być uzdrowiony, ale... no właśnie nie w pełni.

Wycięło gdzieś większość pozycji z Menu Start. Zarówno skrótów do programów, jak i na przykład Narzędzia Systemowe, czy Narzędzia Administracyjne. Ale pole Uruchom, czy Panel Sterowania jest. Zniknęły też punkty przywracania (bo chciałem ewentualnie z tego skorzystać).

 

Może to ten typ infekcji, który ukrywa / usuwa określone pozycje, albo przez atrybuty, albo przez przesunięcie całej zawartości folderów do Temp. W tym drugim przypadku nie wolno wyczyścić lokalizacji tymczasowych, odcina to drogę do naprawy. W logu z OTL trudno stwierdzić czy to ten typ usterki, ale odświeżyły się te katalogi (tak jakby Windows je generował na świeżo po usunięciu):

 

[2012-04-03 00:45:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

[2012-04-03 00:07:24 | 000,000,000 | R--D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne

 

Podaj skan dodatkowy na zawartość folderów powłoki Menu Start oraz katalogi tymczasowe. Uruchom SystemLook, do skanowania wklej podaną niżej treść, kliknij w Look.

 

:dir
C:\Documents and Settings\All Users\Menu Start /s
C:\Documents and Settings\Surmówna\Menu Start /s
C:\Documents and Settings\Surmówna\Ustawienia lokalne\Temp /s
C:\Windows\Tmp /s
 
:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

 

 

 

.

Odnośnik do komentarza

Przepraszam, literówka w jednym poleceniu, sprawdź ręcznie folder C:\Windows\Temp systemu. A co do skanu Temp użytkownika: nic tam nie ma, żadnych kopii plików. Skan ustawień folderów powłoki w rejestrze nie wykazuje naruszeń. Skan folderów Menu Start również nie wykazuje, by coś było ukryte. Wygląda więc na to, że spośród dwóch katalogów składających się na Menu Start został wypróżniony typowany już przeze mnie wcześniej katalog C:\Documents and Settings\All Users\Menu Start\Programy, jest pusty w tych fragmentach:

 

C:\Documents and Settings\All Users\Menu Start\Programy	d------	[22:07 02/04/2012]

 

C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne dr----- [22:07 02/04/2012]

desktop.ini --ahs-- 62 bytes [22:07 02/04/2012] [22:07 02/04/2012]

 

Skasowana zawartość bez kopii zapasowych nie jest możliwa do odtworzenia 1:1 za jednym pociągnięciem ręki. Ale:

- Dosyłam fabryczną postać tego katalogu z Windows XP SP3 do wstawienia, co uzupełni skasowane katalogi i skróty domyślnie obecne w systemie, takie jak Akcesoria, Gry i Narzędzia administracyjne: KLIK.

- Skróty programów przez Ciebie doinstalowanych, które tam być może były, już musisz samodzielnie dorobić, gdyż ja nie wiem co tam mogło być. Ale to już pestka, wystarczy potworzyć ręcznie skróty w w/w katalogu.

 

 

 

.

Odnośnik do komentarza

OK. W tempach wszędzie będzie na 200% pusto, bo jak pisałem na początku, pomijając działania różnych programów, to najzwyczajniej sam, ręcznie standardowo w takich przypadkach wywalam wszystko, co się w jakichkolwiek tempach znajduje.

Wychodzi na to, że nieświadomie zatem pewnie wykasowałem sobie również te przeniesione elementy Menu Start. Na przyszłość będę w takim razie ostrożniejszy i najpierw bardziej się przyjrzę zawartości katalogów temp przed usuwaniem, skoro istnieją robale robiące takie psikusy.

 

Dziękuję za poświęcony czas i pomoc. Najważniejsze, że infekcja została usunieta, a z Menu Start już sobie poradzę.

 

Pozdrawiam

Krzysiek

Odnośnik do komentarza
W tempach wszędzie będzie na 200% pusto, bo jak pisałem na początku, pomijając działania różnych programów, to najzwyczajniej sam, ręcznie standardowo w takich przypadkach wywalam wszystko, co się w jakichkolwiek tempach znajduje.

 

Tak, wiem że czyściłeś Temp i odnosiłam się do tego mówiąc "nie wolno wyczyścić lokalizacji tymczasowych, odcina to drogę do naprawy", ale sprawdzałam to na wszelki wypadek, ponieważ algorytm użytych narzędzi nie jest mi znany, które katalogi bierze pod uwagę, oraz była i możliwość, że skrypt nie przetworzył czegoś. Poza tym, tu nie jest pewne, że taki był motyw infekcji z przesuwaniem do Temp (są takie infekcje, ale czy ta konkretnie to nie wiem), ten katalog mógł zostać po prostu skasowany w całości, a po restarcie system wytworzył go jako pusty (regeneracja folderu następuje w oparciu o wpisy rejestru Shell / User Shell Folders, zresztą przeze mnie sprawdzane).

 

 

Najważniejsze, że infekcja została usunieta, a z Menu Start już sobie poradzę.

 

Po wstawieniu ode mnie brakujących fragmentów Menu Start i uzupełnieniu ręcznie co tam jeszcze będzie brakować, sfinalizuj historię poprzez:

 

1. Wyczyść resztki po Ask Toolbar używając AdwCleaner.

 

2. Czyszczenie folderów Przywracania systemu: KLIK.

 

3. Aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 24

"{26A24AE4-039D-4CA4-87B4-2F83216024F0}" = Java™ 6 Update 24

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl)

 

4. Poza tym, odinstaluj tego Spybota. To przestarzały program, za słaby na dzisiejsze zagrożenia, jedzie na opinii a nie faktycznych zdolnościach. I wykonał niepożądaną modyfikację pliku HOSTS, który przetwarza ponad 15 tysięcy wpisów:

 

O1 HOSTS File: ([2012-04-03 08:21:05 | 000,441,418 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 www.00hq.com

(...)

O1 - Hosts: 15174 more lines...

 

To nie jest zdrowe, może kłócić się z usługą Klient DNS powodując obciążenie svchost.exe. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...