Problemy z Google, przekierowaniami i infekcjami

[sawel]

Witam. mam podobny problem: https://www.fixitpc.pl/topic/8200-przekierowywanie-wynikow-google-na-inne-strony/. Mógłbym prosić o sprawdzenie LOG z OTL'a i pomoc co z tym zrobić?

OTL.Txt

[picasso]

sawel, proszę przeczytaj zasady działu: KLIK. Tu nie wolno się dopisywać do cudzych tematów. Zestaw raportów niepełny. Tylko połowa OTL, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Brak obowiązkowego raportu z GMER.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\Run: [k6wwu1uswwwb] C:\DOCUME~1\z00269rd\LOCALS~1\Temp\97745171.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Realtek = C:\Documents and Settings\z00269rd\Application Data\A9DE86.exe
[2012-03-22 10:46:57 | 000,122,880 | RHS- | C] () -- C:\WINNT\System32\msacm32Z.dll
[2012-03-22 10:46:57 | 000,000,304 | ---- | C] () -- C:\WINNT\tasks\Vuilpbu.job
[2011-01-26 19:46:20 | 000,049,861 | -HS- | C] () -- C:\Documents and Settings\z00269rd\Application Data\A9DE86_3ec.VIR
[2012-04-29 20:00:05 | 000,000,002 | -HS- | M] () -- C:\Documents and Settings\z00269rd\RECYCLER
[2012-04-29 19:58:51 | 000,000,002 | ---- | M] () -- C:\Documents and Settings\z00269rd\ntuser.ok
[2012-03-05 23:50:36 | 000,028,287 | ---- | M] () -- C:\WINNT\System32\crrss_17e4.VIR
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL z opcji Skanuj (przypominam o Extras) i zaległy GMER. Dodaj log z wynikami usuwania powstały w punkcie 1.

 

 

 

.

[sawel]

Witam dzięki za pomoc. mam nadzieje żę będzie chodzić. W załączeniu pliki o których była mowa

OTL.Txt

Extras.Txt

GEMR.txt

[picasso]

Nie dodałeś wprawdzie raportu z wynikami usuwania w OTL, ale w sumie nie jest mi to już potrzebne. Najnowsze dane oznajmiają pomyślne wykonanie zadań, acz te dwa obiekty zostały zregenerowane:

 

[2012-05-02 17:39:28 | 000,000,002 | -HS- | C] () -- C:\Documents and Settings\z00269rd\RECYCLER
[2012-05-02 17:31:55 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\z00269rd\ntuser.ok

 

Ukryty katalog RECYCLER (nazwa właściwa katalogowi Kosza leżącego w root partycji NTFS) w tej lokalizacji to niezdrowy syndrom. W ścieżce konta nie powinno być po prostu katalogu RECYCLER... Na razie to zostawiam, gdyż jest tu poważniejsza infekcja niż dotychczas zdiagnozowane składniki. Log z GMER był bardzo istotny. Wykazuje on obecność rootkita Rloader:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text           iaStor.sys           B9D7B74C 1 Byte  [CC] {INT 3 }
 
 
---- Threads - GMER 1.0.15 ----
 
Thread          System [4:660]           8885F0F4

 

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. Zresetuj system.

 

2. Przedstaw raport wygenerowany przez TDSSKiller z usuwania (znajdziesz go na partycji systemowej) + nowy log z GMER zrobiony już na końcu.

 

 

 

.

[sawel]

Skanowanie Kaspersky TDSSKiller dało komunikat: No threats found - raport w załączeniu. oraz dołączam jeszcze kolejnego GEMR

TDSSKiller.2.7.34.0_03.05.2012_10.11.15_log.txt

GEMR2.txt

[picasso]

Kaspersky nic nie widzi, ale log z GMER jest podejrzany. Wykonaj skan na sterowniki systemowe z poziomu środowiska zewnętrznego. Zastartuj komputer z płyty OTLPE, uruchom z desktopu OTL i do okna Custom Scans/Fixes wklej:

 

C:\WINNT\system32\drivers\*.* /md5

 

Klik w Scan. Przedstaw wynikowy log.

 

 

 

.

[sawel]

No niestety nie za bardzo się da, bo to komp służbowy z zablokowanym dostępem do DOS

[picasso]

To utrudnia sprawę. Moim zdaniem jest tu rootkit, log z GMER jest bardzo podejrzany i ma linie charakterystyczne dla ingerencji RLoader, ale diagnostyka naruszenia sterownika systemowego jest niewiarygodna w tym momencie spod działającego systemu. Rootkit uniemożliwia pobranie prawidłowej sumy kontrolnej md5. Dlatego potrzebowałam źródła bootującego pobierającego dane z zewnątrz gdy nie działa system operacyjny. No cóż, spróbujmy spod Windows, choć szczerze wątpię w uzyskanie klarownej odpowiedzi:

 

1. Wygeneruj log z aswMBR, być może wychwyci "suspicious file".

 

2. Przejdź w Tryb awaryjny Windows. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\WINNT\system32\drivers\*.* /md5

 

Klik w Skanuj i przedstaw log wynikowy.

 

 

.

[sawel]

Witam

 

Zwracam się z prośbą o pomoc w rozwiązaniu problemu.

 

System WinXP Professional, laptop Fujitsu Siemens S710

 

Wczoraj nagle pojawiło się okno Live Security Platinum. Kiedyś miałem już taki przypadek, dodatkowo teraz żadne pliki EXE się nie uruchamiały włącznie z regedit, ale jednak usunąłem zapisy w rejestrze jak poniżej używając programu Process Killer:

Ręczne usunięcie wirusa Platinum zabezpieczeń na żywo:

 

Platinum zabezpieczeń plików do usunięcia na żywo:

%Desktopdir%Live zabezpieczeń Platinum.lnk

%Programs%Live zabezpieczeń PlatinumLive zabezpieczeń Platinum.lnk

%AppData% [random]\[przypadkowy].exe

Żywego wirusa Platinum zabezpieczeń wpisy rejestru do usunięcia:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce[random] %AppData% [random]\[przypadkowy].exe

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń platyna

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń PlatinumDisplayIcon %AppData%[random]\[przypadkowy].exe,0

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive PlatinumDisplayName zabezpieczeń na żywo zabezpieczeń platyna

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń PlatinumShortcutPath "%AppData% [random]\[przypadkowy].exe" -Państwo

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń PlatinumUninstallString "%AppData% [random]\[przypadkowy].exe" -Państwo

 

i wydawało mi się że sprawa została załatwiona.

 

Dzisiaj się okazało że kliknięcie na pulpicie funkcji ODŚWIEŹ, spowodowało Autorozmieszczenie wszystkich ustawionych przeze mnie ikon po lewej stronie ekranu (dodam że opcja autorozmieszczanie jest wyłączona). każde ustawienie jakiejkolwiek ikony w innej pozycji powoduje po kilku minutach powrót jej na lewą stronę ekranu. Takie same efekty daje restart systemu. Nie chciałbym, żeby tak było

 

W załączeniu plik OTL i Extras

 

Proszę o pomoc i z góry dziękuję

OTL.Txt

Extras.Txt

Edytowane 17 Listopada 2012 przez picasso
Temat połączony z poprzednim.

[picasso]

Obowiązkowym logiem jest również GMER. Ten fałszywy program Live Security Platinum to ledwie połowa zadania tutaj, chodzi w parze z trojanem ZeroAccess, który jest właściwą przyczyną niemożności ruszania ikon. Są widoczne foldery tego trojana (w GMER byłby widzialny ukryty moduł):

 

[2011-01-26 19:47:18 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\z00269rd\Local Settings\Application Data\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}\@
[2011-01-26 19:47:18 | 000,002,048 | -H-- | C] () -- C:\WINNT\Installer\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}\@

 

Podaj dodatkowy skan na punkty ładowania ZeroAccess. Uruchom SystemLook, do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

 

 

.

[sawel]

Wykonałem też GMER, co prawda pojawił sie komunikat (jak w załączeniu JPG) ale kliknąłem OK i poszło dalej:

dołączam

GMER i GMER podstawowy (bez SZUKAJ)

i raport z SYSTEMLOOK

SystemLook.txt

GMER1.txt

GMER podstawowy.txt

[picasso]

Jest tu wariant ZeroAccess ładowany techniką klas. Poza tym sawel, w GMER jest to:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text           iaStor.sys           B9D7B74C 1 Byte  [CC] {INT 3 }
 
---- Threads - GMER 1.0.15 ----
 
Thread          System [4:164]       88A510F4

 

Mamy nieskończoną sprawę z czymś co wygląda jak rootkit Rloader. Nie zgłosiłeś się wtedy, a to nie może pozostać nierozwiązane. Możliwe wycieki haseł i inne naruszenia prywatności.

 

 

---

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINNT\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\WINNT\Installer\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}
"C:\Documents and Settings\z00269rd\Local Settings\Application Data\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}"
"C:\Documents and Settings\z00269rd\Start Menu\Programs\Live Security Platinum"
 
DeleteFile:
"C:\Documents and Settings\z00269rd\winlogon_17c4.VIR"
"C:\Documents and Settings\z00269rd\uidsave.dat"
 
Execute: 
C:\fix.bat

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi oraz SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:folderfind
{54f6e7f6-26ad-329d-3d66-862fba7c2c62}

 

Poza tym, proszę o zaległe dane:

 

1. Wygeneruj log z aswMBR, być może wychwyci "suspicious file".

 

2. Przejdź w Tryb awaryjny Windows. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\WINNT\system32\drivers\*.* /md5

 

Klik w Skanuj i przedstaw log wynikowy.

 

 

 

.

[sawel]

niestety pojawia się błąd (załącznik)

[picasso]

Zastartuj do Trybu awaryjnego i ponów próbę. Poza tym, jest całkiem możliwe, że te błędy GMER i BlitzBlank to jest wynik tego co widać w GMER. Jestem przekonana, że działa tu rootkit (i on jest mocniejszą infekcją niż właśnie tu obrabiany ZeroAccess), a diagnostyka tego jest utrudniona ze względu na niemożność zbootowania do środowiska zewnętrznego.

[sawel]

Nie jest dobrze, niestety nie moge kliknąć "Execute now" ponieważ w rozdzielczości 640x480 nie widać tego dolnego paska i niestety nie da się tego ekranu przesunąć w górę bo automatycznie wraca, i brakuje dosłownie kilku milimetrów

[picasso]

Uruchom HitmanPro. On powinien się zająć tym wariantem ZeroAccess, a resztę odpadków dokasuję potem ręcznie. Gdy ukończysz w nim usuwanie, zresetuj system, pokaż co robił HimanPro i podaj mi wszystkie materiały, o które proszę w punkcie 3 poprzedniej instrukcji.

[sawel]

w załączeniu pliki o które prosiłaś

SystemLook.txt

aswMBR.txt

FSS.txt

OTL2.Txt

[picasso]

HitmanPro tego nie widzi, trzeba będzie zmienić metodę usuwania. Niemniej równolegle należy wyeliminować infekcję nie wyleczoną wcześniej, mocniejszego rootkita = przy nim widziany tu wariant ZeroAccess to jest słabeusz techniczny, bo te dwie infekcje działają na innych poziomach (Rloader to wyższy tryb kernel, ZeroAccess to tryb user mode). Rootkit na pewno przeszkadza i blokuje prawidłowe działanie innych narzędzi. Log z aswMBR potwierdza moją diagnozę, ten sterownik jest zablokowany:

 

02:17:10.109 Service ACPI C:\WINNT\system32\DRIVERS\ACPI.sys **LOCKED** 32

 

A to jest sterownik, który atakuje rootkit Rloader, dlatego są w GMER te hooki na sterowniku Intel kontrolera dysku. Trzeba będzie sterownik acpi.sys wymienić. Widzę tu duże trudności ze względu na niemożność wejścia w środowisko zewnętrzne ("komp służbowy z zablokowanym dostępem do DOS"), a BlitzBlank zdolny wymieniać ten rodzaj plików nie działa. Próbujmy z tej strony:

 

1. Czysty plik acpi.sys wyekstraktowany z pakietu SP3 dla XP: KLIK. Plik w paczce ma zmienioną nazwę na test.sys. Plik połóż bezpośrednio na C:\.

 

2. Wejdź w Tryb awaryjny i uruchom Avenger. W oknie wklej:

 

Files to move:
C:\test.sys | C:\WINNT\system32\drivers\acpi.sys
 
Folders to delete:
C:\WINNT\Installer\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}
C:\Documents and Settings\z00269rd\Local Settings\Application Data\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}
C:\Documents and Settings\z00269rd\Start Menu\Programs\Live Security Platinum

 

Klik w Execute i zatwierdź restart komputera. Po restarcie zgłosi się log z Avenger.

 

3. Uruchom przez dwuklik przygotowany wcześniej plik C:\FIX.BAT i zresetuj system.

 

4. Wygeneruj nowe logi z GMER, aswMBR oraz SystemLook na te same warunki co poprzednio;

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:folderfind
{54f6e7f6-26ad-329d-3d66-862fba7c2c62}

 

Dołącz log wygenerowany przez Avenger.

 

 

 

.

[sawel]

Załączam kolejne raporty

GMER2.txt

aswMBR2.txt

avenger.txt

SystemLook.txt

[picasso]

Trojan ZeroAccess został pomyślnie usunięty. Niestety, jak podejrzewałam, mamy problem ze sterownikiem acpi.sys, a zostawić tego tak nie możemy. Avenger nie podołał temu = "Odmowa dostępu". Tu może się okazać awykonalne rozwiązanie sprawy bez środowiska zewnętrznego. TDSSKiller nic nie widział wcześniej (a spróbuj jeszcze raz pobrać nową wersję i zweryfikować czy nic się nie zmieniło od tego czasu), BlitzBlank nie działa, Avenger nie umie, brakuje narzędzi niskopoziomowych zdolnych wykonać podmianę sterownika tego rodzaju. ComboFixa nie ruszam, bo nie wydaje mi się, by on tu pomógł. Wrócę do tego: "komp służbowy z zablokowanym dostępem do DOS". W jaki sposób jest zablokowany rozruch z CD-ROMu: brak napędu, hasłowany BIOS w którym Boot Sequence ustawiono na boot dysku twardego? Czy ten komputer jest zdolny zbootować z nośnika USB?

 

 

 

.

[sawel]

TDSSKiller nic nie wykrył, co do dostępu do BIOS, to jest on w jakiś sposób zablokowany. Po po kilku sek po włączeniu kompa pierwszy pojawiający się ekran prosi o hasło do komputera, po wpisaniu hasła rozpoczyna się od razu ładowanie Windows. Brak klasycznego ekranu testowania pamięci kart itd

 

plusem jest to, że ikony już się na pulpicie nie przemieszczają do lewej krawędzi po kliknięciu "Odśwież"

[picasso]

plusem jest to, że ikony już się na pulpicie nie przemieszczają do lewej krawędzi po kliknięciu "Odśwież"

 

O tym wiem. Usunięcie ZeroAccess jest równoznaczne z likwidacją defektu rozmieszczania.

 

 

co do dostępu do BIOS, to jest on w jakiś sposób zablokowany. Po po kilku sek po włączeniu kompa pierwszy pojawiający się ekran prosi o hasło do komputera, po wpisaniu hasła rozpoczyna się od razu ładowanie Windows. Brak klasycznego ekranu testowania pamięci kart itd

 

Co to za model Fujitsu? Czy w trakcie tych kilku sekund początkowych nie da się wywołać jakiegoś klawisza funkcyjnego? Jak w takim razie jest przewidziane np. formatowanie / reinstalacja systemu? Na czym polega "służbowość" kompa, czy zajmuje się nim jakiś informatyk, który dysponuje master hasłem BIOS Lock? Czy jest możliwe wymontowanie dysku twardego i podpięcie tymczasowo pod inny komp w celu wykonania zamiany rzeczonego pliku?

 

 

 

.

[sawel]

Lifebook S710. Dziś lub w poniedziałek oddam go firmowego IT.

Mógłbym prosić jeszcze o przejrzenie plików?

OTL.Txt

Extras.Txt

GMER3.txt

[picasso]

W GMER bez zmian, ale to oczywiste, bo nie zaszły żadne zmiany na tym poziomie. W logu z OTL natomiast już nie widać nic szkodliwego, poza drobnymi odpadkami. Wykonaj wstępne czyszczenie finalizujące:

 

1. Przez SHIFT+DEL skasuj te dwa pliki z dysku:

 

C:\Documents and Settings\z00269rd\winlogon_17c4.VIR

C:\Documents and Settings\z00269rd\uidsave.dat

 

2. W OTL uruchom Sprzątanie, które usunie też z dysku Avenger wraz z kwarantanną.

 

3. Wyczyść lokalizacje tymczasowe: TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

Niemniej sprawa z rootkitem jest tu jeszcze nie rozwiązana:

 

 

Lifebook S710. Dziś lub w poniedziałek oddam go firmowego IT.

 

Tylko specyzuj im dokładnie o co tu chodzi, by nie zeszła sprawa na manowce. Ma zostać podmieniony czystą kopią plik C:\Winnt\system32\drivers\acpi.sys, podmiana wykonana z poziomu środowiska zewnętrznego. Gdy otrzymasz komputer z powrotem, zgłoś się tu z nowym zestawem logów z GMER, w celu weryfikacji poprawności wykonanych działań.

 

 

 

.

[sawel]

Witam

 

uruchamiając przeglądarkę i mając google jako stronę startową nie otwierają się.

Jak juz się otworzą to (za którymś razem) to co prawda wpisując wyraz w polu wyszukiwania daje propozycje autouzupełnienia, ale po kliknięciu ENTER nic się nie dzieje. "Szukaj w google" też nie działa. Jedyne co działa to "szczęśliwy traf" ale jak sama nazwa wskazuje zwukle otwiera się strona o którą nie chodzi.

Dodatkowo czasem w jakimkolwiek oknie: czy jest to wp,onet lub inne. pokazuje się w lewym dolnym rogu okienko, które mówi o blokowaniu URL strony xxx.find-allyouneed.com/ext.html (oczywiście zamiast xxx powinno być www).

Nie wiem z czego to wynika. Dołączam OTL, oraz GMER. Z góry dziękuję za pomoc

OTL.Txt

GMER.txt

Edytowane 17 Listopada 2012 przez picasso
Temat połączony z poprzednim. //picasso