Skocz do zawartości

Problemy z Google, przekierowaniami i infekcjami


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

sawel, proszę przeczytaj zasady działu: KLIK. Tu nie wolno się dopisywać do cudzych tematów. Zestaw raportów niepełny. Tylko połowa OTL, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Brak obowiązkowego raportu z GMER.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\Run: [k6wwu1uswwwb] C:\DOCUME~1\z00269rd\LOCALS~1\Temp\97745171.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Realtek = C:\Documents and Settings\z00269rd\Application Data\A9DE86.exe
[2012-03-22 10:46:57 | 000,122,880 | RHS- | C] () -- C:\WINNT\System32\msacm32Z.dll
[2012-03-22 10:46:57 | 000,000,304 | ---- | C] () -- C:\WINNT\tasks\Vuilpbu.job
[2011-01-26 19:46:20 | 000,049,861 | -HS- | C] () -- C:\Documents and Settings\z00269rd\Application Data\A9DE86_3ec.VIR
[2012-04-29 20:00:05 | 000,000,002 | -HS- | M] () -- C:\Documents and Settings\z00269rd\RECYCLER
[2012-04-29 19:58:51 | 000,000,002 | ---- | M] () -- C:\Documents and Settings\z00269rd\ntuser.ok
[2012-03-05 23:50:36 | 000,028,287 | ---- | M] () -- C:\WINNT\System32\crrss_17e4.VIR
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL z opcji Skanuj (przypominam o Extras) i zaległy GMER. Dodaj log z wynikami usuwania powstały w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Nie dodałeś wprawdzie raportu z wynikami usuwania w OTL, ale w sumie nie jest mi to już potrzebne. Najnowsze dane oznajmiają pomyślne wykonanie zadań, acz te dwa obiekty zostały zregenerowane:

 

[2012-05-02 17:39:28 | 000,000,002 | -HS- | C] () -- C:\Documents and Settings\z00269rd\RECYCLER

[2012-05-02 17:31:55 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\z00269rd\ntuser.ok

 

Ukryty katalog RECYCLER (nazwa właściwa katalogowi Kosza leżącego w root partycji NTFS) w tej lokalizacji to niezdrowy syndrom. W ścieżce konta nie powinno być po prostu katalogu RECYCLER... Na razie to zostawiam, gdyż jest tu poważniejsza infekcja niż dotychczas zdiagnozowane składniki. Log z GMER był bardzo istotny. Wykazuje on obecność rootkita Rloader:

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text iaStor.sys B9D7B74C 1 Byte [CC] {INT 3 }

 

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:660] 8885F0F4

 

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. Zresetuj system.

 

2. Przedstaw raport wygenerowany przez TDSSKiller z usuwania (znajdziesz go na partycji systemowej) + nowy log z GMER zrobiony już na końcu.

 

 

 

.

Odnośnik do komentarza
  • 3 tygodnie później...

To utrudnia sprawę. Moim zdaniem jest tu rootkit, log z GMER jest bardzo podejrzany i ma linie charakterystyczne dla ingerencji RLoader, ale diagnostyka naruszenia sterownika systemowego jest niewiarygodna w tym momencie spod działającego systemu. Rootkit uniemożliwia pobranie prawidłowej sumy kontrolnej md5. Dlatego potrzebowałam źródła bootującego pobierającego dane z zewnątrz gdy nie działa system operacyjny. No cóż, spróbujmy spod Windows, choć szczerze wątpię w uzyskanie klarownej odpowiedzi:

 

1. Wygeneruj log z aswMBR, być może wychwyci "suspicious file".

 

2. Przejdź w Tryb awaryjny Windows. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\WINNT\system32\drivers\*.* /md5

 

Klik w Skanuj i przedstaw log wynikowy.

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...

Witam

 

Zwracam się z prośbą o pomoc w rozwiązaniu problemu.

 

System WinXP Professional, laptop Fujitsu Siemens S710

 

Wczoraj nagle pojawiło się okno Live Security Platinum. Kiedyś miałem już taki przypadek, dodatkowo teraz żadne pliki EXE się nie uruchamiały włącznie z regedit, ale jednak usunąłem zapisy w rejestrze jak poniżej używając programu Process Killer:

Ręczne usunięcie wirusa Platinum zabezpieczeń na żywo:

 

Platinum zabezpieczeń plików do usunięcia na żywo:

%Desktopdir%Live zabezpieczeń Platinum.lnk

%Programs%Live zabezpieczeń PlatinumLive zabezpieczeń Platinum.lnk

%AppData% [random]\[przypadkowy].exe

Żywego wirusa Platinum zabezpieczeń wpisy rejestru do usunięcia:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce[random] %AppData% [random]\[przypadkowy].exe

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń platyna

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń PlatinumDisplayIcon %AppData%[random]\[przypadkowy].exe,0

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive PlatinumDisplayName zabezpieczeń na żywo zabezpieczeń platyna

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń PlatinumShortcutPath "%AppData% [random]\[przypadkowy].exe" -Państwo

HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLive zabezpieczeń PlatinumUninstallString "%AppData% [random]\[przypadkowy].exe" -Państwo

 

i wydawało mi się że sprawa została załatwiona.

 

Dzisiaj się okazało że kliknięcie na pulpicie funkcji ODŚWIEŹ, spowodowało Autorozmieszczenie wszystkich ustawionych przeze mnie ikon po lewej stronie ekranu (dodam że opcja autorozmieszczanie jest wyłączona). każde ustawienie jakiejkolwiek ikony w innej pozycji powoduje po kilku minutach powrót jej na lewą stronę ekranu. Takie same efekty daje restart systemu. Nie chciałbym, żeby tak było :) :(

 

W załączeniu plik OTL i Extras

 

Proszę o pomoc i z góry dziękuję

OTL.Txt

Extras.Txt

Edytowane przez picasso
Temat połączony z poprzednim.
Odnośnik do komentarza

Obowiązkowym logiem jest również GMER. Ten fałszywy program Live Security Platinum to ledwie połowa zadania tutaj, chodzi w parze z trojanem ZeroAccess, który jest właściwą przyczyną niemożności ruszania ikon. Są widoczne foldery tego trojana (w GMER byłby widzialny ukryty moduł):

 

[2011-01-26 19:47:18 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\z00269rd\Local Settings\Application Data\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}\@

[2011-01-26 19:47:18 | 000,002,048 | -H-- | C] () -- C:\WINNT\Installer\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}\@

 

Podaj dodatkowy skan na punkty ładowania ZeroAccess. Uruchom SystemLook, do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

 

 

.

Odnośnik do komentarza

Jest tu wariant ZeroAccess ładowany techniką klas. Poza tym sawel, w GMER jest to:

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text iaStor.sys B9D7B74C 1 Byte [CC] {INT 3 }

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:164] 88A510F4

 

Mamy nieskończoną sprawę z czymś co wygląda jak rootkit Rloader. Nie zgłosiłeś się wtedy, a to nie może pozostać nierozwiązane. Możliwe wycieki haseł i inne naruszenia prywatności.

 

 


1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINNT\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\WINNT\Installer\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}

"C:\Documents and Settings\z00269rd\Local Settings\Application Data\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}"

"C:\Documents and Settings\z00269rd\Start Menu\Programs\Live Security Platinum"

 

DeleteFile:

"C:\Documents and Settings\z00269rd\winlogon_17c4.VIR"

"C:\Documents and Settings\z00269rd\uidsave.dat"

 

Execute:

C:\fix.bat

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi oraz SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

:folderfind

{54f6e7f6-26ad-329d-3d66-862fba7c2c62}

 

Poza tym, proszę o zaległe dane:

 

1. Wygeneruj log z aswMBR, być może wychwyci "suspicious file".

 

2. Przejdź w Tryb awaryjny Windows. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\WINNT\system32\drivers\*.* /md5

 

Klik w Skanuj i przedstaw log wynikowy.

 

 

 

.

Odnośnik do komentarza

Zastartuj do Trybu awaryjnego i ponów próbę. Poza tym, jest całkiem możliwe, że te błędy GMER i BlitzBlank to jest wynik tego co widać w GMER. Jestem przekonana, że działa tu rootkit (i on jest mocniejszą infekcją niż właśnie tu obrabiany ZeroAccess), a diagnostyka tego jest utrudniona ze względu na niemożność zbootowania do środowiska zewnętrznego.

Odnośnik do komentarza

HitmanPro tego nie widzi, trzeba będzie zmienić metodę usuwania. Niemniej równolegle należy wyeliminować infekcję nie wyleczoną wcześniej, mocniejszego rootkita = przy nim widziany tu wariant ZeroAccess to jest słabeusz techniczny, bo te dwie infekcje działają na innych poziomach (Rloader to wyższy tryb kernel, ZeroAccess to tryb user mode). Rootkit na pewno przeszkadza i blokuje prawidłowe działanie innych narzędzi. Log z aswMBR potwierdza moją diagnozę, ten sterownik jest zablokowany:

 

02:17:10.109 Service ACPI C:\WINNT\system32\DRIVERS\ACPI.sys **LOCKED** 32

 

A to jest sterownik, który atakuje rootkit Rloader, dlatego są w GMER te hooki na sterowniku Intel kontrolera dysku. Trzeba będzie sterownik acpi.sys wymienić. Widzę tu duże trudności ze względu na niemożność wejścia w środowisko zewnętrzne ("komp służbowy z zablokowanym dostępem do DOS"), a BlitzBlank zdolny wymieniać ten rodzaj plików nie działa. Próbujmy z tej strony:

 

1. Czysty plik acpi.sys wyekstraktowany z pakietu SP3 dla XP: KLIK. Plik w paczce ma zmienioną nazwę na test.sys. Plik połóż bezpośrednio na C:\.

 

2. Wejdź w Tryb awaryjny i uruchom Avenger. W oknie wklej:

 

Files to move:
C:\test.sys | C:\WINNT\system32\drivers\acpi.sys
 
Folders to delete:
C:\WINNT\Installer\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}
C:\Documents and Settings\z00269rd\Local Settings\Application Data\{54f6e7f6-26ad-329d-3d66-862fba7c2c62}
C:\Documents and Settings\z00269rd\Start Menu\Programs\Live Security Platinum

 

Klik w Execute i zatwierdź restart komputera. Po restarcie zgłosi się log z Avenger.

 

3. Uruchom przez dwuklik przygotowany wcześniej plik C:\FIX.BAT i zresetuj system.

 

4. Wygeneruj nowe logi z GMER, aswMBR oraz SystemLook na te same warunki co poprzednio;

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

:folderfind

{54f6e7f6-26ad-329d-3d66-862fba7c2c62}

 

Dołącz log wygenerowany przez Avenger.

 

 

 

.

Odnośnik do komentarza

Trojan ZeroAccess został pomyślnie usunięty. Niestety, jak podejrzewałam, mamy problem ze sterownikiem acpi.sys, a zostawić tego tak nie możemy. Avenger nie podołał temu = "Odmowa dostępu". Tu może się okazać awykonalne rozwiązanie sprawy bez środowiska zewnętrznego. TDSSKiller nic nie widział wcześniej (a spróbuj jeszcze raz pobrać nową wersję i zweryfikować czy nic się nie zmieniło od tego czasu), BlitzBlank nie działa, Avenger nie umie, brakuje narzędzi niskopoziomowych zdolnych wykonać podmianę sterownika tego rodzaju. ComboFixa nie ruszam, bo nie wydaje mi się, by on tu pomógł. Wrócę do tego: "komp służbowy z zablokowanym dostępem do DOS". W jaki sposób jest zablokowany rozruch z CD-ROMu: brak napędu, hasłowany BIOS w którym Boot Sequence ustawiono na boot dysku twardego? Czy ten komputer jest zdolny zbootować z nośnika USB?

 

 

 

.

Odnośnik do komentarza

TDSSKiller nic nie wykrył, co do dostępu do BIOS, to jest on w jakiś sposób zablokowany. Po po kilku sek po włączeniu kompa pierwszy pojawiający się ekran prosi o hasło do komputera, po wpisaniu hasła rozpoczyna się od razu ładowanie Windows. Brak klasycznego ekranu testowania pamięci kart itd

 

plusem jest to, że ikony już się na pulpicie nie przemieszczają do lewej krawędzi po kliknięciu "Odśwież"

Odnośnik do komentarza
plusem jest to, że ikony już się na pulpicie nie przemieszczają do lewej krawędzi po kliknięciu "Odśwież"

 

O tym wiem. Usunięcie ZeroAccess jest równoznaczne z likwidacją defektu rozmieszczania.

 

 

co do dostępu do BIOS, to jest on w jakiś sposób zablokowany. Po po kilku sek po włączeniu kompa pierwszy pojawiający się ekran prosi o hasło do komputera, po wpisaniu hasła rozpoczyna się od razu ładowanie Windows. Brak klasycznego ekranu testowania pamięci kart itd

 

Co to za model Fujitsu? Czy w trakcie tych kilku sekund początkowych nie da się wywołać jakiegoś klawisza funkcyjnego? Jak w takim razie jest przewidziane np. formatowanie / reinstalacja systemu? Na czym polega "służbowość" kompa, czy zajmuje się nim jakiś informatyk, który dysponuje master hasłem BIOS Lock? Czy jest możliwe wymontowanie dysku twardego i podpięcie tymczasowo pod inny komp w celu wykonania zamiany rzeczonego pliku?

 

 

 

.

Odnośnik do komentarza

W GMER bez zmian, ale to oczywiste, bo nie zaszły żadne zmiany na tym poziomie. W logu z OTL natomiast już nie widać nic szkodliwego, poza drobnymi odpadkami. Wykonaj wstępne czyszczenie finalizujące:

 

1. Przez SHIFT+DEL skasuj te dwa pliki z dysku:

 

C:\Documents and Settings\z00269rd\winlogon_17c4.VIR

C:\Documents and Settings\z00269rd\uidsave.dat

 

2. W OTL uruchom Sprzątanie, które usunie też z dysku Avenger wraz z kwarantanną.

 

3. Wyczyść lokalizacje tymczasowe: TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

Niemniej sprawa z rootkitem jest tu jeszcze nie rozwiązana:

 

 

Lifebook S710. Dziś lub w poniedziałek oddam go firmowego IT.

 

Tylko specyzuj im dokładnie o co tu chodzi, by nie zeszła sprawa na manowce. Ma zostać podmieniony czystą kopią plik C:\Winnt\system32\drivers\acpi.sys, podmiana wykonana z poziomu środowiska zewnętrznego. Gdy otrzymasz komputer z powrotem, zgłoś się tu z nowym zestawem logów z GMER, w celu weryfikacji poprawności wykonanych działań.

 

 

 

.

Odnośnik do komentarza
  • 3 miesiące temu...

Witam

 

uruchamiając przeglądarkę i mając google jako stronę startową nie otwierają się.

Jak juz się otworzą to (za którymś razem) to co prawda wpisując wyraz w polu wyszukiwania daje propozycje autouzupełnienia, ale po kliknięciu ENTER nic się nie dzieje. "Szukaj w google" też nie działa. Jedyne co działa to "szczęśliwy traf" ale jak sama nazwa wskazuje zwukle otwiera się strona o którą nie chodzi.

Dodatkowo czasem w jakimkolwiek oknie: czy jest to wp,onet lub inne. pokazuje się w lewym dolnym rogu okienko, które mówi o blokowaniu URL strony xxx.find-allyouneed.com/ext.html (oczywiście zamiast xxx powinno być www).

Nie wiem z czego to wynika. Dołączam OTL, oraz GMER. Z góry dziękuję za pomoc

OTL.Txt

GMER.txt

Edytowane przez picasso
Temat połączony z poprzednim. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...