lobotomia Opublikowano 29 Maja 2012 Zgłoś Udostępnij Opublikowano 29 Maja 2012 Mój komputer został zainfekowany Win32/ServStart.AD + jakimś nieznanym trojanem. Co kilka godzin pojawiają mi się nowe konta użytkowników zabezpieczone hasłem. Wydaje mi się, że kiedy komputer jest odłączony od sieci sytuacja się uspokaja. Czyściłem komputer comodo, następnie trialem nod32 zaryzykowałem nawet użycie combofixa zdawało się że już jest czystko a następnego dnia znowu to samo. Nie mam pojęcia jak się tego pozbyć. pozdrawiam Extras.Txt OTL.Txt gmer.log.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2012 Zgłoś Udostępnij Opublikowano 29 Maja 2012 Póki co, w logu z OTL nie widzę czynnych elementów startowych, jedynie luźno porozrzucane pliki / foldery zdające się być obiektami "obcymi". Proszę pokaż dokładny wyciąg ze skanera, gdzie był odnotowany ów Win32/ServStart.AD, w jakiej ścieżce dostępu. Skoro skanowałeś ComboFix, jest istotnym pokazać z niego log. Log z GMER zrobiony w złym środowisku, działa emulacja napędów wirtualnych (Alcohol + sterownik SPTD): KLIK. DRV - File not found [Kernel | On_Demand | Unknown] -- -- (avnzl79s)DRV - [2011-10-03 09:24:52 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWSH\system32\drivers\sptd.sys -- (sptd)SRV - [2009-12-23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto | Running] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) Druga sprawa: widzę w Twoich zainstalowanych bogatą listę aplikacji, które (w stanie niezałatanym, a niektóre pozycje bardzo stare) mogą być furtką do tego co się dzieje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{19816ED4-7B1E-4463-AEB4-4ADBBC811225}" = Microsoft SQL Server Compact 4.0 PLK"{2750B389-A2D2-4953-99CA-27C1F2A8E6FD}" = Microsoft SQL Server 2005 Tools Express Edition"{2AFFFDD7-ED85-4A90-8C52-5DA9EBDC9B8F}" = Microsoft SQL Server 2005 Express Edition (PRNWATCH)"{3A8967DE-4FF3-66C1-0805-2E4340D477FC}" = SQL Anywhere 11"{4AB6A079-178B-4144-B21F-4D1AE71666A2}" = Microsoft SQL Server 2008 R2 Native Client"{534C28F1-05CE-4753-BE61-785BDBFB50CD}" = MySQL Server 4.1"{53F5C3EE-05ED-4830-994B-50B2F0D50FCE}" = Microsoft SQL Server Setup Support Files (English)"{5AEE236C-0100-464B-BD2E-883AA70A5D73}" = IBM Data Server Runtime Client - DB2COPY1"{6868B3BD-0642-442C-A542-28716AA6DD2D}" = Microsoft ODBC .NET Data Provider"{689404D2-1C94-44B3-9203-BEC5594FDA7A}" = Microsoft SQL Server Desktop Engine (MAGICEYE)"{72DE3C67-FB48-450E-8BEA-4EB1B3B5355D}" = Microsoft SQL Server 2008 R2 Setup (English)"{7670D32F-DAE6-4E49-8C8B-B3F08B5B1686}" = Microsoft SQL Server Native Client"{A4512736-8D63-4298-9271-5329931FA46B}" = Microsoft SQL Server Management Studio Express"{A47FD1BF-A815-4A76-BE65-53A15BD5D25D}" = Microsoft SQL Server System CLR Types"{B692E59A-055C-43B7-BE0A-9C2FE0AB88B6}" = Microsoft SQL Server 2008 R2 Management Objects"{B823632F-3B72-4514-8861-B961CE263224}" = PostgreSQL 8.3"{C54C7C1F-4015-4217-8F16-8CF993C59793}" = MySQL Server 5.1"{D437D8CD-05E1-471D-BB29-56BF62E4A35D}" = Microsoft SQL Server Compact 4.0 Web Tools PLK"{E09B48B5-E141-427A-AB0C-D3605127224A}" = Microsoft SQL Server Desktop Engine"{E7084B89-69E0-46B3-A118-8F99D06988CD}" = Microsoft SQL Server VSS Writer"FBDBServer_2_0_is1" = Firebird 2.0.1"CesarFTP 0.99g_is1" = CesarFTP 0.99g"FileZilla Client" = FileZilla Client 3.4.0"FileZilla Server" = FileZilla Server (remove only)"Microsoft SQL Server 2005" = Microsoft SQL Server 2005"WebServer" = Web Server (remove only) 1. Rozpocznij od aktualizacji całego oprogramowania SQL / FTP / VPN, i wymiany wszystkich haseł (rób to będąc odciętym od sieci). Podaję podstawowe linki: - Service Pack dla Microsoft SQL Server 2005: KB913089 - Service Pack dla Microsoft SQL Server 2008 + SQL Server 2008 R2: KB968382 / KB2527041 - Do aktualizacji / wymiany najnowszymi wersjami pozostałe: MySQL Server, zestaw FileZilla, CesarFTP do wywalenia (nie ma aktualizacji). 2. Wstępne czyszczenie tego co widzę aktualnie (podejrzane obiekty + wpisy "not found" + rekonfig ścieżki Automatycznych aktualizacji naruszonej przez ComboFix). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh firewall reset /C C:\zysys.exe C:\shsys.exe C:\xpsys.exe C:\WINDOWSH\System32\shsys.exe C:\WINDOWSH\System32\xpsys.exe C:\WINDOWSH\System32\6.exe C:\WINDOWSH\System32\5.exe C:\WINDOWSH\System32\onfq.dat C:\WINDOWSH\System32\SysS.xml C:\WINDOWSH\System32\windows321.sys C:\WINDOWSH\System32\mcsql.vbs C:\WINDOWSH\System32\Lonely.sys C:\WINDOWSH\System32\gaibian.inf C:\WINDOWSH\System32\5DF63F42.key C:\WINDOWSH\System32\Default C:\WINDOWSH\System32\gouri.bat C:\WINDOWSH\System32\sb.dat C:\WINDOWSH\System32\ISQL C:\WINDOWSH\tt C:\WINDOWSH\kk C:\WINDOWSH\bb C:\WINDOWSH\5DF63F42 :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWSH\system32\2.exe -- (RemoteStorage) SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\Piotr\USTAWI~1\Temp\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Immunet Protect\tetra\scan.dll -- (scan) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWSH\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\slabser.sys -- (slabser) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\slabbus.sys -- (slabbus) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\LogMeIn\x86\RaInfo.sys -- (LMIInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\DU Meter\DUM_XP32.SYS -- (DUMeterDrv) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWSH\system32\Drivers\DgiVecp.sys -- (DgiVecp) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cv2k1.sys -- (CV2K1) FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):"C:\WINDOWSH\system32\wuauserv.dll" :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Zgłaszasz się z: nowymi logami OTL z opcji Skanuj (by powstał Extras po raz drugi, należy przestawić "Rejestr - skan dodatkowy" na "Użyj filtrowania"), poprawionym GMER oraz logiem z usuwania z punktu 2. . Odnośnik do komentarza
lobotomia Opublikowano 4 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2012 Przepraszam że tak późno odpisuję ale strasznie zawalony byłem robotą. Zrobiłem czystki z bazami danych i softem sieciowym. Zniknęły już problemy z zakladającymi się kontami użytkowaników. Antywirus praktycznie już nie pluje wykrytymi wirusami. Mam nadzieję że już bedzie ok. pozdrawiam gmer2.txt ComboFix.txt Extras2.Txt OTL2.Txt z otl 05302012_095448.txt Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2012 Zgłoś Udostępnij Opublikowano 4 Czerwca 2012 Sprawa zdaje się być pomyślnie rozwiązana, aczkolwiek widzę jeszcze dziwne obiekty w katalogu Windows. 1. Poprawka na w/w + drobne odpadki "not found". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWSH\XXXXXX1363296C C:\WINDOWSH\iusuihjcuh C:\WINDOWSH\System32\onf360QA.dat C:\WINDOWSH\System32\1363296C.key C:\WINDOWSH\System32\1363296C C:\WINDOWSH\System32\c.exe :OTL SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users.WINDOWSH\Application Data\Storm\update\%SESSIONNAME%\msxbu.cc3 -- (RemoteAccess) SRV - File not found [Disabled | Stopped] -- C:\Documents and Settings\All Users.WINDOWSH\Dane aplikacji\DatacardService\HWDeviceService.exe -- (HWDeviceService.exe) IE - HKCU\..\SearchScopes\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}: "URL" = "http://search.burn4free-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field" FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll File not found FF - HKCU\Software\MozillaPlugins\@lightspark.github.com/Lightspark;version=1: C:\Program Files\Lightspark 0.5.3-git\nplightsparkplugin.dll File not found :Commands [emptytemp] Klik w Wykonaj skrypt 2. Przedstaw log z wynikami usuwania + nowy (mam nadzieję, że ostatni) log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
lobotomia Opublikowano 5 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2012 2. Przedstaw log z wynikami usuwania + nowy (mam nadzieję, że ostatni) log OTL z opcji Skanuj (już bez Extras). Przesyłam logi. OTL3.Txt z otl3 06052012_091625.txt Odnośnik do komentarza
picasso Opublikowano 6 Czerwca 2012 Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 W porządku. Ukończenie działań: 1. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej polecenie: "C:\Documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall Po tym w OTL uruchom Sprzątanie usuwające kwarantannę i OTL. 2. Wykonaj inne podstawowe aktualizacje: KLIK. Ponownie próbka z ostatniego wyciągu zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{644CEC11-C3D3-4F8D-A935-74F1EEF38209}" = ESET NOD32 Antivirus"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Odinstaluj: Spybot - Search & Destroy (przestarzały program) + Akamai NetSession Interface (zbędny). 3. Rozważ wymianę antywirusa. Bieżący ESET NOD starawy. . Odnośnik do komentarza
lobotomia Opublikowano 6 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2012 Dziękuję bardzo za fachową pomoc. Zastosuję się do podanych porad. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi