Baku Opublikowano 31 Maja 2012 Zgłoś Udostępnij Opublikowano 31 Maja 2012 Witam, Ostatnio zauważyłem, że podczas otwierania pliku np programem VirtualDub pojawia się dziwne opóźnienie w dostępie do zawartości HDD. w msconfig zauważyłem taki wpis: rundll32.exe "C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\scert.dll",Wiz_Validate Mój firewall odnotował zaś, że proces explorer.exe próbuje łączyć się z siecią na porcie 16471 (nie jestem pewny czy dobrze zapamiętałem numer), ale próbę taką zablokował. Usunąłem go i przystąpiłem do skanowanie Malwarebytes Anti-Malware. Znalazł on następujące wirusy (sorry za zdjęcie nie zapisałem logów): Nie wiem czemu w logach tego nie ma, ale wirus został też znaleziony w: C:\WINDOWS\assembly\GAC\Desktop.ini Po ich wyeliminowaniu i restarcie systemu infekcja nie wróciła. Explorer.exe również nie próbuje już korzystać z internetu Dodatkowo wywaliłem cały ten dziwny folder {2ef9cc36-0e78-cf6a-fd40-070fc7e174a5} w którym był wirus. Był on widoczny jako ukryty. Dodatkowo w msconfig a dokładniej w zakładce win.ini mam coś takiego: Próbowałem to wyłączać, ale wciąż wraca. Sprawdziłem kilka innych komputerów z XP i nic takiego na nich nie ma. Czy to coś niebezpiecznego? Problem po walce z wirusem: Niestety po usunięciu infekcji pojawił się dość osobliwy problem. Nie mogę w żaden sposób zapanować nad ustawieniami wyświetlania folderów. System nie zapamiętuje sposobu w jaki mam ułożone foldery (np. na dysku C według nazw, na D według rozmiarów ipt) ani auto-rozmieszczania. Najbardziej problem ten irytuje na pulpicie. Wystarczy kliknąć odśwież i wszystkie ustawienia są tracone. Postępowałem według tych wskazówek: http://support.microsoft.com/kb/813711 Niestety problem pozostał. Macie może pomysł jak to naprawić? Czy winny jest jakiś wirus czy też coś w systemie się wysypało? Skanowałem system także programami (skanowania pełne): Malwarebytes Anti-Malware 1.60.0.61 (ponownie) Dr.WEB CureIt! 6.00.16.01270 Kaspersky Virus Removal Tool 2011 11.0.0.1245 Spybot Search & Destroy 1.6.2.46 Kaspersky Rescue Disk Kaspersky Antivirus 2010 Nic więcej nie zostało znalezione. Korzystam z Windows XP Professional z SP3, który był nieaktualizowany jakiś czas. Teraz wszystko zaktualizowałem. Na co dzień używam Kaspersky Anti-virus 2010 oraz Sunbelt Personal Firewall 4.6.1861 Bardzo proszę o sprawdzenie logów z OTL oraz Gmer w celu dalszej analizy problemu. Gmer.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2012 Zgłoś Udostępnij Opublikowano 31 Maja 2012 Nie wiem czemu w logach tego nie ma, ale wirus został też znaleziony w:C:\WINDOWS\assembly\GAC\Desktop.ini Dodatkowo wywaliłem cały ten dziwny folder {2ef9cc36-0e78-cf6a-fd40-070fc7e174a5} w którym był wirus. Był on widoczny jako ukryty. Infekcja ZeroAccess. Podjęte tu działania to może być za mało, gdyż nie widzę w skanerach żadnych wyników odpowiadających zapisom w rejestrze korespondującym do usuwanych obiektów. Ponadto, jest pewne, że nie wszystkie manipulacje ZeroAccess zostały wyeliminowane, trojan naruszył Winsock: O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found W związku z tym, że wyniki ze skanerów sugerują ten nowy wariant ZeroAccess atakujący klasy CLSID w rejestrze, a brak oznak usuwania czegokolwiek z rejestru, poproszę o pełną kopię rejestru do wglądu, ręcznie przeszukam. Kopię rejestru zrobisz za pomocą RegBack, wynikowy folder zapakuj do ZIP i shostuj gdzieś przesyłając mi na PW link do paczki. . Odnośnik do komentarza
picasso Opublikowano 31 Maja 2012 Zgłoś Udostępnij Opublikowano 31 Maja 2012 Kopia rejestru otrzymana. Zgodnie z przypuszczeniem, są modyfikacje ZeroAccess, tzn. dodany sfałszowany klucz {42aedc87-2188-41fd-b9a3-0c966feabec1}: [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]"ThreadingModel"="Both"@="C:\\Documents and Settings\\Łukasz\\Ustawienia lokalne\\Dane aplikacji\\{2ef9cc36-0e78-cf6a-fd40-070fc7e174a5}\\n." Oraz kompletny brak klasy systemowej {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]@="C:\\WINDOWS\\system32\\wbem\\wbemess.dll" 1. Skasuj z dysku ten podejrzany ukryty plik: [2012-05-30 17:30:39 | 000,000,132 | -HS- | M] () -- C:\WINDOWS\1617582drv.spi Nie widzę punktu ładowania tego czegoś, brak takiej usługi, są jedynie dopasowane szczątki usługowe w gałęzi Enum oraz numeryczne twory: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1617582DRV HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_32820535 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_34153658 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_54867891 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_76171433 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_80295294 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_89097404 By usunąć te klucze bez babrania się w uprawnieniach, załaduj edytor rejestru na uprawnieniu konta SYSTEM, np. za pomocą Process Hacker. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSaveSettings"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Start > Uruchom > cmd i wpisz polecenie netsh winsock reset, zatwierdź restart komputera. 4. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) i wyraźnie wypowiedz się czy widzisz pożądane zmiany / jakąś poprawę. PS. Plik C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\CloseOK.bat jest OK, Twoja robota? . Odnośnik do komentarza
Baku Opublikowano 31 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2012 Wszystko zrobione według instrukcji. Dołączam nowy log z OTL. CloseOk.bat to moja robota. Takie zabezpieczenie do jednego z programów na wypadek jego nagłego zamknięcia (dodaje wpis do rejestru, który oszukuje program i mówi mu, że zamkniecie było prawidłowe) Ustawienia folderów działają poprawnie! Tak jak pisałem spowolniony odczyt z dysku załatwił Malwarebyte. W tej chwili nie widzę żadnych objawów infekcji. Jednym słowem - rewelacja! Wielkie dzięki za pomoc. Jestem pod ogromnym wrażeniem Twojej wiedzy. Martwi mnie tylko, że żaden antywirus/skaner nic nie wykrył. Czy jest w ogóle sens prewencyjnie przeskanować system jeszcze raz? Jeśli tak to czym? Chciałbym sie na 100% upewnić, że żadne świństwo gdzieś jeszcze nie pozostało. PS. Czy wiesz co to za wpis NetBrowser w win.ini? Nic nie mogę na ten temat znaleźć w sieci. Można go całkiem wywalić? newOTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2012 Zgłoś Udostępnij Opublikowano 31 Maja 2012 Log z OTL poświadcza pomyślny reset Winsock. Zostały wykończenia (z pominięciem czyszczenia Przywracania systemu = wg OTL Extras jest wyłączone), czyli: 1. Czyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner. 2. Drobne aktualizacje: KLIK. Z Twojej listy zainstalowanych (wersji Adobe Playerów nie mogę potwierdzić, sprawdź czy masz najnowsze): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Gadu-Gadu" = Gadu-Gadu 7.7 GG7 też tu zakreślam ze względu na niepożądane cechy: brak pełnej obsługi własnego nowego protokołu + niski poziom bezpieczeństwa (brak szyfrowania połączeń). Jeśli szukasz dobrej alternatywy z dobrą obsługą GG, to proponuję WTW. Opis znajdziesz w moim artykule Darmowe komunikatory. 3. Prewencyjna wymiana haseł logowania w serwisach. 4. Drobna uwaga spoza tematu. W Twoim logu widzę kontrolkę Microsoft Update (szerszy wariant Windows Update): O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1316186180734" (MUWebControl Class) Microsoft Update może powodować dyskoordynację systemową objawioną jako obciążenie svchost.exe od Automatycznych aktualizacji. Gdybyś doświadczył kiedyś czegoś w ten deseń, należy pozbyć się Microsoft Update wg tych kroków: KLIK. Martwi mnie tylko, że żaden antywirus/skaner nic nie wykrył. Czy jest w ogóle sens prewencyjnie przeskanować system jeszcze raz? Jeśli tak to czym? Chciałbym sie na 100% upewnić, że żadne świństwo gdzieś jeszcze nie pozostało. Detekcji CLSID od tego wariantu ZeroAccess nie ma chyba na teraz żaden skaner, skanery ograniczają się do łowienia elementów tworzonych na dysku i na tym koniec zadania. A usunięta klasa systemowa też nie jest w obszarze zainteresowań skanerów, bo to nie jest już "infekcja" lecz modyfikacja systemu na innym poziomie. Sądzę, że już jest w porządku. Dużo skanów prowadziłeś, z małym zgrzytem Spybot Search & Destroy: ten delikwent to stara konstrukcja i mało pomocny przy aktualnych wysmakowanych infekcjach, do deinstalacji. PS. Czy wiesz co to za wpis NetBrowser w win.ini? Nic nie mogę na ten temat znaleźć w sieci. Można go całkiem wywalić? Sprawdziłam na kilku systemach Windows XP i domyślnie w win.ini nic takiego nie ma. I też nie mogę znaleźć żadnej dokumentacji na temat tego wejścia. Ale waham się, by określić to jako szkodliwe... Na Google wyszukałam kilka wklejonych win.ini (niektóre tematy bardzo stare sprzed kilku lat, gdy to się nie śniło o omawianych tu infekcjach), które jednak dysponują tym wejściem [NetBrowser] wyglądającym tak jak u Ciebie. Czy na pewno tego wejścia nie było wcześniej przed infekcją? Prewencyjnie: w msconfig "doptaszkuj" odznaczone wejścia tej sekcji i zatwierdź, otwórz w Notatniku plik C:\Windows\win.ini i wytnij z niego cały blok [NetBrowser]. Jeśli po restarcie systemu wróci to do pliku, jest w systemie coś co tego "wymaga", wydedukowanie tego może nie być proste. . Odnośnik do komentarza
Baku Opublikowano 31 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2012 Kroki 1, 2 i 3 zrobione. Przywracanie systemu mam zawsze wyłączone. Sprawę GG muszę przemyśleć. Zostawiłem sobie na później także Open Office - pojawiły się zupełnie nowe dystrybucje - sprawdzę która najlepsza. Adobe playery aktualizowałem wczoraj. Krok 4 Nie mam w IE takiego dodatku jak MuWebControl Class. Powinienem przejść do dalszych czynności, bo plik MuWebControl Class jest obecny w C:\Windows\Downloaded Program Files Jeśli chodzi o NetBrowser to po odznaczaniu wpisów nie pojawiały się one na nowo po restarcie, ale dopiero po pewnym czasie (zawsze z nowym numerem ClassID). Zrobiłem tak jak radziłaś. Sprawdzę czy coś się zmieniło. Wpis ten na 99% był tam wcześniej, bo kiedyś myślałem nad tym co to za ustrojstwo. Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2012 Zgłoś Udostępnij Opublikowano 1 Czerwca 2012 Nie mam w IE takiego daodatku jak MuWebControl Class. Powinienem przejść do dalszych czynności, bo plik MuWebControl Class jest obecny w C:\Windows\Downloaded Program Files Po prostu przejdź do dalszych punktów. Wpis ten na 99% był tam wcześniej, bo kiedyś myślałem nad tym co to za ustrojstwo. Na chwilę obecną nie jestem w stanie udzielić lepszej odpowiedzi. Z autopsji wpis mi nieznany, na wszystkich moich XP absent. . Odnośnik do komentarza
Baku Opublikowano 1 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2012 (edytowane) Zrobione. Sprawdziłem OTL - kontrolki już nie ma Jeśli uda mi się ustalić skąd pochodzi NetBrowser dam nać (no chyba, że już nie wróci po ostatnich zabiegach) Jeszcze raz bardzo dziękuję za fachowe porady i okazaną pomoc. Gdyby nie Ty niechybnie czekałaby mnie reinstalacja Windowsa. Edytowane 1 Lipca 2012 przez picasso 1.07.2012 - O NetBrowser głucho, temat uznaję za zakończony i zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi