Infekcja Live Security Platinum + ściaganie danych z kompa

[NowyLaik]

1. W komputerze pojawił się (chyba dziś) - jak wynika z informacji w sieci - wirus Live Security Platinum.

 

2. Po za tym, nie wiem czy to jest z nim związane, wygląda na to jakby z kompa ściągane były na maksa dane (pełne obciążenie opcji wysyłanie nawet przy zamkniętych wszystkich programach)

OTL.Txt

[Landuss]

W logach infekcja ZeroAccess i nie tylko. Zacznij od stworzenia dodatkowego raportu - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klik w Skanuj i przedstaw raport.

[NowyLaik]

Oto raport

otl.txt

[Landuss]

Wklejaj logi opcją załączniki a nie do posta. Poprawiam za ciebie po raz kolejny.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}
"C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}"
 
Execute:
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

[NowyLaik]

Oto nowe logi

OTL po cz.txt

[Landuss]

Infekcja wygląda na poprawnie usuniętą. Teraz można się zająć pozostałymi rzeczami.

 

1. Wejdź w panel usuwania programów i odinstaluj sponsoring Mobile Media Converter Toolbar

 

2. Zastosuj narzędzie AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" File not found
O4 - HKU\.DEFAULT..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found
O4 - HKU\S-1-5-18..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found
O4 - HKU\S-1-5-19..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found
O4 - HKU\S-1-5-20..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found
[2012-06-09 11:56:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\529C50A8000432F00009F8EBD151FC84
 
:Services
Lbd
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Masz na dysku wadliwe pliki, których nie da się usunąć tradycyjną drogą:

 

File not found -- C:\Documents and Settings\X\My Documents\4s.

File not found -- C:\Documents and Settings\X\My Documents\Konf.

File not found -- C:\Documents and Settings\X\My Documents\story4s.

File not found -- C:\Documents and Settings\X\My Documents\w sprawie

 

Usuń je za pomocą narzędzia Delete FXP Files. Program jest płatny, ale wersja darmowa pozwala na przeprowadzenie pięciu operacji więc wystarczy.

 

5. Po wykonaniu wszystkiego robisz nowe logi z OTL na ustawieniu tym razem wszystkich opcji na "Uzyj filtrowania" oraz "Pliki młodsze niż 30 dni"

[NowyLaik]

Raporty po wykonaniu powyższego.

 

PS.

Ciekaw jestem czy to zauważone "ssanie" z kompa mogło być dziełem konkretnej osoby, która np. doprowadziła do infekcji właśnie w tym celu, czy też nie miało to związku?

extras end.txt

OTL end.txt

[Landuss]

Wszystko poprawnie wykonane. Możesz przejść do czynności finalnych.

 

1. Usuń z dysku ten folder:

 

[2012-06-09 11:18:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\529C50A8000432F00009F8EBD151FC84

 

2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.1 - Polish

"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

5. W związku z rootkitem zmień hasła logowania do serwisów w sieci.

[NowyLaik]

Wszystko poprawnie wykonane. Możesz przejść do czynności finalnych.

 

Nie wiem czy jest to aktualne, bo program się właśnie "obudził" i uaktywnił, i zaczął "skanować" i blokować.

[Landuss]

To pytanie do Ciebie, czy logi robiłeś z zainfekowanego konta? Logi mają być robione z tego konta na którym jest problem przy tej infekcji.

[NowyLaik]

Oczywiście że tak. Robiłem z komputera zainfekowanego (w opcji wszyscy użytkownicy). A teraz np. jest tam zablokowane USB, nie uruchamiają się programy (niektóre).

Nie jest to chyba nowa infekcja, bo zachowuje się nieco inaczej niż wczoraj. Np.nie wstawiło skrótu na pulpit, nie pojawiło się w nowych programach, ale jest jak wczoraj w pasku i "skanuje"..

[Landuss]

Tak jak mówiłem - logi tego zupełnie nie pokazują. Spróbuj zapuścić skan przez Malwarebytes Anti-Malware

 

Wykonaj tez nowe logi z OTL.

[NowyLaik]

Najpierw zrobić to co teraz zalecasz czy tamto co wcześniej napisałeś?

[Landuss]

No sam sobie odpowiedz - to oczywiste. To co teraz. Masz wykonać nowe logi i przeskanować się przez MBAM.

[NowyLaik]

Blokuje mozliwosc MBM, wyswietla komunikat ze program zainfekowany.

 

Zablokowalo tez mozliwosc uruchomienia OTL.

[Landuss]

Spróbuj z poziomu trybu awaryjnego wykonać te operacje.

[NowyLaik]

To znaczy jak dokladniej? Bo nie wiem

[Landuss]

No nie mów, ze nie wiesz jak wejść w tryb awaryjny Windows. Myślałem, że tego nie trzeba tłumaczyć: KLIK

[NowyLaik]

1. A co zrobić jak program chce aktualizacji bazy wirusów? A we wskazanym trybie jest przecież off line?

 

czy można podłączyć i uzyc trybu z podlaczeniem do siecie?

 

2. Czy mozna probowac "na chama" skasowac ten plik LSP.exe znajdujacy sie pod wskazanym przez Ciebie adresem? Bo moze wtedy w trybie normalnym ruszy jak wczoraj?

 

 

PS. Przy skanowaniu ta zubozona wersja pojawily sie 3 wyniki Trojan.SpyEyes.

Mam je usunac tym programem?

 

W trybie awaryjnym daje sie zaczac OTL, zmienic ustawienia, ale klawisz skanuj nie reaguje.

 

OTL nie daje sie tez zamknac, mozna go tylko przymknac. By zamknac trzeba wylaczyc komputer.

[Landuss]

Nie wiem skąd te wszystkie problemy nawet w awaryjnym. W takim wypadku pozostaje zrobić log ze środowiska zewnętrznego. Tak więc wypal płytkę OTLPE i z jej poziomu wykonaj raporty.

[NowyLaik]

Oto nowe logi. Zrobione w trybie normlanym. Dało się je zrobić po skasowaniu w trybie awaryjnym owego znajdującego się we wskazanm katalogu LSP.exe.

Nie było już zablokadowania uruchamiania programów i nie pojawiał się ów komunikat o wirusie, ale cały czas jest problem, bo przy używaniu notatnika pojawia się komunikat o zagrożeniu i podaje inf.

że Windows zamknie program i wyśle pliki do raportu "notepad.exe.mdmp" i "appcompat.txt".

i następuje zamknięcie

Extras.Txt

OTL.Txt

Edytowane 11 Czerwca 2012 przez picasso
Logi przeniesione do Załączników. //picasso

[Landuss]

W najnowszych logach ZeroAccess w nawrocie. Wykonaj log dodatkowy.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:regfind
{58693411-709e-9039-e2d9-a805ea0eb781}
 
:folderfind
{58693411-709e-9039-e2d9-a805ea0eb781}

 

Klik w Look i wklej wynikowy raport.

[NowyLaik]

log

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:58 on 11/06/2012

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n."

 

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}\n."

"ThreadingModel"="Both"

 

 

========== regfind ==========

 

Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n."

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}\n."

[HKEY_USERS\S-1-5-21-2154615204-4275496255-3731553294-1006\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n."

[HKEY_USERS\S-1-5-21-2154615204-4275496255-3731553294-1006_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}\n."

 

========== folderfind ==========

 

Searching for "{58693411-709e-9039-e2d9-a805ea0eb781}"

C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781} d--hs-- [18:51 10/08/2004]

C:\WINDOWS\Installer\{58693411-709e-9039-e2d9-a805ea0eb781} d--hs-- [18:51 10/08/2004]

 

-= EOF =-

[Landuss]

Spróbujmy zmienić metode usuwania

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{58693411-709e-9039-e2d9-a805ea0eb781}
"C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}"
 
Execute:
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

3. Zaprezentuj raport z BlitzBlank oraz log z OTL.

[NowyLaik]

BB mowi ze tego folderu nie ma (moze dlatego ze ja go skasowalem rano w trybie awaryjnym?)

 

logi

OTL.txt