NOD32 wykrywa konia trojańskiego Ponmocup.AA

[piotrml]

NOD32 wykrył konia trojańskiego Ponmocup.AA. Poszukiwałem w sieci rozwiązania problemu.

 

Jedną z rzeczy, które zrobiłem to przeskanowanie ComboFix.

 

Dołączam log po skanowaniu.

 

 

Nie wiem, czy sobie poradził. W każdym razie na początku dzisiejszego dnia w dzienniku NOD32 była informacja o trojanie, natomiast po (dwukrotnym) restarcie w dzienniku nie było już informacji.

 

Nie wiem zatem, czy sobie ComboFix poradził.

 

Proszę o pomoc, radę.

ComboFix.txt

[picasso]

Nie wiem, czy sobie poradził. W każdym razie na początku dzisiejszego dnia w dzienniku NOD32 była informacja o trojanie, natomiast po (dwukrotnym) restarcie w dzienniku nie było już informacji.

 

Nie wiem zatem, czy sobie ComboFix poradził.

 

ComboFix w ogóle tu nie pomógł, nic nie usuwał z tego rodzaju, uruchomiony niepotrzebnie. Jedyne zaistniałe kasacje jawne to dwa pliki od Total Commander (to są false positivy ComboFix = te pliki nie są szkodliwe, usuwane prawdopodobnie ze względu na rutynę zerobajtową). To nie ma związku z Twoim problemem. ComboFix pokazuje nadal trojana w systemie:

 

Zawartość folderu 'Zaplanowane zadania'
.
2012-06-28 c:\windows\Tasks\Puaofbsog.job
- c:\windows\system32\hnetmonp.dll [2012-06-20 07:01]

 

Zanim przejdę do usuwania wyjaśnijmy sobie parę rzeczy. ComboFix to nie jest narzędzie domowego użytku i to ostateczność: KLIK. Zasady działu: KLIK. Podany tylko raport z ComboFix, ale brak obowiązkowych w tym dziale logów z narzędzi nieinwazyjnych: OTL + GMER. Oczekuję na te logi. Wtedy przejdę do usuwania.

 

 

 

 

.

[piotrml]

Dzi ęki za sugestie i dotychczasową pomoc.

Dopiero dziś udało mi się po dłuższym weekendzie wrócić do mojego wirusa.

 

Załączam logi:

OTL.Txt

GMER.txt

[picasso]

Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"), uzupełnij. I czy Ty czegoś już tu nie usuwałeś ręcznie? OTL nie pokazuje tych składników, które były widziane w ComboFix (a ComboFix nie zajmował się tym). Podaj skan dodatkowy, uruchom SystemLook i w oknie wklej:

 

:filefind
Puaofbsog.job
hnetmonp.dll

 

Klik w Look i przedstaw log wynikowy.

 

 

 

.

[piotrml]

Jutro będę przy tym kompie. Rzeczywiście zapomniałem o Extras, dołączam go teraz.

Extras.Txt

[piotrml]

Poniżej log, o który prosiłeś.

Jeśłi chodzi o usuwanie ręczne, to nic nie usuwałem, oprócz tego co ComboFix usunął

 

SystemLook 30.07.11 by jpshortstuff

Log created at 08:11 on 03/07/2012 by user

Administrator - Elevation successful

========== filefind ==========

Searching for "Puaofbsog.job"

No files found.

Searching for "hnetmonp.dll"

No files found.

-= EOF =-

[picasso]

Skan nie wykrywa tego. Nie wiem co tu się stało, ale wygląda na to, iż infekcja jednak została usunięta. Ale nic nie wskazuje, by to robił ComboFix (jego log nie pokazuje kasacji tych elementów, wręcz przeciwnie = pokazuje je jako wpis startowy). Infekcja ta wyłącza także określone funkcje systemowe: Centrum zabezpieczeń, Przywracanie systemu i Windows Defender. Windows Defender jest na pewno zdeaktywowany (widać to w logu z OTL), ale nim się nie będziemy zajmować ze względu na obecność ESET. Natomiast status reszty jest niejasny. Był tu stosowany ComboFix, toteż możliwe, że została naniesiona stosowna korekta. Sprawdź to:

• Start > w polu szukania wklep services.msc > na liście dwuklik w usługę Centrum zabezpieczeń > czy Typ uruchomienia jest ustawiony na Automatycznie (opóźnione uruchomienie)?
  
• Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > czy jest zaznaczone "Przywróć ustawienia systemu oraz poprzednie wersje plików"?
  

 

PS. Prosiłam. Jestem kobietą.

 

 

 

.

[piotrml]

Dzięki

Od 2 lipca 2012 NOD w pliku dziennika nie wykrywa wirusa - inie występują przekierowania na jakieś dziwne adresy

 

Jeśli chodzi o to, co się pytałaś to:

- Start > w polu szukania wklep services.msc > na liście dwuklik w usługę Centrum zabezpieczeń > ja mam typ uruchomienia wyłączony

- drugi punkt jest dokładnie tak jak pisałaś

[picasso]

- Start > w polu szukania wklep services.msc > na liście dwuklik w usługę Centrum zabezpieczeń > ja mam typ uruchomienia wyłączony

 

Przekonfiguruj Typ uruchomienia na Automatycznie (opóźnione uruchomienie). I wykonaj te czynności:

 

1. Przez Panel sterowania odinstaluj Ask Toolbar + Ask Toolbar Updater.

 

2. Zastosuj AdwCleaner z opcji Delete. Z tego powstanie log na dysku C. Przedstaw go.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
IE - HKCU\..\SearchScopes\{86C574C7-5A85-44BE-A03D-74E5A9681A10}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D383ACA7-8278-4F3C-BD80-B4D5D6AB4134&apn_sauid=F4DCB801-E4D7-422E-9403-36228800EBB9"
[2012-06-27 09:04:17 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2012-06-27 09:04:17 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2012-06-27 08:16:37 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\SpeedyPC Software
[2012-06-27 08:16:37 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\DriverCure
[2012-06-27 08:16:30 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedyPC Software
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\user\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Przedstaw go.

 

 

 

.

[piotrml]

Wykonałem wszystko według instrukcji.

Dołączam logi.

 

 

Poniżej log z OTL

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

Tu (w trakcie wykonywania OTL) komputer dłuższą chwilę nie reagował, więc go ręcznie zresetowałem i stąd wynik powyżej.

 

Dzięki za dotychczasową pomoc.

Ja dopiero w poniedziałek będę miał dostęp do tego komputera z problemami.

Póki co nic się z nim nie dzieje i tak jak pisałem w poprzednim poście od 2.07 jest spokój w dzienniku NOD'a

AdwCleanerS1.txt

[picasso]

Ten log z usuwania OTL nie przedstawia żadnej zawartości, trudno więc ocenić czy zadanie się wykonało na 100%. AdwCleaner swoje zrobił. Myślę, że mogę zadać już końcowe kroki:

 

1. Jakoś nie zauważyłam na liście zainstalowanych pdfforge Toolbar. AdwCleaner już go pociął, toteż Windows pewnie zada pytanie czy usunąć wpis z listy.

 

2. Prawidłowa deinstalacja ComboFix, która wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

f:\combo-fix\ComboFix.exe /uninstall

 

Gdy ukończy, możesz użyć Sprzątanie w OTL, a ponadto w AdwCleaner zastosuj Uninstall.

 

3. Drobne aktualizacje: KLIK. Tu z Twojej listy o co konkretnie mi chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional ----> brak pakietu SP3
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7

 

GG7 tu też zakreślam, ponieważ jest to ułomna wersja: niski poziom bezpieczeństwa poprzez brak szyfrowania oraz brak pełnej obsługi nowego protokołu. Jeśli szukasz dobrej alternatywy obsługującej Gadu, nie przeciążającej systemu i bez reklam, to proponuję WTW. Do wglądu artykuł Darmowe komunikatory. Opisy, które się liczą: WTW, Kadu, Miranda i AQQ. Wszystko inne to kiepska obsługa Gadu.

 

 

 

 

.

[piotrml]

dziękuję za pomoc