Trojan.Siggen3 Trojan.Inject2 i inne + zainfekowany acpi.sys + BSODy

[sphere]

Przeskanowałem kompa kuzyna przy pomocy DrWeb CureIt i znalazł kilka wirusów między innymi w folderze urzytkownika, plikach tymczasowych, koszu, folderze przywracania i w pliku acpi.sys (ten ostatni został wyleczony a część znalezionych plików usunięta). Raportu nie dołącze bo nie mam BSOD niestety był szybszy niż ja z zapisaniem loga z CureIt Poniżej załączam wymagane logi. Odnośnie tematu BSODów to sprawdziłem narazie pamięć memtestem.

 

Results of screen317's Security Check version 0.99.42

Windows XP Service Pack 3 x86

Internet Explorer 6 Out of date!

``````````````Antivirus/Firewall Check:``````````````

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

CCleaner

Java 6 Update 33 Java version out of Date!

Adobe Flash Player 11.3.300.262

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox 10.0.2 Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

``````

OTL.Txt

Extras.Txt

gmer.txt

[Landuss]

Oprócz infekcji system ten jest zaśmiecony sponsoringami i to też będziesz usuwał.

 

1. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE / MediaBar / Ashampoo PO Toolbar

 

2. Zastosuj AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //search.bearshare.com//sidebar.html?src=ssb&appid=0&systemid=2
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?st=1&crg=2.1001.75000&barid={0EF16304-824D-4676-9689-2A1129E99331}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\URLSearchHook: {5714e6d7-246d-4f1c-aa4d-2f401fe6cb0a} - SOFTWARE\Classes\CLSID\{5714e6d7-246d-4f1c-aa4d-2f401fe6cb0a}\InprocServer32 File not found
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http ://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=7cbb0c8a0000000000000011d8197565
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{1227CAC8-B580-47CD-954A-71555EA75E85}: "URL" = http: //search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http ://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=301b09e6-f0f2-4532-afef-f821382b034e&apn_sauid=9B2B05C8-0DA8-4562-AA95-78F79C9BB4B7
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm035YYPL&ptb=imZzcaJBj53OfQ6kXCd9Cw&psa=&ind=2010081908&ptnrS=GRxdm035YYPL&si=&st=sb&n=77cf6a74&searchfor={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = http: //eu.ask.com/web?l=dis&o=APN10384&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^ABJ&apn_uid=5272537156304734&p2=^ABJ^YYYYYY^YY^PL&q={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs&a=1ex65NJiW1a
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}
[2011-03-11 15:24:16 | 000,000,000 | ---D | M] (Komputerswiat.pl Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{bb0e677b-1224-4b1f-bafb-d771d658b563}(2)
[2012-04-24 07:15:08 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
[2012-06-20 14:42:11 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}(2)
[2012-04-09 23:08:16 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab}
[2011-11-28 00:57:58 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2011-03-23 21:06:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\engine@conduit.com
[2011-11-16 14:32:46 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\ffxtlbr@babylon.com
[2012-04-09 15:06:20 | 000,002,274 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml
[2012-02-28 17:33:45 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-04-24 07:09:30 | 000,002,503 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O4 - HKLM..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe File not found
O4 - HKLM..\Run: [hpqSRMon]  File not found
O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\flash.exe (eW4zX)
O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found
O4 - HKU\S-1-5-21-527237240-179605362-1801674531-1003..\Run: [OrangeNote] "C:\Program Files\OrangeNote\OrangeNote.exe" File not found
O4 - HKU\S-1-5-21-527237240-179605362-1801674531-1003..\Run: [stickIt] C:\Program Files\StickIt\StickIt3.exe File not found
O8 - Extra context menu item: &Search - http: //edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000341&p=GRxdm035YYPL&si=&a=imZzcaJBj53OfQ6kXCd9Cw&n=2010081908 File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
[2012-06-22 16:40:18 | 000,000,860 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\{50060938-9A19-48fa-BFE2-95D8761050DD}.lnk
[2012-06-30 16:59:43 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\SLOW-PCfighter-user-Startup.job
[2012-06-30 16:59:43 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\systems.job
[2012-06-30 16:59:43 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job
[2011-01-10 23:46:20 | 000,005,009 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\surkpqid.bdr
[2012-03-20 16:53:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\529C50570000A21B00013B420CDF108C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-527237240-179605362-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{A078C0B4-5052-46AA-88DE-8DAA9E9F3526}"
 
:Services
ADILOADER
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[sphere]

Nie znalazłem czegoś takiego jak Ashampoo PO Toolbar. Cała reszta się wykonała.

AdwCleanerS1.txt

06302012_193553.txt

OTL.Txt

[Landuss]

Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści:

 

:Files
C:\Program Files\Ashampoo_PO
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Temp\XTMP1MC3VE
C:\Program Files\Common Files\Microsoft Shared\Triedit\{50060938-9A19-48fa-BFE2-95D8761050DD}.sys
 
:Services
NMIndexingService
{50060938-9A19-48fa-BFE2-95D8761050DD}
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}]
[HKEY_USERS\S-1-5-21-527237240-179605362-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}"=-
 
:OTL
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Nowy log z OTL do oceny. Oceń też stan systemu na ten moment i ewentualne problemy.

[sphere]

Skrypt poszedł ale w nowym logu część tego powróciła. Ogólnie komputer ciągle ma BSODy choć nie wiem czy to ma coś wspólnego z infekcją!? Narazie poza memtestem zrobiłem jeszcze skan powierzchni dysku przez MHDD.

06302012_225828.txt

OTL.Txt

[Landuss]

To co wróciło to jakieś obiekty tymczasowe w Temp. Usuwałem kosmetycznie (to nie jest infekcja) tylko nie wiem co to generuje, może jakieś oprogramowanie. Jeśli wróciło to może sugerować że jest to potrzebne.

 

Zas co do BSOD to może nie być kwestia infekcyjna i na to wygląda, ze tu chodzi o coś innego. Do wykonania punkt 5: KLIK

[sphere]

Już wcześniej debugowałem te zrzuty pamięci ale nie wiele mi to pomogło w rozwiązaniu problemu jak dotąd. Ale może coś podpowiecie

 

Jest jeszcze jeden problem nie działa zapora systemu windows. Nie można jej uruchomić.

 

Z zaporą już sobie poradziłem

BlueScreenView.txt

WinDBG.txt

Edytowane 30 Czerwca 2012 przez sphere

[picasso]

Poproszę o skan z Kaspersky TDSSKiller. Gdyby coś wykrył, nie podejmuj żadnych akcji i wynikom przyznaj Skip. Zaprezentuj log do oceny.

[sphere]

To co wróciło to jakieś obiekty tymczasowe w Temp. Usuwałem kosmetycznie (to nie jest infekcja) tylko nie wiem co to generuje, może jakieś oprogramowanie. Jeśli wróciło to może sugerować że jest to potrzebne.

No masz rację, sprawdziłem i to są pliki od programu ManyCam.

 

 

TDSSKiller nic nie wykrył.

 

Temat można zamknąć. Wymieniłem taśmę dysku i BSODy ustały. Dzięki za pomoc

[picasso]

Temat można zamknąć. Wymieniłem taśmę dysku i BSODy ustały.

 

1. Drobny skrypt poprawkowy do OTL (jest jeszcze folder infekcji na dysku, wcale się nie usunął poprzednim skryptem):

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\529C50570000A21B00013B420CDF108C
 
:OTL
O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@vividas.com/npVividasPlayer: C:\Program Files\Vividas\Player\npVividasPlayer.dll File not found
FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer10: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer10: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
[2009-10-28 16:50:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
[2010-05-24 21:49:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Fighters
[2010-02-28 15:17:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\G DATA

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. W GrantPerms wklej co poniżej i klik w Unlock.

 

C:\WINDOWS\system32\drivers\etc\hosts

 

Następnie wykonaj reset pliku HOSTS do postaci domyślnej (aktualnie złe atrybuty i zawartość uwzględniająca protokół IPv6, który nie wygląda na obecny). Posłuż się automatem Fix-it z KB972034.

 

3. Porządki po narzędziach: w AdwCleaner Uninstall + w OTL Sprzątanie + przez SHIFT+DEL skasuj C:\Documents and Settings\user\DoctorWeb

 

4. Odinstaluj Spelling Dictionaries Support For Adobe Reader 9 (brak głównej aplikacji w systemie, ale ten komponent to właśnie powód odczytu "out of date" w Security Check). Zaktualizuj Firefox oraz Internet Explorer. Tu zresztą coś się działo z Internet Explorer, w nagłówku IE6 ale na dysku jest folder deinstalatora IE8, a Dziennik zdarzeń dręczy błędy relatywne do pozostałości IE8 w rejestrze:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
 
[2012-06-19 20:05:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8
 
Error - 30-cze-2012 10:59:40 | Computer Name = HOMEPC | Source = Userenv | ID = 1041
Description = System Windows nie może wykonać kwerendy wpisu rejestru DllName dla
 aplikacji {7B849a69-220F-451E-B3FE-2CB811AF94AE}, która nie zostanie załadowana.
 Prawdopodobną przyczyną jest błąd rejestracji.
 
Error - 30-cze-2012 10:59:40 | Computer Name = HOMEPC | Source = Userenv | ID = 1041
Description = System Windows nie może wykonać kwerendy wpisu rejestru DllName dla
 aplikacji {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}, która nie zostanie załadowana.
 Prawdopodobną przyczyną jest błąd rejestracji.

 

5. W Dzienniku zdarzeń powiela się też błąd:

 

Error - 30-cze-2012 11:02:16 | Computer Name = HOMEPC | Source = Service Control Manager | ID = 7022
Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

Start > Uruchom > services.msc, usłudze HP CUE DeviceDiscovery przestaw Typ uruchomienia na Wyłączona.

 

6. Czyszczenie folderów Przywracania systemu: KLIK.

 

 

 

.

[sphere]

Skrypt OTLa się wykonał, plik host wyresetowany, IE8 i aktualizacje porobione, sprzątanie wykonane.