Skocz do zawartości

Infekcja, nie działają pliki exe - komunikat otwórz za pomocą...


Rekomendowane odpowiedzi

Witam, jak w temacie, nie działają z dwukliku pliki exe, wyskakuje komunikat otwórz za pomocą.

Pliki można odpalać natomiast poprzez kliknięcie prawym przyciskiem myszki i wybranie uruchom jako.

 

Dodatkowo nie można wejść we właściwości systemu oraz w menu dodaj usuń programy w panelu sterowania.

Wyskakuje komunikat:

C:\Windows\System32\rundll32.exe - nie można odnaleźć aplikacji.

 

Lapka dostałem kilka godzin temu z informacją, że prawdopodobnie user sam zapuścił combofixa po czym próbował naprawiać instalkę poprzez opcję napraw z instalatora xp i ponowną reinstalację plików systemowych.

 

Załączam logi:

OTL.Txt

Extras.Txt

gm.txt

 

Z góry dzięki za pomoc.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Lapka dostałem kilka godzin temu z informacją, że prawdopodobnie user sam zapuścił combofixa po czym próbował naprawiać instalkę poprzez opcję napraw z instalatora xp i ponowną reinstalację plików systemowych.

 

Szkodnik jest zapisany jako most do otwierania EXE w gałęzi HKCU i Reperacje nakładkowe tego nie naprawią (to nie jest element systemu, instalacja tego nie nadpisze):

 

O35 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..exefile [open] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*

O37 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*

Prócz tego są tu również ślady podpinania zainfekowanych urządzeń USB oraz adware Fast Browser Search / Search Guard Plus.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..exefile [open] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*
O37 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*
[2011-05-09 00:14:32 | 000,012,312 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\kwtd246lfs3h331o70m8o0w3
O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll (MTWB)
O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O3 - HKLM\..\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O3 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\..\Toolbar\ShellBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O3 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\..\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O4 - HKLM..\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe ()
O4 - HKLM..\Run: [sGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe ()
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..\Run: [Gadu-Gadu]  File not found
O4 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..\Run: [Komunikator]  File not found
O4 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..\Run: [Picasa Media Detector]  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:4 () - "http://s.ytimg.com/yt/jsbin/www-core-vfl135925.js"
[2010-08-12 10:02:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2D33C
[2005-12-24 00:12:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Kazaa Lite
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, powinien się pokazać log z usuwania.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj następujące pozycje adware:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Search Guard Plus" = Search Guard Plus (My Tattoons)

"Search Guard Plus Updater" = Search Guard Plus Updater (My Tattoons)

"TBSB07183.TBSB07183Toolbar" = Fast Browser Search (My Tattoons)

3. Wygeneruj nowe logi z OTL z opcji Skanuj, GMER nie jest mi już potrzebny. Dorzuć log OTL powstały z usuwania w punkcie 1 oraz raport z AD-Remover trybu skanu.

 

 

 

 

.

Odnośnik do komentarza

Skrypt przetworzony prawidłowo i problem otwierania EXE (tym samym pochodne błedy) powinien być zażegnany. Lecimy dalej, czyli usunięcie śladów Fast Browser Search / Search Guard Plus i martwego wejścia w Dodaj / Usuń:

 

1. Przepuszczaj przez OTL kolejny skrypt:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-
"{B7D3E479-CC68-42B5-A338-938ECE35F419}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=-
"{B7D3E479-CC68-42B5-A338-938ECE35F419}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9EBBE90B-282E-4c39-8A7E-120749169F0F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9EBBE90B-282E-4c39-8A7E-120749169F0F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0974BA1E-64EC-11DE-B2A5-E43756D89593}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{02D80F21-9064-4945-8586-035DA6759187}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0974BA1E-64EC-11DE-B2A5-E43756D89593}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9EBBE90B-282E-4c39-8A7E-120749169F0F}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4388B5C4-830A-42AD-94F6-487B6AA05767}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[-HKEY_LOCAL_MACHINE\Software\Classes\BHO.PSHelper]
[-HKEY_LOCAL_MACHINE\Software\Classes\BHO.PSHelper.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\AppID\BHO.dll]
[-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{055069F3-F78B-4BD1-A277-FE66648D3300}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar]
 
:Files
C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\kwtd246lfs3h331o70m8o0w3
C:\Program Files\Fast Browser Search
C:\Program Files\Search Guard Plus
C:\Program Files\Search Guard PlusU
C:\Program Files\SGPSA
 
:Commands
[emptytemp]

 

2. Te pliki na Pulpicie, ze względu na wadę nazwy, są nie do ruszenia normalną kasacją spod Windows, będzie błąd "nie można znaleźć pliku":

 

File not found -- C:\Documents and Settings\OEM\Pulpit\CATGC311.

File not found -- C:\Documents and Settings\OEM\Pulpit\CAQNQJMT.

File not found -- C:\Documents and Settings\OEM\Pulpit\CAQFUZ6D.

File not found -- C:\Documents and Settings\OEM\Pulpit\CANYWFJH.

File not found -- C:\Documents and Settings\OEM\Pulpit\CA10GZLH.

Poradzi sobie z nimi Delete FXP Files. To demo, ale kasacja wykonalna.

 

3. Wykonaj pełne skanowanie przez Malwarebytes' Anti-Malware.

 

4. Wystarczy mi do oceny: wynik przetwarzania skryptu z punktu 1, nowy log z AD-Remover trybu skanu oraz raport z MBAM.

 

 

 

.

Odnośnik do komentarza

Wykonaj końcowe kroki:

 

1. W MBAM liczą się tylko wyniki z partii "Zainfekowanych kluczy rejestru" i te usuń za pomocą programu. Wyniki z "Zainfekowanych plików": fałszywy alarm na pliku AllPlayer (to zresztą bardzo sfatygowana wersja), zaś c:\system volume information (katalog Przywracania systemu) + d:\_OTL (kwarantanna OTL) zostaną przeczyszczone innymi działaniami.

 

2. Pozamiataj po używanych narzędziach: odinstaluj AD-Remover + użyj Sprzątanie w OTL.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"ALLPlayer V2.1" = ALLPlayer V2.1

"Gadu-Gadu" = Gadu-Gadu 7.7

"Gadu-Gadu 10" = Gadu-Gadu 10

"JRE 1.3.1_03" = Java 2 Runtime Environment Standard Edition v1.3.1_03

- Krytyczny poziom aktualizacji Windows. Niezbędnym jest tu nadrobić SP3+IE8 oraz wszystkie aktualizacje wydane po roku 2008 (data publikacji SP3). Zaktualizuj też Java i upewnij się że jest zainstalowany najnowszy Flash. Szczegóły aktualizacyjne: INSTRUKCJE.

- Namów tego użytkownika, by zrezygnował z bezsensownego duplikatu GG7+GG10. W temacie Darmowe komunikatory są przedstawione propozycje alternatyw: AQQ, Kadu, WTW, Miranda.

- Można też rozważyć wymianę próchna AllPlayer czymś nowoczesnym. Najlepiej, by zestaw chodził na wewnętrznych kodekach lub był przynajmniej częściowo niezależny. Propozycje: VLC Player, Kantaris MediaPlayer, MPLayer for Windows, PotPlayer, Media Player Classic.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...