Live Security Platinum

[kondre]

Bardzo proszę o pomoc w usunieciu tego czegoś, wrzucam raporty z otl

 

 

 

OTL http://wklej.org/id/792189/

Extras http://wklej.org/id/792186/

[picasso]

Tutaj jest sprawa o wiele bardziej skomplikowana. Ta infekcja nie jest jedyną, jest ich wiele, i akurat jest ona mniej istotna w kontekście znaków działania rootkita ZeroAccess. Rootkit występuje tu w starszej wersji, tej która infekuje sterowniki systemowe. Na taką kombinację trzeba wyciągnąć ciężki arsenał:

 

1. Z poziomu Trybu awaryjnego uruchom zgodnie ze wskazówkami ComboFix.

 

2. Po restarcie systemu wygeneruj nowe logi: OTL + GMER. Dołącz raport utworzony przez ComboFix w punkcie 1.

 

 

 

.

[kondre]

Dziekuję za odpowiedź, już jest lepiej. Oto wyniki:

 

 

http://wklej.org/id/792797/ raport ComboFix

http://wklej.org/id/792799/ GMER

http://wklej.org/id/792800/ OTL

[picasso]

GMER robiłeś w złym środowisku, nie zdjąłeś emulacji zgodnie z wytycznymi w ogłoszeniu (KLIK), działa sterownik SPTD:

 

DRV - [2009-09-28 20:02:08 | 000,722,416 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

ComboFix przetwarzał wiele zadań: usunął elementy ZeroAccess i leczył zainfekowany sterownik systemowy, skasował Live Security Platinum, usuwał z wszystkich dysków ogłuszającą liczbę plików przeniesionych z zainfekowanego USB... Ale to niestety nie koniec. Pomijając już, że mamy co czyścić w odpadkach / adware, GMER nadal wykazuje aktywność rootkit, reloc na sterowniku ACPI.sys oraz podejrzane wątki "System". W OTL zresztą ACPI.sys widzialny bez sygnatury MS:

 

DRV - [2008-04-14 21:24:40 | 000,188,544 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\acpi.sys -- (ACPI)

 

 

Kolejna porcja czynności do wykonania:

 

1. Usuń sterownik SPTD od emulatora: KLIK. Zresetuj system.

 

2. Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i zaprezentuj log do oceny. Kaspersky tworzy log na dysku C.

 

 

 

.

[kondre]

Oto log od Kasperskkiego:

 

http://wklej.org/id/793010/

[picasso]

Ten system niewątpliwie jest zmasakrowany infekcjami. Wedle spodziewań, jest tu kolejny rootkit Rloader, a objawy które mu towarzyszą to m.in. strona Google zwraca 404 oraz nie działają pola Captcha.

 

1. Uruchom TDSSKiller i dla wyniku Virus.Win32.Rloader.a wybierz akcję Cure. Zresetuj system.

 

2. Zrób nowy log z GMER. Jeśli on wykaże brak infekcji rootkit, podam kolejne czynności czyszczące.

 

 

 

.

[kondre]

log z GMER

http://wklej.org/id/793110/

[kondre]

Pojawił się niestety, kolejny problem, po uruchomieniu komputera system całkowicie wiesza się po kilku sekundach. Działa tylko w trybie awaryjnym. Dorzucam log z OTL

 

http://wklej.org/id/793643/

[picasso]

Pojawił się niestety, kolejny problem, po uruchomieniu komputera system całkowicie wiesza się po kilku sekundach. Działa tylko w trybie awaryjnym.

 

Sam sobie nagrabiłeś. Doinstalowałeś Avast, podczas gdy w systemie siedzi ESET Smart Security. Skomasowanie antywirusów jest krytyczne, nie wolno takich rzeczy robić, to prosta droga na szubiennicę.

 

 

---

Wg GMER rootkit został usunięty, ale jak mówiłam mamy jeszcze co czyścić, plus korekta nowej niefortunnej sytuacji:

 

1. Z poziomu Trybu awaryjnego musisz usunąć jeden z w/w, a że ESET jest tu dużo starszy (2009) i scrackowany, to on odpada. Popraw specjalistycznym narzędziem ESET Uninstaller. System powinien zostać odblokowany.

 

2. Kolejny krok to deinstalacje adware:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Complitly, flvto.com Freecorder Toolbar.

- Otwórz Firefox i w Dodatkach odinstaluj: Ask Toolbar, Complitly

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
xgrercek
wg4n
ISODrive
catchme
 
:Files
C:\WINDOWS\System32\mgking2.dll
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvtjecjo.default\searchplugins\askcom.xml
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:OTL
NetSvcs: xgrercek - File not found
NetSvcs: wg4n - File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC&o=15000&locale=en_US&apn_uid=A2889DDE-1746-4DF9-9064-7DAB7A0DFD06&apn_ptnrs=PV&apn_sauid=F274F09C-B6B5-492C-8853-E9E41FC37112&apn_dtid=YYYYYYYYPL&q="
O4 - HKLM..\Run: [TrialReset] C:\WINDOWS\regx32.exe ()
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z usuwania OTL z punktu 3 oraz AdwCleaner z punktu 4.

 

 

.

[kondre]

Dziękuję za ostrzeżenie, mam nadzieję, że zejdę z drogi na szubienicę. Na szczęście system już działa. Firefoxa mam już dawno odinstalowanego. Wrzucam nowe logi:

 

http://wklej.org/id/794099/ log OTL z pkt. 3

http://wklej.org/id/794101/ log z pkt. 4

http://wklej.org/id/794102/ końcowy log z OTL

[picasso]

Zadania pomyślnie wykonane. Kolejne czynności:

 

1. Mini poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.4.4.113
 
:Files
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wvtjecjo.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
rd /s /q C:\TDSSKiller_Quarantine /C
rd /s /q C:\WINDOWS\erdnt /C

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall

 

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. To znacznie wydłuży skan, ale da pewniejsze rezultaty. Przedstaw wyniki typu "Detected", o ile takowe będą.

 

 

.

[kondre]

http://wklej.org/id/794863/ oto wyniki

 

co dalej???

[picasso]

1. Wszystkie wyniki do usunięcia (infekcja z pendrive), z wyjątkiem Half-Life i kodstronywww.txt (to wygląda na fałszywe alarmy). Odinstaluj skaner Kasperskiego (o ile już to się nie stało = zamknięcie okna to inicjuje).

 

2. Nie zwróciłam uwagi na to: "Firefoxa mam już dawno odinstalowanego.". Załatw wszystko z dysku. Pobierz ponownie OTL, uruchom w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\Software\mozilla.org]
[-HKEY_LOCAL_MACHINE\Software\MozillaPlugins]

 

Klik w Wykonaj skrypt. Po tym Sprzątanie.

 

3. Ponów ręczne czyszczenie folderów Przywracania systemu: KLIK.

 

4. Zabezpiecz system przed infekcją z nośników USB. W Panda USB Vaccine zastosuj opcję Computer Vaccination.

 

5. Wykonaj ważne aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 13
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.5.2
"Google Chrome" = Google Chrome

 

6. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

PS. Apropos Gadu-Gadu 10, to można zaopatrzyć się w lżejszą alternatywę, która tak nie deczy zasobów systemowych. W artykule Darmowe komunikatory poczytaj opisy: WTW, Kadu, Miranda, AQQ.

 

 

 

.