slayne Opublikowano 25 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2010 Witam Znajomy poprosił mnie o pomoc w zdezyfekowania komputera, jednak przeskanowałem system OTL i Gmerem i postanowiłem się zwrócić do Was bo chyba nie wygląda to za ciekawie. Oprócz tego co w logach to z takich widocznych objawów wystepują: - ciągła praca dysku po załadowaniu systemu - otwierają się stronki o treści xxx w IE ale dopiero jak się wejdzie w IE, a jak się go nie uruchomi to się nie odpalają - zauważyłem ze jest IE ma w wersji 6.0 to zrobie aktualizację - otwiera się po kilka okien linii poleceń z różnymi plikami z c:\windows\temp\ np neqlua.exe, obscior.exe,ebhupsf..exe - w trayu nie ładują się te ikonki co zwykle tylko jedna od głośności i aktualizacje, a wcześniej było gg, narzedzie od dysku WD, ikonka od sieci, - uruchomiłem Drweb antiwirus to wykrył TDSS, Oto logi Extras.Txt OTL.Txt gmer.txt Załączym jeszcze log z USBFix bo na pewno jest zainfekowany jeden z pendrivów bo są jakieś podejrzane pliki o dziwnych nazwach których nie mogę usunać. UsbFix.txt Z góry dzięki za pomoc. Odnośnik do komentarza
Landuss Opublikowano 25 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2010 1. Rozpocznij od użycia narzędzia Kaspersky TDSSKiller i wklej z niego log. 2. Stosujesz ComboFix i prezentujesz log z działania. Odnośnik do komentarza
slayne Opublikowano 25 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2010 TdssKiller wykrył 3 zagrożenia. Dwa automatycznie ustawił na Skip, jedno na Cure. Tak go uruchomiłem i z tego przedstawiam skan. W czasie uruchamiania ComboFix otrzymałem komunikat, że posiadam aktywną ochronę rezydentną PCtools Spyware Doctor + Antiwirus. Z tym, że ja go odinstalowałem przed uruchomieniem, wiec nie wiem dlaczego taki komunikat dostałem. Druga sprawa, że po Combofixie przestał mi działać internet. Internet mam z netii, podłączony przez router. wpisując ipconfig nie mam żadnych informacji tylko wyskakuje linijka Konfiguracja IP systemu windows czy jakoś podobnie, W ogole nie wyświetla jakie mam sieciówki. Kiedyś pamiętam, że miałem tak jak był zawirusowany plik ndis.sys. Nawet chyba z tą infekcją zwracałem się o pomoc do Was ale chyba jeszcze na SE. Udało się wtedy to wyleczyć chociaż był jakiś problem bo raz na jakiś czas wspomniany PCtools podmieniał mi plik na starą wersję i wtedy internet nie działał, ale jak ręcznie sobie podmieniałem na czysty plik podesłany przez Was to działało. I nie było problemu z podmianą pliku a teraz nie da rady i nawet nie można go skopiować w inne miejsce bo brak dostępu. A ten plik co miałem do podmiany to inny rozmiar miał, także coś chyba jest na rzeczy. Naprawianie połączenia sieciowego z prawokliku i Napraw nic nie daje. TDSSKiller.2.4.1.2_25.08.2010_21.33.23_log.txt combofix.txt Dodatkowa informacja. Okazało się, że znajomy ma jeszcze jeden komputer który chodzi w tej samej sieci. Oczywiście przeskanowałem go i też nie jest czysty. Załozyłem dla niego oddzielny temat. Być może taka informacja pomoże w diagnostyce. A oczyszczenie jednego chyba mija się z celem. oto ten temat: KLIK Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Pytanie wstępne, czy tak na "goło" zastartowałeś ComboFix, czy może masz alternatywne dojście do Konsoli dlatego ominąłeś jej instalację (?): UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! Oba komputery wykazują pewne podobieństwo, ale infekcje nie są identyczne. I tu jest trojan zajmujący się łowieniem haseł i będzie wymagana zmiana danych dla pewności. W Kasperskym te dwa obiekty, którym przypisał akcję Skip, to są trojany (ComboFix częściowo się z tym rozprawił w póżniejszej fazie): 2010/08/25 21:33:38.0968 Detected object count: 32010/08/25 21:34:16.0015 Locked file(AtapiDrv) - User select action: Skip2010/08/25 21:34:16.0046 PCIIde (f842286f765afe89869fbec960d46306) C:\WINDOWS\system32\DRIVERS\pciide.sys2010/08/25 21:34:16.0046 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\pciide.sys. Real md5: f842286f765afe89869fbec960d46306, Fake md5: 2ecdc493d42934422ae613f28d23e55a2010/08/25 21:34:27.0718 Backup copy found, using it..2010/08/25 21:34:27.0734 C:\WINDOWS\system32\DRIVERS\pciide.sys - will be cured after reboot2010/08/25 21:34:27.0734 Rootkit.Win32.TDSS.tdl3(PCIIde) - User select action: Cure2010/08/25 21:34:27.0750 Locked service(pduhrrju) - User select action: Skip Plik NDIS.SYS jest zainfekowany, ComboFix nie może przeliczyć sumy kontrolnej, a plik wykazuje modyfikację: ------- Sigcheck ------- [-] 2010-08-22 22:42 . !HASH: COULD NOT OPEN FILE !!!!! . 210816 . . [------] . . c:\windows\system32\dllcache\ndis.sys[-] 2010-08-22 22:42 . !HASH: COULD NOT OPEN FILE !!!!! . 210816 . . [------] . . c:\windows\system32\drivers\ndis.sys[-] 2008-04-13 23:50 . !HASH: COULD NOT OPEN FILE !!!!! . 182656 . . [------] . . c:\windows\ERDNT\cache\ndis.sys [-] 2008-04-15 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\tcpip.sys[-] 2008-04-15 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys Plik TCPIP.SYS też będę podmieniać. W czasie uruchamiania ComboFix otrzymałem komunikat, że posiadam aktywną ochronę rezydentną PCtools Spyware Doctor + Antiwirus. Z tym, że ja go odinstalowałem przed uruchomieniem, wiec nie wiem dlaczego taki komunikat dostałem. Jest ustęp w opisie ComboFix temu dedykowany. To mogą być niezgodne dane w Repozytorium WMI, czyli błędnie wyrejestrowany program. W nagłówku ComboFix jest adnotacja, że program jest ciągle zarejestrowany we WMI: AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated) {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6} Załączę usuwanie tego. Druga sprawa, że po Combofixie przestał mi działać internet. Zobaczymy jak się zmieni sytuacja po przeprowadzeniu poniższych kroków. ****************************************************** Urządzenia USB, które były podpięte podczas tworzenia loga z USBFix, też mają być podpięte. 1. Pobierz paczkę czystych plików wyekstraktowanych z pakietu SP3 PL (zgodnie z nagłówkiem w logu): KLIK. Pliki umieść w katalogu C:\pliki, bo taką ścieżkę dobieram w komendach. Pliki daję pod zmienionymi nazwami 1.sys i 2.sys, ponieważ wg wszelkiego prawdopodobieństwa nazwa "ndis.sys" jest tu zablokowana. 2. Otwórz Notatnik i wklej w nim: FCopy:: C:\pliki\1.sys | c:\windows\system32\drivers\ndis.sys C:\pliki\1.sys | c:\windows\system32\dllcache\ndis.sys C:\pliki\2.sys | c:\windows\system32\drivers\tcpip.sys C:\pliki\2.sys | c:\windows\system32\dllcache\tcpip.sys Driver:: pduhrrju RasMandmadmin RasManWDSmartWareBackgroundService File:: c:\windows\system32\drivers\ndisrd.sys c:\windows\system32\drivers\pduhrrju.sys c:\windows\Twoxub.exe c:\windows\Twoxua.exe H:\autorun.inf H:\abk.bat H:\myfolder H:\Recycled I:\myfolder I:\autorun.inf Folder:: c:\documents and settings\All Users\Dane aplikacji\19547504 DirLook:: c:\documents and settings\LocalService\Ulubione c:\documents and settings\All Users\Dane aplikacji\TEMP Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10282:TCP"=- "15385:TCP"=- "26814:TCP"=- "25424:TCP"=- "25283:TCP"=- "16703:TCP"=- "6284:TCP"=- "29456:TCP"=- "11544:TCP"=- "28115:TCP"=- "12087:TCP"=- "12366:TCP"=- "13474:TCP"=- "25781:TCP"=- "18657:TCP"=- SecCenter:: {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6} Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. [Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach] 3. Prezentujesz: log wygenerowany przez ComboFix oraz nową serię logów uzupełniających OTL + GMER i przyda się też nowa lista co jest na urządzeniach USB. . Odnośnik do komentarza
slayne Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Jeśli chodzi o konsolę odzyskiwania to po prostu się nie zainstalowała. Podczas uruchomienia Combofix w momencie jak ma instalowackonsole wyskoczył komunikat, że "Nie udało się pobrać wymaganych plików. Anulowanie" Dodatkowo wystąpił problem z Gmerem. Jak wcześniej uruchamiał się bez problemu,tak teraz tylko prescan przechodzi. Nawet w trybie awaryjnym. Dodatkowo zrobiłem loga z RootRepeal ps. Internet dalej nie działa. W ipconfig otrzymuję komunikat:"Konfiguracja IP systemu Windows" natomiast jakbym chciał na połączeniu sieciowym zrobić napraw to: "Nie można zbadać ustawień protokołu TCP/IP dla teg połączenia. NIe można kontynuować. Dołączam pliki z logami: combofix.txt UsbFix.txt OTL.Txt Extras.Txt RootRepeal report 08-26-10 (14-16-15).txt gmer_preskan.txt Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Według logów wszystko się wykonało pomyślnie, pliki systemowe podstawione a szkodliwe usunięte. Nic więcej stricte czynnego w raportach nie widzę .... Przed finalizowaniem dezynfekcji i szminkowaniem weźmy się więc za to: natomiast jakbym chciał na połączeniu sieciowym zrobić napraw to: "Nie można zbadać ustawień protokołu TCP/IP dla teg połączenia. NIe można kontynuować. Spróbuj zastosować automatyczny naprawiacz Fix it prowadzący reset TCP/IP: KB299357. Zgłoś się tu z wynikami. Odnośnik do komentarza
slayne Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Po zastosowaniu Fixa Microsoftu siec zaczęła działać. Można dać napraw i ipconfig wyświetla wszystko poprawnie. Jedyne co dziwnego jeszcze zauważyłem to, że w cmd nie wyświetla polskich liter tylko jakieś krzaczki jak np uruchamiam komendę ipconfig /all Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 OK. Czyli drobnostki na koniec: CZĘŚĆ SPRZĄTAJĄCA: 1. Drobne resztówki do wyrzucenia. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-2025429265-1844823847-1177238915-1004\..\Toolbar\ShellBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found. O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.) [2009-06-22 23:00:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\99557496 [2010-08-25 19:32:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP :Commands [emptyflash] [emptytemp] Uruchom przez Wykonaj skrypt. Log z tego powstały mi pokażesz. On wystarczy. 2. Sprzątnij kwarantanny i flaki pozostałe po używaniu narzędzi: Odinstaluj USBFix W OTL wywołaj funkcję Sprzątanie. To usunie OTL i jego kwarantannę. W Start > Uruchom > wklej polecenie "c:\documents and settings\Meblewaldi\Pulpit\logi2\ComboFix.exe" /uninstall. To usunie ComboFix, jego kwarantannę oraz zresetuje foldery Przywracania systemu. Akcje z OTL i ComboFix wpływają też na przestawienie widoczności ukrytych plików i rozszerzeń, ale to już ręcznie wedle gustu dopasujesz. 3. Przeskanuj cały system dla pewności przez Malwarebytes' Anti-Malware. CZĘŚĆ ZABEZPIECZAJĄCA: 1. Jak zaznaczyłam na początku: pozmieniaj wszędzie hasła. 2. Wykonaj aktualizacje oprogramowania mającego wpływ na bezpieczeństwo (czyli przeglądarki i ich "wtyczkowanie"): INSTRUKCJE. Internet Explorer aktualizowany bez względu na to czy w ogóle ręcznie go uruchamiasz (zbyt duża integracja z systemem). Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"{C619B312-19F3-460A-9F7B-443248379F18}" = Opera 9.25 3. Wprowadź zabezpieczenie przez infekcjami z USB przy udziale Panda USB Vaccine: Computer Vaccination (zabezpieczenie systemu) + USB Vaccination (zabezpieczenie po kolei wszystkich urządzeń). 4. Brak tu antywirusa i zapory sieciowej. Jedyne co dziwnego jeszcze zauważyłem to, że w cmd nie wyświetla polskich liter tylko jakieś krzaczki jak np uruchamiam komendę ipconfig /all Wystarczy przestawić stronę kodową konsoli na 852 (w przeliczniku dziesiętnym). Możemy od razu to zrobić przez import do rejestru. Wklej do Notatnika: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Console] "CodePage"=dword:00000354 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik . Odnośnik do komentarza
slayne Opublikowano 27 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2010 Wykonałem skrypt OTL. Wszystko chyba poszło ok chociaż windows zawiesił się podczas restartu po skrypcie. A dokładnie na ekranie Zamykanie systemu windows. otl_po_skrypcie.txt Wykonanie odinstalowania Combofix się nie powiodło bo nie odnalazł pliku. Pewnie przez wykonanie Sprzatania w OTL. Foldery przywracania systemu opróżniłem recznie przez wyłączenie i włączenie Przywracania systemu. Poniżej jeszcze log z MBAM: mbam-log-2010-08-27 (11-51-23).txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2010 Wszystko co pokazał MBAM do usunięcia. Wykonanie odinstalowania Combofix się nie powiodło bo nie odnalazł pliku. Pewnie przez wykonanie Sprzatania w OTL. Foldery przywracania systemu opróżniłem recznie przez wyłączenie i włączenie Przywracania systemu. No tak, coś mnie zaćmiło. Kolejność zadań nieprawidłowa. Sprzątanie wcześniej niż deinstalacja uniemożliwia to drugie. Zadania jednak wykonałeś poprawnie. Czy przeprowadziłeś resztę zaleceń? Czy w CMD już działają polskie znaczki? Czy wszystko już w porządku? . Odnośnik do komentarza
slayne Opublikowano 27 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2010 (edytowane) Wyglada na to że wszystko ok. Znaczki już są. Komputerek śmiga jak należy. Zauktualizowałem wszystkie aplikacje. Zainstalowalem Comodo Internet security bez antyvira i do tego Avire. Mam nadzięję, że na jakiś czas będzie spokój z tym kompem. Dziekuje bardzo za pomoc. Edytowane 27 Sierpnia 2010 przez picasso Temat jako rozwiązany zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi