Koń trojański wykryty w consrv.dll

[roman91]

Witam,

Kaspersky wykrył mi ostatnio konia trojańskiego m.in. w plikach: consrv.cll,

- w komunikacie: Eksploit.Java.CVE-2012-0507.e wskazuje na pliki Help.class i Test.class,

- w komunikacie: Trojan.Win32.Agent2.fbwl w pliku 5d17.tmp

 

próbowałem pozbyć się problemu za pomocą programu Trojan Remover który nic nie znalazł.

 

a oto LOGi:

OTL.Txt

Extras.Txt

[picasso]

Ta infekcja musiała zostać czymś już usunięta (najbardziej prawdopodobny Kaspersky), gdy wg OTL wartość, przez którą ładuje się trojan ZeroAccess consrv.dll, jest już domyślna:

 

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 

Brak również: przekierowań Winsock oraz linka symbolicznego system64. W logu widzę jedynie odpadek po ZeroAccess (wygląda staro), naruszony plik HOSTS oraz adware. I tym się zajmiemy:

 

1. Zrekonstruuj brakujący HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost
#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

2. Odinstaluj adware:

- Otwórz Firrefox i w Dodatkach odinstaluj: ADDICT-THING, incredibar.com, Protector by IB, StartNow Toolbar

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: ADDICT-THING, StartNow.

- Przez Panel sterowania odinstaluj: Babylon toolbar on IE, StartNow Toolbar.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\Marcin\AppData\Local\64e22528
C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\f4vdzjzg.default\searchplugins\yahoo-zugo.xml
 
:OTL
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111210&user_guid=38B2D127D04347D6BB8D2BD23979857E&machine_id=342a022ffddb92943cc5710f4e204cb6&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}"
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101240&mntrId=78e146b90000000000004cedde9b0759"
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyfeTHoOl&i=26"
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{12A1F20A-2BD5-444E-81FF-18295F38C6E0}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

.

[roman91]

Wykonałem wszystko jak mi poleciłaś, jedynie dodatku Protector by IB nie znalazłem w firefoxie więc nie miałem go jak odinstalować.

 

A oto LOGi:

AdwCleanerS1.txt

OTL.Txt

[picasso]

1. Ten Protector by IB nadal widoczny w logu (AdwCleaner spuścił tylko 32-bitową połowę). Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

 

Ze środka z prawokliku skasuj wartość {336D0C35-8A85-403a-B9D2-65C292C39087}.

 

2. Nadal nie odtworzyłeś prawidłowo pliku HOSTS i adnotacja stoi:

 

Hosts file not found

 

Powtarzaj operację. Przypominam: plik nie ma mieć żadnego rozszerzenia. Nazwa hosts a nie hosts.txt.

 

 

.

[roman91]

Zrobione.

OTL.Txt

[picasso]

Zrobione. Kolejne działania:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj poniższe foldery z dysku.

 

[2012/08/28 21:08:08 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET
[2012/08/28 21:08:08 | 000,000,000 | ---D | C] -- C:\Program Files\ESET

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób pełne skanowanie w Malwarebytes Anti-Malware. Gdyby coś wykrył, przedstaw raport.

 

 

 

.

[roman91]

Zrobione, Malwarebytes wykrył 3 zagrożenia:

 

LOG:

 

Malwarebytes Anti-Malware (Okres testowy) 1.62.0.1300

www.malwarebytes.org

 

Wersja bazy: v2012.09.08.04

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Marcin :: MARCIN-KOMPUTER [administrator]

 

Ochrona: Włączona

 

2012-09-08 18:16:37

mbam-log-2012-09-08 (19-42-32).txt

 

Typ skanowania: Pełne skanowanie (C:\|D:\|)

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 459871

Upłynęło: 1 godzin(y), 20 minut(y), 57 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

 

Wykrytych plików: 3

C:\ProgramData\ADDICT-THING\bhoclass.dll (PUP.DownloadnSave) -> Nie wykonano akcji.

D:\instalki\ESET_NOD32_Antivirus_x64_(wersja_64bit)\x64(wersja 64bit)\ESET PureFix v2.02\ESET PureFix v2.02.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.

D:\instalki\mo2010p\Aktywator\Aktywator.exe (PUP.RiskwareTool.CK) -> Nie wykonano akcji.

 

(zakończone)

 

[picasso]

1. Wyniki MBAM: przez SHIFT+DEL skasuj folder C:\ProgramData\ADDICT-THING i powtórz czyszczenie folderów Przywracania systemu. A za te dwa pozostałe "aktywatory" głowy nie podłożę.

 

2. Na zakończenie zrób podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych co ma taką kwalifikację:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

Czyli brak Service Pack dla Windows 7 + reszta do aktualizacji.

 

 

PS. I polecam obejrzenie alternatyw dla koszmarnego Gadu-Gadu 10: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

 

 

[roman91]

Dzięki za pomoc

 

Instalacja Servis Packa zostala odrzucona "Dodatek Windows 7 Servis Pack 1 jest już zainstalowany".

W przypadku internet explorera podobnie, czyli że jest zainstalowana nowsza wersja IE.

 

Koniec końców miałem tego konia trojańskiego czy to tylko błąd który wynikał z bałaganu na kompie??

[picasso]

Instalacja Servis Packa zostala odrzucona "Dodatek Windows 7 Servis Pack 1 jest już zainstalowany".

W przypadku internet explorera podobnie, czyli że jest zainstalowana nowsza wersja IE.

 

Coś mi się tu nie zgadza. Wg OTL owszem IE9 był zainstalowany (i tego nie kazałam aktualizować), ale nie SP1. No chyba, że został doinstalowany już po ostatnim sprawdzaniu OTL. Co widzisz w Panel sterowania > System i zabezpieczenia > System > Wersja systemu Windows. Czy jest napis "Service Pack 1"?

 

 

Koniec końców miałem tego konia trojańskiego czy to tylko błąd który wynikał z bałaganu na kompie??

 

Był na dysku i trudno określić z jakiego czasu pochodził (to mogły być jakieś starsze ślady), został usunięty przez Kasperskiego.

 

 

 

.

[roman91]

Właśnie sprawdziłem i zgadza się, mam SP1.

Dziękuje za pomoc. Temat do zamknięcia.