Trojan TR/Graftor

[eto]

Witam. Mam problem z trojanami. Antywirus cały czas blokuje dostęp do nich. Proszę o sprawdzenie logów oraz ewentualną pomoc. Log z gmera dorzuce jak sie zrobi skan.

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-09-16 15:30:23

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380215A rev.3.AAD

Running: zhu1341j.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pxtdapoc.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT F7CFD26C ZwClose

SSDT F7CFD226 ZwCreateKey

SSDT F7CFD276 ZwCreateSection

SSDT F7CFD21C ZwCreateThread

SSDT F7CFD22B ZwDeleteKey

SSDT F7CFD235 ZwDeleteValueKey

SSDT F7CFD267 ZwDuplicateObject

SSDT F7CFD23A ZwLoadKey

SSDT F7CFD208 ZwOpenProcess

SSDT F7CFD20D ZwOpenThread

SSDT F7CFD28F ZwQueryValueKey

SSDT F7CFD244 ZwReplaceKey

SSDT F7CFD280 ZwRequestWaitReplyPort

SSDT F7CFD23F ZwRestoreKey

SSDT F7CFD27B ZwSetContextThread

SSDT F7CFD285 ZwSetSecurityObject

SSDT F7CFD230 ZwSetValueKey

SSDT F7CFD28A ZwSystemDebugControl

SSDT F7CFD217 ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF6A99A0C]

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 011D0C00 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!lstrlenW + 43 7C809AEC 7 Bytes JMP 01407B4C C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!MapViewOfFileEx + 6A 7C80B9A0 7 Bytes JMP 01407B29 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!ValidateLocale + B130 7C844958 7 Bytes JMP 011D3FAC C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] GDI32.dll!SetDIBitsToDevice + 20A 77F19E14 7 Bytes JMP 01407AAA C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- EOF - GMER 1.0.15 ----

OTL.Txt

Extras.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKU\S-1-5-21-1547161642-1580818891-839522115-1004..\Run: [Km4IYIkg] C:\Documents and Settings\All Users\lmLxXwdYVbnAWKH\hoBZio4O1n1y\rNWk3553H4er7khx\YMbzK55VjPD99C\TiO78NCMkJNHhl\abSh3T5y9.exe ()
 
:Files
C:\Documents and Settings\All Users\lmLxXwdYVbnAWKH
C:\Documents and Settings\All Users\5483Kq8M.exe
C:\Documents and Settings\All Users\EHkS5HuNQ.cpl
C:\Documents and Settings\All Users\qR53eMYK.exe
C:\Documents and Settings\All Users\qZfwivuedD7.cpl
C:\Documents and Settings\All Users\TjvUOPaoE.cpl
C:\Documents and Settings\All Users\2318cbf45df6208ecd4ec036b6d482bb15d1be41
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[eto]

Witam. Podaję logi z usuwania i kolejny z OTL.

log z usuwania.txt

OTL.Txt

[Landuss]

Infekcja jak była tak jest. Spróbujmy inaczej zrobić.

 

1. Uruchom zgodnie z opisem narzędzie ComboFix.

 

2. Gdy ukończy pracę przedstaw z niego raport oraz nowy log z OTL wykonany po pracy ComboFix.

[eto]

nie wiem czy to możliwe ale chyba antywirus przyblokował usuwanie przez OTL bo wyskoczyło okno z antywirusa, że zablokowano dostęp do pliku. Może wyłączyć go i powtórzyc skrypt OTL?

[Landuss]

Wszelkie oprogramowanie zabezpieczające ma być WYŁĄCZONE na czas wykonywania skryptów. Możesz spróbować zrobić skrypt z trybu awaryjnego nawet. Sprawdź a jeśli się nie powiedzie to zrobisz jak wyżej napisałem.

[eto]

Jednak OTL nie usunał tego po wyłączeniu antywirusa. Podaje zatem wyniki pracy ComboFix

ComboFix.txt

OTL.Txt

[Landuss]

ComboFix też się za bardzo nie popisał, ale co nieco usunął. Poprawka przez OTL.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKCU..\Run: [uyBy4LQVC] C:\Documents and Settings\All Users\0YZ1lPm4whVMN1bm\iSFG1QWgA6Qs\M9arWv3F2X8qXBS\1pfujyBz.exe ()
[2012-09-22 09:20:05 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\0YZ1lPm4whVMN1bm
[2012-09-20 17:15:54 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\tmdrsMIXwN1dwFS
[2012-09-16 19:43:35 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\VjxXNBhrEqxcIh
[2012-09-22 09:20:05 | 000,000,231 | ---- | M] () -- C:\Documents and Settings\All Users\2318cbf45df6208ecd4ec036b6d482bb15d1be41
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

[eto]

Witam. Teraz chyba OTL zrobił swoje. Pliki usuniete. Znikneły wpisy w msconfig. Poadje wyniki pracy z OTL.

log z usuwania.txt

OTL.Txt

[Landuss]

Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Możesz wykonać skan przez Malwarebytes Anti-Malware

[eto]

Czy OTL usuwa Combo Fixa? Czy odzielnie go odinstalować przez przełącznik / uninstall?

[Landuss]

Możesz przez uninstall. A więc Start > uruchom > cmd i wklep "ścieżka do ComboFix" /uninstall