razor130 Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Cześć Jakiś czas temu antivirus wykrył mi infekcję więc wolałbym się upewnić czy coś jeszcze tutaj siedzi: GMER: http://wklej.org/id/839801/ OTL: http://wklej.org/id/839807/ EXTRAS: http://wklej.org/id/839808/ + log z ostatniego skanowania o, którym wspominałem: http://wklej.org/id/839803/ Aha. Ponieważ, antivirus poinformował mnie też o infekcji w System Volume Information wyłączyłem przywracanie systemu: http://wklej.org/id/839809/ Oprócz tego mam w domu 4 pendrive, które są mi pilnie potrzebne, a boję się, że będą żarażone. By je sprawdzić mam wyłączyć autootwarzanie i je podłączyć jeden po drugim i przeprowadzić skanowanie czy też wykonać to w jakiś inny sposób, który zapobiegnie rozprzestrzenieniu się ewentualnej infekcji na dysk? Z góry dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 W logach nie notuję oznak infekcji czynnej, choć w autoryzacjach zapory widać procesy trojanów + jest na dysku ukryty folder "system32", z którego się uruchamiał conajmniej jeden trojan, a tenże katalog tworzył się tego samego dnia co SFBot (co sugeruje zaprawienie z paczki z dodatkiem do jakiejś gry): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"Client Server Runtime Process" = C:\Documents and Settings\UserXP\Application Data\csrss.exe"Host-process Windows (Rundll32.exe)" = C:\Documents and Settings\UserXP\Application Data\csrss.exe"Service Host Process for Windows" = C:\Documents and Settings\UserXP\Application Data\System32\svchost.exe ========== Files/Folders - Created Within 30 Days ========== [2012-09-24 23:35:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\UserXP\Application Data\SFBot[2012-09-24 07:25:00 | 000,000,000 | RHSD | C] -- C:\Documents and Settings\UserXP\Application Data\System32 Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater. Otwórz Firefox i w Dodatkach powtórz usuwanie tego samego. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\UserXP\Application Data\*.exe C:\Documents and Settings\UserXP\Application Data\System32 C:\Documents and Settings\UserXP\Application Data\SFBot netsh firewall reset /C :OTL O4 - HKLM..\Run: [] File not found SRV - File not found [Auto | Stopped] -- e:/programy/FoxServ/mysql/bin/mysqld-nt.exe -- (MySql) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\UserXP\LOCALS~1\Temp\Rar$EXa0.736\pcwiz_x32.sys -- (cpuz135) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 3 + log z usuwania AdwCleaner z punktu 2. Jakiś czas temu antivirus wykrył mi infekcję W skanie nic szczególnego: wynik w cache Java oraz trainer gry w Koszu (prawdopodobnie false alarm). Pod kątem cache Java, prewencyjnie już stosuję w skrypcie OTL komendę ogólnego czyszczenia lokalizacji Temp, co czyści i cache Java. Oprócz tego mam w domu 4 pendrive, które są mi pilnie potrzebne, a boję się, że będą żarażone.By je sprawdzić mam wyłączyć autootwarzanie i je podłączyć jeden po drugim i przeprowadzić skanowanie czy też wykonać to w jakiś inny sposób, który zapobiegnie rozprzestrzenieniu się ewentualnej infekcji na dysk? Uruchom Panda USB Vaccine i zastosuj opcję Computer Vaccination, zresetuj system. Podepnij maksymalną ilość pendrive i zrób log USBFix z opcji Listing.. . Odnośnik do komentarza
razor130 Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 AdwCleaner: http://wklej.org/id/840279/ Log OTL wykonania otrzymanego skryptu: http://wklej.org/id/840280/ Log OTL wykonany po tych wszystkich czynnościach: http://wklej.org/id/840281/ Log z Panda USB Vaccine dam za jakieś 2 godziny. Teraz mam straszne zamieszanie i muszę już wychodzić. Mam nadzieję, że to nie problem. Dziękuję, też za zainteresowanie tematem i chęć pomocy Jestem pod wrażeniem niegdysiejszej działalności na SE i teraz tutaj. P.S Co do SFBot to zapewniam, że plik jest czysty i nie jest powodem żadnej infekcji. Świadczy o tym min. raport z virustotal: https://www.virustot...sis/1349155508/ Do tego plik ten jest używany przez kilkanaście tysięcy ludzi i nikt się na nic jeszcze nie skarżył. A data utworzenia folderu (czyli wypakowania pobranego archiwum) jest późniejsza niż utworzenie folderu system32. Nie może być to więc jego sprawką. Wyjątek do zapory mógł zostać dodany ponieważ, jest to bot automatyzujący czynności. Wysyłałem te pliki do analizy za pomocą ESET. Nic nie zostało zrobione i dalej nie są wykrywane więc muszą być czyste LISTING Z USB FIX: http://wklej.org/id/840787/ Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 (edytowane) Co do SFBot to zapewniam, że plik jest czysty i nie jest powodem żadnej infekcji. Jeśli masz pewność, to OK. Już widzę, że folder wrócił na miejsce. Świadczy o tym min. raport z virustotal Swoją drogą: - Jeden skaner się wyłamał z opinii. - To przeskanowany ZIP a nie składowe, nie ma pewności czy wewnętrzne komponenty były skanowane. - VirusTotal nie jest dostatecznym dowodem, to jest skan sygnaturowy mający określone ograniczenia. Ten skan znaczy: te silniki nie widzą tam nic, co niekoniecznie jest tożsame z brakiem infekcji. Miej to na uwadze. Wyjątek do zapory mógł zostać dodany ponieważ, jest to bot automatyzujący czynności. Wpisy w zaporze to trojany, te obiekty symulujące pliki Windows csrss.exe + svchost.exe, ale uruchamiane z zupełnie innych ścieżek, nie mogą być niczym zdrowym: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"Client Server Runtime Process" = C:\Documents and Settings\UserXP\Application Data\csrss.exe"Host-process Windows (Rundll32.exe)" = C:\Documents and Settings\UserXP\Application Data\csrss.exe"Service Host Process for Windows" = C:\Documents and Settings\UserXP\Application Data\System32\svchost.exe Sam mi odróżniasz oba katalogi system32 i SFBot, a tu nagle bota zaczynasz w to mieszać. LISTING Z USB FIX Nie widzę znaków infekcji, prewencyjnie skasuj z urządzenia przez SHIFT+DEL te dwa katalogi Koszy: [14/01/2010 - 10:43:30 | SHD ] M:\Recycled[14/08/2010 - 14:26:46 | SHD ] M:\$RECYCLE.BIN Czyli zostały tylko wykończenia: 1. Drobnostka po pasku Ask. W OTL uruchom skrypt o zawartości: :OTL "IE - HKU\S-1-5-21-1085031214-436374069-1547161642-1003\..\SearchScopes\{DD166A1F-4598-4EEB-B3EE-5C5782B6DFE1}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=HIP&o=102876&src=crm&q={searchTerms}&locale=&apn_ptnrs=6G&apn_dtid=YYYYYYYYPL&apn_uid=106b1255-ee0c-4e97-bb29-78e510304dc7&apn_sauid=7324D2D2-9DAF-4A1A-9861-DBE8123097BC" 2. Wyczyść po narzędziach: odinstaluj USBFix, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób pełne skanowanie w Malwarebytes Anti-Malware, gdyż ten folder system32 trochę niepokojący. W razie wykrycia czegoś przedstaw raport. . Edytowane 3 Listopada 2012 przez picasso 3.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi