Infekcja systemu/Trojan/podmiana strony startowej

[Onlyone]

Witam, kilka dni temu podmieniła mi się strona startowa w każdej przeglądarce na gaxpa-search.com/

Pomimo zmieniana preferencji po ponownym uruchomieniu jest to samo, dzisiaj rano komputer nie chciał się uruchomić, skorzystałem z naprawy systemu i przywróciło system do wcześniejszej daty, wszystko było ok dopóki znowu nie uruchomiłem komputera, strona startowa znowu podmieniona i Nod wykrył Trojana którego nie może usunąć.

 

Chciałem użyć tego Combo ale wczytując się postanowiłem założyć temat żeby nie zepsuć sobie systemu

Skorzystałem z podanego programu diagnozującego , logi w załączniku:

 

Z góry dziękuję za udzieloną pomoc, forum mnie zainteresowało i na pewno wgłębię się w techniki dezinfekcji i zabezpieczeń komputera choć pewnie będzie to trudne dla takiego laika jak ja ; )

Pozdrawiam

OTL.Txt

Extras.Txt

[Landuss]

Rzeczywiście masz aktywną infekcję nadal i trzeba teraz to usuwać.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | Auto | Running] -- C:\Windows\TEMP\5689.sys -- (5689)
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599"
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599"
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [Client Server Runtime Process] C:\Users\Bieszkowice\AppData\Roaming\System32\csrss.exe ()
O4 - HKCU..\Run: [HD VGA] C:\Users\Bieszkowice\AppData\Roaming\hrtgf.exe ()
O4 - HKCU..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Bieszkowice\AppData\Roaming\csrss.exe ()
O4 - HKCU..\Run: [Microsoft Windows Mgr] C:\Users\Bieszkowice\86df68d668d68d\winsro.exe (CcvNnYGSUt)
O4 - HKCU..\Run: [Microsoft Windows Service] C:\Users\Bieszkowice\M-87-78985-6027-77788\winsvcr.exe ()
O4 - HKCU..\Run: [RAVCpl64] C:\Users\Bieszkowice\AppData\Roaming\RAVCpl64.exe ()
O4 - HKCU..\Run: [RegistryWm] C:\Users\Bieszkowice\AppData\Roaming\qtwm.exe ()
O4 - HKCU..\Run: [service Host Process for Windows] C:\Users\Bieszkowice\AppData\Roaming\System32\svchost.exe ()
O4 - HKCU..\Run: [sonyAgent] C:\Windows\Temp\temp01.exe ()
F3 - HKCU WinNT: Load - (C:\Users\BIESZK~1\LOCALS~1\Temp\mswfzrx.com) - C:\Users\BIESZK~1\LOCALS~1\Temp\mswfzrx.com ()
 
:Files
C:\Users\Bieszkowice\AppData\Roaming\System32
C:\Users\Bieszkowice\86df68d668d68d
C:\Users\Bieszkowice\57d57f7f5dd578f
C:\Users\Bieszkowice\M-7789-987987-6027-979878
C:\Users\Bieszkowice\M-87-7677-6027-77788
C:\Users\Bieszkowice\M-87-78985-6027-77788
C:\Users\Bieszkowice\AppData\Roaming\hrtgf.exe
C:\Users\Bieszkowice\AppData\Roaming\svchost.exe
C:\Users\Bieszkowice\AppData\Roaming\rundll32.exe
C:\Users\Bieszkowice\AppData\Roaming\csrss.exe
C:\Users\Bieszkowice\AppData\Roaming\qtwm.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Conduit Engine / InnoGames Polska Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Onlyone]

Przy 1 punkcie wyświetlił się niebieski ekran i nastąpił restart komputera, przy 2 punkcie byłem bezradny gdyż przy wciskaniu odinstaluj nie nastąpiła żadna reakcja, przeszedłem do punktu 3, po restarcie komputera zajrzałem ponownie w panel sterowania i w/w programów już nie było, punkt 4 w załączniku. Przepraszam że tak pózno ale miałem sporo pracy a wieczór spędziłem ze znajomymi, te operacje robiłem ok godziny 15, teraz robie tylko ponownie logi z OTL bo wtedy nie zdążyłem.

 

Strona startowa dalej się podmienia ;(

2OTL.Txt

[Landuss]

Skrypt nie został wykonany i dlatego strona się podmienia a infekcja nadal aktywna. Wykonaj raz jeszcze skrypt z punktu 1 z trybu awaryjnego.

[Onlyone]

Wykonałem z trybu awaryjnego, tym razem trwało to kilka minut i ukazał się raport po restarcie, wydaję mi się że wykonałem to tak jak należy, raport i nowy skan w załączniku.

 

Raportu nie mogę dodać do załączników bo pokazuje że nie mam uprawnień, wrzucić na jakiś hosting czy nie jest potrzebny ?

3OTL.Txt

[Landuss]

Raport z usuwania nie jest mi do niczego potrzebny. Doskonale widzę co zostało usunięte po nowym logu ze skanowania.

 

Jeszcze jeden obiekt się ostał i plik hosts ma też nałożone atrybuty których mieć nie powinien więc wykonaj kolejny skrypt o takiej zawartości:

 

:OTL
O4 - HKU\S-1-5-21-3841802427-667441520-3185586369-1001..\Run: [Windows System Controler] c:\users\public\nvsvc32.exe ()
 
:Files
attrib /d /s -r -s -h C:\Windows\System32\drivers\etc\hosts /C
 
:Commands
[reboot]

 

Po wykonaniu skryptu pokazujesz nowy log ze skanowania.

[Onlyone]

Tym razem usuwanie trwało bardzo krótko, mniej niż 3s, przy nowym skanowaniu NOD wykrył wirsusa więc chyba jeszcze nie wszystko zostało wyleczone ;(

 

Zapomniałem dodać że po tym usuwaniu na pulpicie pojawiły mi się nowe ikoni, ok 6 ikonek 2 z wordem ale nie można wyswietlić zawartości, jakis desktop i jakis zip, wszystkie ikoni są szarawe, wyróżniające sie od innych, coś jak pliki systemowe.

4OTL.Txt

[Landuss]

Według loga wszystko zostało usunięte. A te ikonki na pulpicie to ukryte obiekty, OTL zmienił opcje widoku. Możesz je ponownie przestawić w panelu sterowania i zostaną ukryte. Wykonaj czynności końcowe.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.5 - Polish

"Mozilla Firefox 10.0 (x86 pl)" = Mozilla Firefox 10.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

[Onlyone]

Sciągam właśnie servis pack, mam tylko pytanie jak to wygląda z akyualizacjami systemu a jego legalnością gdyż zdaję sobie sprawę że windows wgrywał mi mój kuzyn informatyk...

[Landuss]

Aktualizacje systemu normalnie można wykonywać bez względu na to czy system jest oryginalny czy nie. To nie ma nic do rzeczy.

[Onlyone]

Dobrze, ale podczas ściągania znów wyświetlił mi się ten bluescreen i po restarcie Nod znowu dał komunikat o wirusie, oczywyście nie może go usunąć ;/

 

Teraz widzę że gdzieś zniknął mi ten OTL, zostały mi tylko po nim raporty ze skanowania w notatnikach.

 

 

edit: ponowny komunikat Noda, koń trojański który nie może usunąć, zapamiętałem że jest on w folderze win/sys32/wdf101000.sys jakoś tak..

[Landuss]

Teraz widzę że gdzieś zniknął mi ten OTL, zostały mi tylko po nim raporty ze skanowania w notatnikach.

 

Przecież opcja Sprzątanie której użyłeś ma na celu usunięcie OTL i jego komponentów. Tego programu nigdy się nie trzyma na dysku bo często jest aktualizowany.

 

po restarcie Nod znowu dał komunikat o wirusie

 

Gdzie to wykrył? Jaki plik i lokalizacja?

[Onlyone]

Nie dało się skopiować tego komunikatu a teraz nie wiem jak to znaleść, z tego co zapamiętałem to był to folder: windows/system32/wdf10100.sys o ile się nie mylę.

[Landuss]

Ale screena przecież mogłeś zrobić. Pokaż jeszcze log z Gmer

[Onlyone]

Udało mi się zrobić ss

 

 

Log z gmer mam nadzieje prawidłowy, wyłączyłem Noda i zapore systemu.

gmer.txt

[Landuss]

Log z Gmer jest podejrzany. Wykonaj skan za pomocą Kaspersky TDSSKiller i daj z niego raport.

[Onlyone]

Podany program wykrył wirusa, z opcja cure(leczenie) kontynuowałem proces, oto raport który był po restarcie: EDIT: podane w następnym poście.

[picasso]

To nie jest właściwy log z usuwania, szukaj tego, w którym jest nagrane usuwanie i podmień załączniki w poprzednim poście. I podaj też nowy log z GMER.

[Onlyone]

Początkowo nie mogłem znaleść tego raportu, okazało się że jest bezpośrednio na dysku C, ogólnie są tam 3 raporty ale dwa takie same jak już podałem, o to ten właściwy, przynajmniej tak mi sie wydaje, w poprzednim poście też już podmieniłem więc jest teraz podwójnie.

TDSSKiller.2.8.13.0_23.10.2012_20.35.28_log.txt

Nowy dokument tekstowy.txt

[picasso]

Infekcja rootkit wygląda na pomyślnie wyleczoną. Wykonaj poprawki i zakończ temat:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Bieszkowice\AppData\Roaming\winsvcns.sys
C:\Users\Bieszkowice\Desktop\sweetimsetup.exe
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Plik HOSTS nadal nie ma domyślnej zawartości z Windows 7 (na Windows 7 wszystkie linie są skomentowane = nieczynne), ani prawidłowych atrybutów. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\System32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. AdwCleaner zniszczył układ domyślnych wyszukiwarek Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{8244774D-3D97-43CF-B5D1-AAA115717EC7}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal

 

4. Usuń TDSSKiller, przez SHIFT+DEL skasuj kwarantannę C:\TDSSKiller_Quarantine. I ponów czyszczenie folderów Przywracania systemu.

 

5. Aktualizacje wskazane wcześniej nadal aktualne.

 

6. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

[Onlyone]

Wszystko gra, dziękuję ; )