Policja cyberprzestępczość "300zł"

[elektronik]

Witam, mam komputer znajomego zainfekowany pewnie nie tylko tym trojanem jak w tytule ale z pewnością czymś więcej jeszcze, w wywiadzie usłyszałem, że próbował on programy adw i hijackthis ale jak widać bez skutku

 

Ja nie chcę mącić bo to nie jest moja mocna dziedzina więc zwracam się do fachowców. Załączam logi.

Extras.Txt

OTL.Txt

[picasso]

mam komputer znajomego zainfekowany pewnie nie tylko tym trojanem jak w tytule ale z pewnością czymś więcej jeszcze

 

Cóż, jest tu infekcja z USB również... W autoryzacjach zapory sugestia dodatkowego rootkita.

 

 

w wywiadzie usłyszałem, że próbował on programy adw i hijackthis ale jak widać bez skutku

 

Nie tylko. Stosował też TDSSKiller, ComboFix i inne.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
autorun.inf /alldrives
12gn6id2.exe /alldrives
C:\Documents and Settings\USER\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\WINDOWS\System32\drivers\DasBoot*.SYS
C:\WINDOWS\System32\DBBK
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"9394:TCP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
 
:OTL
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKCU..\Run: [nod32] C:\Documents and Settings\USER\Ustawienia lokalne\Temp\nodqq.exe ()
DRV - [2012-01-17 21:55:36 | 000,059,272 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\DasBootF.SYS -- (DasBootF)
DRV - [2012-01-17 21:55:34 | 000,020,744 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\DasBoot.SYS -- (DasBoot)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Jeśli reklamodawcze sondaże NetPanel to instalacja niecelowa, odinstaluj przez Dodaj/Usuń programy.

 

3. Google Chrome: analogicznie w Rozszerzeniach Badanie Megapanel PBI/Gemius. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy.

 

4. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz USBFix z opcji Listing.

 

 

 

.

[elektronik]

Dziękuję bardzo za tak szybką odpowiedź.

 

1. Zrobione

2. Zrobione

3. W rozszerzeniach Google Chrome pisze, że nie ma żadnych wtyczek, opcje wyszukiwarki zmienione

4. Zrobione

5. Każda próba uruchomienia GMER powoduje BSOD Stop 0x00000019 (0x00000020, 0x8998A000, 0x8998A828, 0x1B050000)

 

 

Znalazłem poprawkę do tego błędu, zainstalować?

 

http://support.micro...om/kb/946226/pl

UsbFix.txt

OTL.Txt

[picasso]

Log z USBFix błędny, zrobiłeś Research, a miało być Listing. Skrypt do OTL w połowie nie wykonany. Poprawka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [RemoveNetPanel] C:\Program Files\NetPanel\Remove.exe (Gemius)
O4 - HKCU..\Run: [nod32] C:\Documents and Settings\USER\Ustawienia lokalne\Temp\nodqq.exe ()
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"9394:TCP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
 
:Files
RECYCLER /alldrives
autorun.inf /alldrives
12gn6id2.exe /alldrives
C:\WINDOWS\System32\DBBK
 
:Services
DasBootF
DasBoot
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras), USBFix z opcji Listing oraz dołącz:

 

 

Znalazłem poprawkę do tego błędu, zainstalować?

 

To zupełnie nie związane ze sobą rzeczy. Spróbuj zrobić skan GMER po odznaczeniu w nim sekcji IAT/EAT. Przy problemach spróbuj zrobić skan w Trybie awaryjnym Windows.

 

 

3. W rozszerzeniach Google Chrome pisze, że nie ma żadnych wtyczek, opcje wyszukiwarki zmienione

 

Wprawdzie rozszerzenie Gemius zniknęło (pewnie główna deinstalacja Netpanel to ruszyła), ale nadal jest wtyczka Gemius w Google Chrome:

 

========== Chrome  ==========
 
CHR - plugin: Internet Research (Enabled) = C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jmlmanpnnbnpabnonijjmnmplnbfcgbf\1.1.0.1_0\npgemiusplugin.dll

 

Skopiuj na Pulpit plik C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences, shostuj gdzieś i wyślij mi link. Plik ręcznie zedytuję.

 

 

 

.

[elektronik]

Log z USBFix poprawiony, log z GMER zrobiony w trybie awaryjnym, nowy log z OTL.

 

Plik z Chrome

 

http://przeklej.net/down/7112969781058250910641827406149259824c00823e57b72cd276388.html

UsbFix.txt

GMER.txt

OTL.Txt

[picasso]

Tym razem skrypt do OTL pomyślnie wykonany. Lecimy dalej:

 

1. Zaplątał się jeszcze jeden folder, przez SHIFT+DEL go załat:

 

C:\Documents and Settings\All Users\Dane aplikacji\NetPanel

 

2. Przesyłam zedytowany plik Preferences do podstawienia: KLIK. Google Chrome nie może być uruchomione podczas wymiany plików, w przeciwnym wypadku plik ulegnie uszkodzeniu / resetowi. Po podstawieniu pliku uruchom tę przeglądarkę i sprawdź czy nie ma żadnego błędu.

 

3. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[elektronik]

Katalog NetPanel usuniety, plik Chrome podmieniony i program nie komunikuje o żadnym błędzie.

 

Nowy Log z OTL zrobiony.

OTL.Txt

[picasso]

Wszystko gra, edycja Google Chrome wdrożona prawidłowo i wtyczki Gemius już nie ma. Zmierzamy ku końcowi:

 

1. Wyczyść po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie (usunie też szczątki ComboFix), przez SHIFT+DEL skasuj poniżej wyliczone katalogi.

 

C:\TDSSKiller_Quarantine

C:\WINDOWS\erdnt

C:\Documents and Settings\USER\Pulpit\Stare dane programu Firefox

 

2. Zimmunizuj system pod kątem infekcji z pendrive. Zastosuj Panda USB Vaccine i opcję Computer Vaccination.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie programami Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raporty tych narzędzi. W raporcie Kasperskiego interesują mnie tylko wyniki typu "Detected".

 

 

 

.

[elektronik]

Wszystko zrobione tak jak pisałaś.

 

Malwerbytes coś znalazł, załączam log. Kaspersky nie znalazł nic.

Malwarebytes.txt

[picasso]

1. Wyniki MBAM: Backdoor.IRCBot do usunięcia, natomiast PUM.Disabled.SecurityCenter to tylko oznaczenie wyłączonych powiadomień Centrum zabezpieczeń.

 

2. Skaner Kasperskiego odinstaluj, jest jednorazowy i nie może być aktualizowany. Natomiast MBAM zostaw, przyda się do okresowych skanów ręcznych.

 

3. Istotne aktualizacje: KLIK. A mamy tu krytyczny poziom aktualizacji Windows (i XP jest odcięty od aktualizacji, bo tylko XP SP3 jest dopuszczony) oraz zainstalowane wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{90110409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

 

Czyli: pełna aktualizacja XP (SP3 + IE8 + kupa łat wydanych po), instalacja pakietu SP3 dla Office 2003, usunięcie wszystkich podanych tu pozycji Adobe i zastąpienie najnowszymi wersjami.

 

4. Dobór oprogramowania zabezpieczającego. Z darmowych propozycji przykładowo:

• Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall
  
• Antywirus: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus
  
• Pakiet: COMODO Internet Security
  

 

Uwaga poboczna: znajomy ma zainstalowanego potwora Gadu-Gadu 10. Podsuń mu alternatywy (WTW, AQQ, Kadu, Miranda). Wszystko opisane tu: KLIK.

 

 

.

[elektronik]

Oprogramowanie zabezpieczające nagrane, aktualizacje wykonuję właśnie teraz.

 

O GG wspomnę ale nie sądzę aby jego dzieciaki na to przystały :-)

 

Więc to chyba wszystko mam rozumieć? Jak tak to bardzo dziękuję za pomoc i winszuję tak bogatej wiedzy.

[picasso]

O GG wspomnę ale nie sądzę aby jego dzieciaki na to przystały :-)

 

GG10 i tak należy usunąć, wiele zintegrowanych z tym komunikatorem serwisów zostało wyłączonych (opisy graficzne, Centrum avatarów, Bliziutko). Skoro to o dzieciaki chodzi, to albo albo: najnowsza wersja GG11 (jest lepiej zrobiona, choć dalej "na bogato"), AQQ (jest bardzo cukierkowe, ma bajeranckie skórki i inne świecidełka).

 

 

Więc to chyba wszystko mam rozumieć?

 

Tak, to wszystko. Temat rozwiązany. Zamykam.

 

 

 

.