Podejrzenie Infekcji

[paweldiabel]

Witam:)

Zauważyłem że w menadżerze urządzeń automatycznie uruchamiaja się dwa procesy: Host okna konsoli oraz Proces poleceń systemu windows 32.

http://fotoo.pl/show.php?img=437529_clipboard02.jpg.html

 

Kilka partycji na dysku otwiera się autamatycznie. Kursor myszy zaczyna skakac po całym pulpicie. Przedstawiam logi z SecurityCheck, oraz OTL

Z góry dziekuje za pomoc

 

 

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

ESET NOD32 Antivirus 4.2

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

TuneUp Utilities 2012 wersja 12.0.3600.104

Java version out of Date!

Adobe Flash Player 11.5.502.110

Adobe Reader 10.1.4 Adobe Reader out of Date!

Mozilla Firefox 16.0.2 Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

ESET NOD32 Antivirus egui.exe

ESET NOD32 Antivirus ekrn.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

[picasso]

Tak, jest tu infekcja.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{FE9D6929-D583-4b0b-98B8-B0D683887D05}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=1e7e7ca8-1e72-11e1-9a2b-bcaec55be2da&q={searchTerms}"
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\Windows\system32\npDeployJava1.dll File not found
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O4 - HKLM..\Run: [Windows Explorer] C:\Users\xxx\msdata\iexplorer.exe ()
O4 - HKU\S-1-5-21-3004489891-4264017248-1406925710-1000..\Run: [Win Update] C:\Users\xxx\AppData\Roaming\Win Update.exe (Gyazo)
O4 - HKU\S-1-5-21-3004489891-4264017248-1406925710-1000..\Run: [Windows Explorer] C:\Users\xxx\msdata\iexplorer.exe ()
O4 - HKU\S-1-5-21-3004489891-4264017248-1406925710-1000..\Run: [WindowsDefender] C:\Users\xxx\Documents\Windows\firewall.exe File not found
O4 - HKU\S-1-5-21-3004489891-4264017248-1406925710-1000..\Run: [WindowsWorker] C:\Users\xxx\Documents\Windows\winworker.exe File not found
 
:Files
C:\Users\xxx\msdata
C:\Users\xxx\Drivers
C:\Users\xxx\Documents\Windows
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Masz uszkodzony Winsock. Wykonaj reset części NameSpace przez import stosownego pliku REG: KLIK. Zresetuj system.

 

3. W Firefox w Dodatkach odinstaluj adware OneClickDownloader. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan (sponsor paczek Adobe).

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dodatkowo, podaj mi co jest w poniższym katalogu:

 

C:\Users\xxx\AppData\Roaming\Theta

 

 

 

.

[paweldiabel]

okey wszystkie podpunkty wykonałem. dodaje nowe logi

 

punkt 4

C:\Users\xxx\AppData\Roaming\Theta

 

u mnie jest tak

C:\Users\xxx\AppData\Roaming\Theta\Orbit\54\1.save(93kb) , 2.save(3kb)

OTL.Txt

UsbFix.txt

[picasso]

Infekcja pomyślnie usunięta.

 

1. Poprawka, nie puściły dwa wpisy w starcie (obecnie już puste) i folder. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Windows Explorer] C:\Users\xxx\msdata\iexplorer.exe File not found
O4 - HKU\S-1-5-21-3004489891-4264017248-1406925710-1000..\Run: [Windows Explorer] C:\Users\xxx\msdata\iexplorer.exe File not found
[2012-11-22 07:25:23 | 000,000,000 | -HSD | C] -- C:\Users\xxx\msdata

 

Klik w Wykonaj skrypt. Tym razem nie będzie resetu.

 

2. W OTL uruchom Sprzątanie, które skasuje kwarantannę z trojanami. Odinstaluj USBFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek zrób jeszcze skanowanie za pomocą Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[paweldiabel]

punkt 1- okey

punkt 2 zrobiony

 

u mnie punkt 3 wyglada tak

Wystąpił nieoczekiwany błąd na stronie właściwości:

Błąd przywracania systemu. Spróbuj ponownie użyć przywracania systemu. (0x81000203)

Zamknij stronę właściwości i spróbuj ponownie.

 

Punkt 4 nowy log

mbam-log-2012-11-27 (12-29-16).txt

[picasso]

Wystąpił nieoczekiwany błąd na stronie właściwości:

Błąd przywracania systemu. Spróbuj ponownie użyć przywracania systemu. (0x81000203)

Zamknij stronę właściwości i spróbuj ponownie.

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik na "Dostawca kopiowania w tle oprogramowania firmy Microsoft" i Typ uruchomienia zmień na Ręcznie. Zweryfikuj czy nadal występuje błąd 0x81000203.

 

 

Punkt 4 nowy log

 

Pliki wykryte jako Trojan.MSIL + Heuristics.Shuriken to trojany i czym prędzej do usunięcia. Natomiast Security.Hijack punktujący itunes.exe nie wygląda mi na problem, w logu jako debugger tych procesów stoi TuneUp:

 

O27:64bit: - HKLM IFEO\itunes.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software)
O27 - HKLM IFEO\itunes.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software)

 

 

 

.

[paweldiabel]

błąd 0x81000203 nie odnotowano

 

Pliki wykryte jako Trojan.MSIL + Heuristics.Shuriken to trojany i czym prędzej do usunięcia. Natomiast Security.Hijack punktujący itunes.exe nie wygląda mi na problem, w logu jako debugger tych procesów stoi TuneUp:

O27:64bit: - HKLM IFEO\itunes.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software)

O27 - HKLM IFEO\itunes.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software)

 

 

rozumiem że mam odinstalować TUNEUP..

[picasso]

rozumiem że mam odinstalować TUNEUP..

 

Zupełnie nie o to mi chodzi. Ja wskazuję, że MBAM podaje jako "Security.Hijack" wpis, który wg OTL jest całkowicie poprawny (debuger TuneUp na procesie iTunes, debuger ten zresztą jest na wielu innych procesach).

 

 

 

.

[paweldiabel]

Proszę o pomoc jeszcze z Trojan.MSIL + Heuristics.Shuriken które wykrył Malwarebytes Anti-Malware

[picasso]

Przecież miałeś je usunąć za pomocą MBAM ... Jaki tu jest problem?

[paweldiabel]

Przecież miałeś je usunąć za pomocą MBAM ... Jaki tu jest problem?

 

nie ma żadnego problemu. usunąłem te dwa pliki o które Prosiłaś. Myślałem że nowe logi będę musiał przedstawić

 

dziękuje za pomoc! Pozdrawiam

[picasso]

Na zakończenie:

 

1. Nastąpiły tu nowe zmiany konfiguracyjne, toteż ponów czyszczenie folderów Przywracania systemu.

 

2. Odinstaluj starsze wersje Java i Adobe Reader, zastąp najnowszymi, zaktualizuj Firefox: KLIK. Wg OTL masz obecnie zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417004FF}" = Java™ 7 Update 4 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)

 

 

 

.

[paweldiabel]

Na zakończenie punkt 1 oraz 2 zaktualizowane