kamil185 Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Cześć, piszę z wielką prośbą o pomoc. Od jakichś 2 dni ESET wywala mi w okienku informacje o tym że znalazł kilka trojanów, ale nic nie jest w stanie z tym zrobić. Co chwila pojawiają się info o zagrożeniu: Win64/Agent.BA, Conedex.A, Conedex.B, Conedex.C. Nie mam pojęcia co z tym zrobić, zwłaszcza że jestem raczej zielony w kwestiach związanych z tymi sparawami. Dodam jeszcze, że problem pojawił się po tym gdy dziewczyna ściągnęła jakiś film z torrentów. Proszę o pomoc w celu pozbycia się tego syfu. Pozdrawiam, Kamil OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 To co wykrywa ESET to niewątpliwie trojan ZeroAccess. Na podstawie raportów nasuwa się, że w wariancie modyfikującym systemowy plik services.exe. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i do skanu wklej: :filefind services.exe Klik w Look. 2. Zrób raport z Farbar Service Scanner. . Odnośnik do komentarza
kamil185 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 zrobione. SystemLook 30.07.11 by jpshortstuff Log created at 19:24 on 28/11/2012 by xx Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\ERDNT\cache64\services.exe --a---- 389632 bytes [16:34 13/12/2010] [11:16 02/11/2006] 0A87F57DFC2C0EB9BBA8BE1C87BAFE1A C:\Windows\System32\services.exe --a---- 387072 bytes [09:10 02/11/2006] [11:16 02/11/2006] D16CB603DCE558B6F139BD457FC4B737 C:\Windows\SysWOW64\services.exe --a---- 279552 bytes [12:21 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_294799ef88bb616c\services.exe --a---- 389632 bytes [09:10 02/11/2006] [11:16 02/11/2006] 0A87F57DFC2C0EB9BBA8BE1C87BAFE1A C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [12:21 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 -= EOF =- FSS.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Nie zauważyłam: sekcja sterowników wygląda podejrzanie, brak poboru danych, co wskazuje na ich zablokowanie. Te objawy sugerują jeszcze dodatkową infekcję, czyli rootkita Necurs... Na razie zabiorę się za to co wiem na 100%: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Jeśli komunikat poprosi o restart w celu ukończenia leczenia pliku, zatwierdź. Jeśli jednak pojawi się tu jakiś błąd, STOP, przerwij działania i natychmiast zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończenia resetu Winsock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{573143d4-d182-4232-867c-3f6cbe8e5d49} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\xx\AppData\Local\Temp*.html C:\Users\xx\AppData\Roaming\Babylon :OTL IE - HKLM\..\SearchScopes\{03DAB932-EE0E-46B0-8360-4A0CAEB6B4BC}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-2673204613-368906333-3825526655-1000\..\SearchScopes\{03DAB932-EE0E-46B0-8360-4A0CAEB6B4BC}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-2673204613-368906333-3825526655-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5047e90b-3f9c-11e1-9160-f3d8330a398f&q={searchTerms}" O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found IE - HKLM\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found. O2 - BHO: (TheBflix Class) - {F0CEC09A-7AC2-4836-B069-F9C62A73260A} - Reg Error: Value error. File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found. :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 5. Deinstalacje adware i niepożądanych obiektów: Odinstaluj paczkę Mega Codec Pack, na forum dziwne rzeczy się działy przy jej obecności. Deinstalator jest prawdopodobnie w menu Start. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3, vShare.tv plugin 1.3, TheBflix oraz przestarzały program Spybot - Search & Destroy. Tak, te wtyczki do transmisji video to nie pomyłka, to siedlisko adware. Otwórz Google Chrome i w Rozszerzeniach usuń LiveVDO plugin, TheBflix, vshare plugin. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 7. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner, SystemLook na ten sam warunek co poprzednio. Uruchom Kaspersky TDSSKiller, a jeśli coś wykryje wszędzie ustaw Skip i przedstaw log do oceny. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
kamil185 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Wszystko zrobione w kolejności opisanej powyżej. ESET się uspokoił i niczego już nie pokazuje. TDSSKiller znalazł jedynie 1 zagrożenie (sterownik SPTD od emulatora). Dołączam pliki. SystemLook 30.07.11 by jpshortstuff Log created at 21:13 on 28/11/2012 by xx Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\ERDNT\cache64\services.exe --a---- 389632 bytes [16:34 13/12/2010] [11:16 02/11/2006] 0A87F57DFC2C0EB9BBA8BE1C87BAFE1A C:\Windows\System32\services.exe --a---- 389632 bytes [09:10 02/11/2006] [11:16 02/11/2006] 0A87F57DFC2C0EB9BBA8BE1C87BAFE1A C:\Windows\SysWOW64\services.exe --a---- 279552 bytes [12:21 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_294799ef88bb616c\services.exe --a---- 389632 bytes [09:10 02/11/2006] [11:16 02/11/2006] 0A87F57DFC2C0EB9BBA8BE1C87BAFE1A C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [12:21 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 -= EOF =- OTL.Txt FSS.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2012 Zgłoś Udostępnij Opublikowano 29 Listopada 2012 Infekcja ZeroAccess pomyślnie usunięta, plik services.exe wyleczony, usługi usunięte przez trojana zrekonstruowane. TDSSKiller nie znalazł nic ciekawego. Pomimo tego nadal nie mogę się "uspokoić", sterowniki w raporcie OTL wyglądają nienormalnie, nie są pobrane ich dane np. producent: ========== Driver Services (SafeList) ========== DRV:64bit: - [2012-08-21 12:01:20 | 000,033,240 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2011-12-16 12:18:56 | 000,014,464 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wdcsam64.sys -- (WDC_SAM) DRV:64bit: - [2011-05-10 07:06:08 | 000,051,712 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\usbaapl64.sys -- (USBAAPL64) DRV:64bit: - [2010-06-25 15:08:56 | 000,036,928 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\htcnprot.sys -- (htcnprot) DRV:64bit: - [2010-04-15 09:45:57 | 000,834,544 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd) DRV:64bit: - [2010-04-07 20:08:28 | 000,067,080 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\epfwtdi.sys -- (epfwtdi) DRV:64bit: - [2010-04-07 20:08:28 | 000,033,608 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Epfwndis.sys -- (Epfwndis) DRV:64bit: - [2010-04-07 20:08:26 | 000,169,592 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\epfw.sys -- (epfw) DRV:64bit: - [2010-04-07 20:07:10 | 000,139,704 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\ehdrv.sys -- (ehdrv) DRV:64bit: - [2010-04-07 20:03:52 | 000,163,888 | ---- | M] () [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\eamonm.sys -- (eamonm) DRV:64bit: - [2009-06-09 23:46:06 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\ANDROIDUSB.sys -- (HTCAND64) DRV:64bit: - [2009-04-30 18:01:50 | 000,267,312 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\SynTP.sys -- (SynTP) DRV:64bit: - [2009-03-31 08:26:20 | 005,430,272 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\NETw5v64.sys -- (NETw5v64) DRV:64bit: - [2008-10-22 16:42:06 | 000,128,352 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\jmcr.sys -- (JMCR) DRV:64bit: - [2008-09-24 12:39:48 | 000,058,912 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA) DRV:64bit: - [2008-09-04 00:48:00 | 000,064,000 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\enecir.sys -- (enecir) DRV:64bit: - [2008-08-05 23:26:08 | 000,174,592 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169) DRV:64bit: - [2008-06-23 10:54:02 | 000,099,368 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\btwavdt.sys -- (btwavdt) DRV:64bit: - [2008-06-23 10:54:02 | 000,091,176 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\btwaudio.sys -- (btwaudio) DRV:64bit: - [2008-06-23 10:54:02 | 000,019,752 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\btwrchid.sys -- (btwrchid) DRV:64bit: - [2008-03-27 11:10:56 | 000,026,984 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\hpdskflt.sys -- (hpdskflt) DRV:64bit: - [2008-03-27 11:10:14 | 000,040,296 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Accelerometer.sys -- (Accelerometer) DRV:64bit: - [2007-06-18 16:13:12 | 000,018,432 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\HpqKbFiltr.sys -- (HpqKbFiltr) DRV:64bit: - [2006-11-02 10:56:46 | 000,046,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb) DRV:64bit: - [2006-11-02 10:47:06 | 000,018,944 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usb8023x.sys -- (usb_rndisx) DRV:64bit: - [2006-11-02 10:46:23 | 000,140,288 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\RMCAST.sys -- (RMCAST) DRV:64bit: - [2006-11-02 10:10:09 | 000,103,936 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\sdbus.sys -- (sdbus) DRV:64bit: - [2006-11-02 10:00:47 | 000,016,384 | ---- | M] () [Recognizer | System | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) Dodatkowo, plik userinit.exe nie ma opisu "Microsoft": O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe () Podaj mi kolejny skan w SystemLook, tym razem na warunki: :filefind userinit.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers /s Mam też pytanie: czy na Pulpicie widzisz może znak wodny "Tryb testu"? . Odnośnik do komentarza
kamil185 Opublikowano 29 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2012 Nie mam żadnych znaków wodnych na pulpicie i nie kojarzę aby kiedykolwiek były. Nie wiem czy to ma jakieś znaczenie, ale komputer pochodzi z zagranicy i był od nowości używany przez kilka dni przez jakąś firmę zanim trafił do mnie. Mam go ponad 3 lata i do tej pory nic niepokojącego się nie działo. poniżej log z SL. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2012 Zgłoś Udostępnij Opublikowano 30 Listopada 2012 (edytowane) Ze znakiem wodnym chodzi mi o to, że obecność infekcji Necurs ma takie skutki. Tu jest dziwna sprawa, bo pośrednie znaki w raporcie sugerują tę infekcję, ale brak potwierdzenia jej wystąpienia. W każdym razem są elementy w raporcie wyglądające nienormalnie, tak jakby obiekty były zablokowane. Porzucam to na razie, bo tu się szykuje aktualizacja Windows i być może zmieni się wszystko diametralnie po niej. Na teraz wykonaj następujące poprawki: 1. Przez SHIFT+DEL skasuj foldery: C:\Program Files (x86)\Mega Codec Pack C:\Users\xx\Downloads\Desktop\Stare dane programu Firefox C:\Windows\ERDNT 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@veetle.com/vbp;version=0.9.17] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. W Google Chrome są nadal odpadkowe wtyczki: ========== Chrome ========== CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dllCHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll Usunięcie tego wymaga już edycji kodu pliku preferencji. Przekopiuj na Pulpit ten plik: C:\Users\xx\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i wyślij mi link. Ja plik zedytuję i odeślę z powrotem. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi