Kontrowersyjne działanie przeglądarki plus odszukany trojan

[htw]

Witam, mam zainfekowany komputer do sprawdzenia, coś tam porobiłem ale niewiele to chyba dało i wciąż coś tam siedzi.

Na wstępie powiem że Malwarebytes Anti-Malware (1.65.1.1000 ) wykrył coś takigo :

 

Wykrytych plików: 2

C:\Users\3117\AppData\Local\{b01d1397-390b-3b2c-6d55-436b4e31c741}\n (Trojan.Agent.BVXGen) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

C:\Windows\assembly\GAC\Desktop.ini (Trojan.0access) -> Usuń po ponownym uruchomieniu.

 

ale mam wrażenie, że to nie załatwia sprawy dlaczego do Was piszę w sprawie konsultacji

 

obowiązkowe logi oczywiści w załączniku !

OTL.Txt

Extras.Txt

gmer.txt

[htw]

dodm że jest również problem z automatycznymi aktualizacjami .....

 

tak na oko to osobiście widzę takie podejrzane rzeczy .... :

 

 

[2009/07/14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[2012/12/11 14:10:33 | 000,005,120 | ---- | M] () -- C:\Windows\assembly\GAC\Desktop.ini

 

[2012/12/11 14:14:46 | 000,697,896 | ---- | M] () -- C:\Windows\System32\perfh015.dat

[2012/12/11 14:14:46 | 000,616,032 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2012/12/11 14:14:46 | 000,135,006 | ---- | M] () -- C:\Windows\System32\perfc015.dat

[2012/12/11 14:14:46 | 000,106,412 | ---- | M] () -- C:\Windows\System32\perfc009.dat

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found

 

 

i oczywiście dodatki do przeglądarek ....

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim....D-001999953817}

IE - HKLM\..\SearchScopes,DefaultScope = {D71BB4C8-A187-4484-A3DD-0611504D8355}

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.condui...&ctid=CT2786678

CHR - homepage: http://home.sweetim....D-001999953817}

CHR - default_search_provider: SweetIM Search (Enabled)

CHR - default_search_provider: search_url = http://search.sweeti...D-001999953817}

 

PRC - [2007/05/31 16:21:28 | 000,648,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\WindowsMobile\wmdcBase.exe

 

ale to moje podrzenia tylko a gmer to za duża abstrakcja

[picasso]

htw, zasady działu na temat "posta pod postem". Chcesz uzupełnić informacje, gdy nikt jeszcze nie odpisał = opcja Edytuj.

 

Jest tu rootkit ZeroAccess, a log z OTL sugeruje, że w wariancie infekującym systemowy plik services.exe, ponieważ brak tu śladów ingerencji wariantu CLSID. Wymagane dodatkowe skany:

 

1. Uruchom SystemLook i do skanu wklej:

 

:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

2. Zrób log z Farbar Service Scanner.

 

 

[2009/07/14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

[2012/12/11 14:14:46 | 000,697,896 | ---- | M] () -- C:\Windows\System32\perfh015.dat

[2012/12/11 14:14:46 | 000,616,032 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2012/12/11 14:14:46 | 000,135,006 | ---- | M] () -- C:\Windows\System32\perfc015.dat

[2012/12/11 14:14:46 | 000,106,412 | ---- | M] () -- C:\Windows\System32\perfc009.dat

 

PRC - [2007/05/31 16:21:28 | 000,648,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\WindowsMobile\wmdcBase.exe

 

A tego się nie czepiaj. Systemowy plik desktop.ini (te od ZeroAccess leżą w ciut innym miejscu = w GAC), pliki liczników wydajności oraz Windows Mobile.

 

 

 

.

[htw]

Przepraszam, za tego dubla

 

zastanawiam sie nad tym gdzie wyczytałaś że to rootkit ZeroAccess z GMR'a ? wiem że masz spore doświadczenie w czytaniu tego rodzajów rzeczy ale może sie czegoś nauczę jak powiesz coś wiecej

 

 

logi w załączniku

log.txt

[picasso]

Proszę nie łącz mi logów razem w jednym pliku. SystemLook osobno, Farbar osobno.

 

 

zastanawiam sie nad tym gdzie wyczytałaś że to rootkit ZeroAccess z GMR'a ?

 

htw to są oczywiste rzeczy, jeśli się zna tę infekcję, opowiadanie skąd to wyczytałam nie wniesie zbyt dużo do sprawy, skoro Ty nie rozpoznajesz tej infekcji przy podanych tu danych. Wyczytałam z OTL: naruszony Winsock w charakterystyczny sposób (załadowany przekierowany moduł + wygląd wpisów O10) oraz sekcja "ZeroAccess Check" i charakterystyczne pliki (w Installer + w GAC). I skoro są te elementy, ale skan rejestru w "ZeroAccess Check" nie wykazuje naruszeń = tu działa wariant w services.exe a nie wariant CLSID. Poza tym, skoro są elementy ZeroAccess, to także wiadomo co należy sprawdzić dodatkowo, bo trojan ma destrukcyjny charakter i niszczy określone obiekty systemowe.

Skan z SystemLook udowadnia, że jest zmodyfikowany plik services.exe oraz usunięty klucz ikony Centrum Akcji. Skan z Farbar z kolei udawadnia zmasakrowane usługi systemu i skasowane wszystkie usługi Zapory, Pomoc IP, Centrum zabezpieczeń, Windows Update i Windows Defender.

 

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy łańcucha sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{b01d1397-390b-3b2c-6d55-436b4e31c741}
C:\Windows\assembly\GAC\Desktop.ini
C:\Users\3117\AppData\Roaming\mozilla\Firefox
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox]
 
:OTL
O3 - HKU\S-1-5-21-3956667040-3668985409-2283611985-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
DRV - File not found [Kernel | System | Stopped] --  -- (ASPI32)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

5. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. I czy ja Ci o tym pliku już nie mówiłam kilka razy?

 

6. Google Chrome zabrudzone adware. Wejdź do ustawień i w zarządzaniu wyszukiwarkami przestaw domyślną z SweetIM Search na Google, po tym SweetIM Search usuń z listy. W sekcji "Po uruchomieniu" z listy stron startowych usuń home.sweetim.com.

 

7. Zrób nowe logi: OTL z opcji Skanuj + Farbar Service Scanner + SystemLook na te same warunki co poprzednio.

 

 

 

 

.

[htw]

witam ponownie

 

no w sumie masz racje pytam o rzeczy oczywiste dla Ciebie, muszę znaleźć czas pooglądać Twoje posty i się zwyczajnie pouczyć

 

Wszystko przebiegło pomyślnie, update systemu ruszył, logi wykonane dodatkowo zainstalowałem Secunie, żeby wszystko było na na bieżąco, ściągnąłem dodatkowo najnowszą wersje antywirs'a ale nie instalowałem, czekam na sprzątanie OTL, notaabene nr 5 przeglądając log z OTL widziałem te wpisy i od razu pomyślałem żeby wywalić bo pamiętałem Twoje zalecenia (notabene winszuje pamięci , masz tu sporo pacjentów a jednak pamiętasz) ale wolałem poczekać na Ciebie.

 

logi porobione jak trzeba i czekam na porządki i ostatnie szlify

12162012_203023.txt

OTL.Txt

FSS.txt

SystemLook.txt

[picasso]

Wszystko zrobione jak należy. Tak jak mówisz, czas "szlifu":

 

1. Jeden folder ZeroAccess niechcący opuściłam. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\3117\AppData\Local\{b01d1397-390b-3b2c-6d55-436b4e31c741}
 
:OTL
O4 - HKLM..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome nadal strona startowa adware SweetIM:

 

========== Chrome  ==========
 
CHR - homepage: "http://home.sweetim.com/?barid={E7E6C895-7FBC-11E1-AE6D-001999953817}"
CHR - homepage: "http://home.sweetim.com/?barid={E7E6C895-7FBC-11E1-AE6D-001999953817}"

 

Zadałam sprawdzian w opcjach. Widząc teraz powyższe wnioskuję, że nie widzisz tego na liście stron startowych. Usuń to na poziomie pliku Preferences. Zamknij Google Chrome (nie może być w procesach). Otwórz w Notatniku plik:

 

C:\Users\3117\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj dwa wystąpienia frazy homepage i zastąp adresy.

 

3. W OTL uruchom Sprzątanie, a resztę używanych to już ręcznie dokasuj.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

dodatkowo zainstalowałem Secunie, żeby wszystko było na na bieżąco

 

W związku z tym oglądam już nieaktualne dane w logu OTL, bo nie ma w nim śladów Secuni i wiodać starsze wersje programów.

 

 

no w sumie masz racje pytam o rzeczy oczywiste dla Ciebie, muszę znaleźć czas pooglądać Twoje posty i się zwyczajnie pouczyć

 

Chodzi mi o to, że opis infekcji należy znać, jak działa ten trojan i co robi w systemie. Moje posty to jest wtórna sprawa.

 

 

 

 

.

[htw]

Gotowe !

 

Wszystko działa pomyślnie, system został zaktualizowany, secunia zapgrejdowała wszystko do najnowszych wersji, wgrałem najnowszą wersje ArcaVira ( 2012 ), porobiłem logi -AdwCleaner, OTL wykonał ten krótki skrypcik i zaraportował że sukces i sprzątanie na koniec. Na sam koniec użyłem jeszcze dla pewności ( nie żebym nie ufał w Twoją skuteczność bo nigdy sie nie zawiodłem ) od kaspra TDSSKiller'a który pokazałcoś takiego :

 

 

 

Uploaded with ImageShack.us

 

dałem Del - reboot - skan ponowny i czysto . Do tego użyłem na sam koniec ( to już chyba 3 koniec ) bo bardzo mi sie spodobał ten sofcik ADWCleaner nie wiem czy słusznie ale pomyślałem że warto.

Chroma wywaliłem, po co 10 przeglądarek na jednym kompie no i tyle. Jeśli mogła byś sie odnieść do tego Kaspera to bym prosił bo mnie zastanawia ale wydaje mi sie że to nic poważnego no ale ...

 

btw secuni, zaisntalowałem ją na sam koniec, specjalnie żeby logi nie staraciły na aktualności ( w sesie żeby nie mieszać )

 

 

.

AdwCleanerR1.txt

12172012_144244.txt

[picasso]

Na sam koniec użyłem jeszcze dla pewności od kaspra TDSSKiller'a który pokazałcoś takiego : (...) dałem Del - reboot - skan ponowny i czysto.

 

To był błąd. To nie była infekcja, to tylko oznaczenie braku podpisu cyfrowego pliku dla komponentów Hewlett-Packard i ArcSoft. Takich wyników nigdy się nie usuwa bez potwierdzenia czy to rzeczywiste naruszenie, takie wyniki są w większości przypadków normalne. Teraz należy przwrócić co usunąłeś, a że TDSSKiller wywala usługę + plik, czeka Cię reinstalacja oprogramowania.

 

 

Do tego użyłem na sam koniec ( to już chyba 3 koniec ) bo bardzo mi sie spodobał ten sofcik ADWCleaner nie wiem czy słusznie ale pomyślałem że warto.

 

Skoro go użyłeś, to teraz musisz poprawić. Uruchomienie AdwCleaner ma nieco więcej skutków niż widać w raporcie. Zostały wyzerowane domyślne wyszukiwarki Internet Explorer. Wejdź do opcji i ustaw (zmiana dla bieżącego użytkownika).

 

 

btw secuni, zaisntalowałem ją na sam koniec, specjalnie żeby logi nie staraciły na aktualności ( w sesie żeby nie mieszać )

 

Czyli dokładnie na odwrót. Nastąpiły zmiany: nowy program + jeszcze mowa o aktualizacjach = poprzednie logi nie są już "aktualne".

 

 

 

 

.

[htw]

czyli wszystko na odwrót chciałem dobrze a wyszło jak zwykle ..... tak czy siak peryferia działają bez błędnie, antywirus również, wiec za reinstalacje się nie biorę wszystko działa tip top jak wspomniałem, rookita nie ma to najważniejsze ! Dziękuję bardzo za jak zwykle super profesjonalne podejście do tematu i rozwiązanie problemu.Temat do zamknięcia

 

 

.