Dokończenie dezynfekcji po użyciu ComboFix

[rudzik]

witam,

mój komp został zablokowany przez wirus "policyjny". Usunąłem go doraźnie za pomocą (niestety) ComboFix.

Od tego czasu przy starcie pojawia się znany komunikat:

"Wystąpił błąd podczas ładowania ..... wgsdgsdgdsgsd.dll"

 

Mam prośbę o pomoc w dokończeniu dezynfekcji. Dołączam logi

ComboFix.txt

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

Na przyszłość na temat używania ComboFix: KLIK. Zostały jeszcze szczątki infekcji oraz adware do usunięcia.

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, vShare.tv plugin 1.3. Otwórz Google Chrome: w Rozszerzeniach powtórz deinstalację vShare, \w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a po tym usuń z listy Web Search.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\mtbjfghn.xbe
 
:OTL
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0c594fd8-2972-11e1-9e0f-b2d09b0761be&q={searchTerms}"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searchTerms}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{72D1228C-01B6-4A90-B1B0-3D2D2AB28EBA}: "URL" = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ACAW_plPL354PL354"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{89937B0C-9A3B-4D06-8C2D-DD0E97697F7F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=45C06B6A-0D28-44FF-BC4B-3E15C33965CF&apn_sauid=E6C8D05C-42EA-4E10-82D9-2CAF11A22C56"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={5421EC95-5341-4BC1-A329-1C7A7F8D91D3}&mid=87c29328a7f947d087cd66b48b50748c-69e74fe4f287c99c177e21699d039a66538b8517&lang=pl&ds=gm011&pr=sa&d=2012-03-19 18:38:31&v=10.2.0.3&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\SearchScopes\{082077A4-8B71-412E-8932-6B3E374D535E}: "URL" = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ACAW_plPL354PL354"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW"
IE - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\SearchScopes\{B571D942-B877-45BD-9518-90D3913F6B1E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=45C06B6A-0D28-44FF-BC4B-3E15C33965CF&apn_sauid=E6C8D05C-42EA-4E10-82D9-2CAF11A22C56&"
O3 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001..\Run: [ahhzdurmjlhsiwl] C:\ProgramData\ahhzdurm.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jacek\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[rudzik]

dzięki za odpowiedź.

Dołączam logi po wykonaniu poniższych działań. Ten komunikat RunDLL ".... wgsdgsdgdsgsd.dll" nadal się pojawia przy starcie.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Ten komunikat RunDLL ".... wgsdgsdgdsgsd.dll" nadal się pojawia przy starcie.

 

Czy na pewno to ma miejsce po ponownym restarcie systemu? Jeśli tak, to ja w raporcie OTL nie widzę oczywistego wpisu infekcji.

 

1. Zastanawia mnie to, czy znasz te obiekty:

 

========== Modules (No Company Name) ==========
 
MOD - [2010-03-24 12:19:01 | 000,528,384 | ---- | M] () -- C:\Users\jacek_2\Ustawienia\USBAudio2.exe
MOD - [2010-03-24 11:28:20 | 000,507,392 | ---- | M] () -- C:\Users\jacek_2\Ustawienia\USBAudio.exe
MOD - [2010-02-09 22:37:45 | 000,217,168 | ---- | M] () -- C:\Users\jacek_2\Ustawienia\directxcc.dll
 
O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1000..\Run: [uSBAudio] C:\Users\Jacek\Ustawienia\USBAudio.exe ()
O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001..\Run: [uSBAudio] C:\Users\jacek_2\Ustawienia\USBAudio.exe ()

 

2. Czy log z OTL jest z właściwego konta? Logi zawsze muszą być robione z poziomu konta na którym jest problem. Widzę jako zalogowane konto Jacka, ale na dysku są dwa foldery kont wskazujące na dwa konta: Jacek + jacek_2. Jeśli problem występuje na innym koncie niż to z którego logi OTL robiłeś, to musisz przelogować się na drugie konto i zrobić nowe logi OTL.

 

3. Podaj dodatkowy skan. Tzn. uruchom SystemLook i w oknie wklej:

 

:regfind
wgsdgsdgdsgsd

 

 

 

.

[rudzik]

komunikat o błędzie ładowania RunDLL pojawia się nadal na koncie zablokowanym przez wirus czyli User'a (jacek_2), na koncie Admina (Jacek) ten komunikat się nie pojawia.

ComboFix był uruchomiony z konta Admina.

 

ad 1: niestety nie wiem skąd się wzięły te aplikacje.

ad 2: potwierdzam, że wszystkie dołączone przeze mnie logi były robione z poziomu konta zaatakowanego czyli jacek_2 (User)

ad 3: to jest skan z SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 17:43 on 09/01/2013 by Jacek

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "wgsdgsdgdsgsd"

No data found.

 

-= EOF =-

[picasso]

ad 1: niestety nie wiem skąd się wzięły te aplikacje.

 

Nie wiem co to jest. Podaj mi kompletny skan katalogów Ustawienia. Do SystemLook wklej:

 

:dir
C:\Users\Jacek\Ustawienia /s
C:\Users\jacek_2\Ustawienia /s

 

 

ad 2: potwierdzam, że wszystkie dołączone przeze mnie logi były robione z poziomu konta zaatakowanego czyli jacek_2 (User)

 

Wprawdzie widać w procesach, że narzędzia typu OTL startowałeś z folderu jacek_2, ale jako zalogowany użytkownik stoi Jacek o uprawnieniach Administratora:

 

Computer Name: JACEK-LAPTOP | User Name: Jacek | Logged in as Administrator.

 

Tak może być, jeśli OTL zażądał podnieniesia uprawnień, zmienia się kontekst zalogowanego konta... Z innej strony. Zaloguj się na jacek_2, nie uruchamiaj OTL, w Windows Explorer ręcznie sprawdź katalog Autostartu. W pasku adresów wklej ścieżkę i ENTER:

 

C:\Users\jacek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

Sprawdź czy widać tam plik o przypuszczalnej nazwie runctf.lnk.

 

 

 

.

[rudzik]

teraz zmieniłem ustawienia konta User (jacek_2) ze standardowych na administrator, więc uruchamiane programy działają teraz rzeczywiście na koncie zainfekowanym czyli jacek_2.

Dołączam nowy skan OTL i SystemLook oraz raport z Adwcleaner.

W katalogu Autostart widać plik runctf

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:38 on 10/01/2013 by jacek_2

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "wgsdgsdgdsgsd"

No data found.

 

-= EOF =-

AdwCleanerS2.txt

Extras.Txt

OTL.Txt

[picasso]

Podałeś mi zły log z SystemLook, ten stary. Tamto szukanie już nieaktualne. Teraz masz wykonać dla:

 

:dir
C:\Users\Jacek\Ustawienia /s
C:\Users\jacek_2\Ustawienia /s

 

 

teraz zmieniłem ustawienia konta User (jacek_2) ze standardowych na administrator, więc uruchamiane programy działają teraz rzeczywiście na koncie zainfekowanym czyli jacek_2.

Dołączam nowy skan OTL i SystemLook oraz raport z Adwcleaner.

W katalogu Autostart widać plik runctf

 

Tak, teraz po zmianie uprawnień konta w logu widać plik infekcji o którym mówiłam:

 

[2012-12-24 18:52:53 | 000,000,892 | ---- | M] () -- C:\Users\jacek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

Czyli lecimy poprawką:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\jacek_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{1B982DBD-C7FD-4AD2-9344-2A1DF2BD4F39}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{1B982DBD-C7FD-4AD2-9344-2A1DF2BD4F39}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z SystemLook, o którym mówiłam.

 

 

 

.

[rudzik]

po tej poprawce komunikat RunDLL już się nie pojawia

dołączam logi

OTL.Txt

SystemLook.txt

[picasso]

1. O ile skrypt wykonany i "policja" załatwiona, to nie dają mi spokoju te "Ustawienia" z "USBAudio" uruchamiane na obu jackowych kontach. Dir katalogów jest podejrzany, są tam jakieś pliki JPG, które sugerują zrzuty ekranu (?). Otwórz po kolei te obrazki i powiedz mi co na nich jest:

 

C:\Users\jacek_2\Ustawienia\Microsoft\Windows	d------	[16:41 04/06/2010]
2013_01_10__15_17_19.jpg	--a---- 29326 bytes	[14:17 10/01/2013]	[14:19 10/01/2013]
2013_01_10__15_17_53.jpg	--a---- 30536 bytes	[14:17 10/01/2013]	[14:19 10/01/2013]
2013_01_10__15_18_23.jpg	--a---- 33688 bytes	[14:18 10/01/2013]	[14:20 10/01/2013]
2013_01_10__15_18_54.jpg	--a---- 57625 bytes	[14:18 10/01/2013]	[14:20 10/01/2013]

 

2. W Google Chrome pozostała wtyczka vShare:

 

========== Chrome  ==========
 
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\jacek_2\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll

 

Usunięcie tego wymaga edycji kodu pliku preferencji. Skopiuj na Pulpit ten plik:

 

C:\Users\jacek_2\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zedytuję i odeślę z powrotem.

 

 

 

.

[rudzik]

1. Picasso, obawiam się że wykryłaś rzeczywiście podejrzaną sprawę w tym katalogu Ustawienia, dzieją się w nim dziwne rzeczy. Otóż:

- tych jpegów które podałaś (z datą wczorajszą) już nie ma

- pojawiły się natomiast nowe o tej samej strukturze nazwy, z datą dzisiejszą. Są to zrzuty z ekranu

- gdy jestem podłączony do Internetu, wtedy zawartość tego katalogu zmienia się dynamicznie, pliki znikają i pojawiają się nowe. Gdy odłączam się od netu, zawartość się nie zmienia

- przez jakiś czas dziś rano w tym katalogu był też widoczny plik Firefox HTML Document. Były w nim zapisane dokładnie wszystkie moje działania na kompie od włączenia dziś rano. Niestety nie zdążyłem zrobić skanu SystemLook'iem

 

2. tu jest plik Preferences:

http://chomikuj.pl/jacekmajewski6/Dokumenty/Preferences,2304962975

[picasso]

Wszystko wskazuje na to, że jest to szpieg / logger danych, a katalog "Ustawienia" o nazwie polskiej sugeruje "produkcję polską"... Definitywnie usuwamy to. Przeprowadź kolejne działania:

 

1. Przesyłam zedytowany plik Google Chrome zapakowany do ZIP: KLIK. Zamknij przeglądarkę (nie może być uruchomiona podczas zamiany plików!) i podmień pliki. Po podmianie uruchom Google Chrome i sprawdź czy przyjął plik, tzn. nie wyrzuca żadnych błędów przy starcie.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1000..\Run: [uSBAudio] C:\Users\Jacek\Ustawienia\USBAudio.exe ()
O4 - HKU\S-1-5-21-2487343376-848037089-3105925282-1001..\Run: [uSBAudio] C:\Users\jacek_2\Ustawienia\USBAudio.exe ()
 
:Files
C:\Users\Jacek\Ustawienia
C:\Users\jacek_2\Ustawienia
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[rudzik]

zrobione.

1. Google Chrome po zamianie pliku działa OK.

2. Katalogów Ustawienia już nie ma.

3. Dołączam skan OTL.

OTL.Txt

[picasso]

Wszystko zrobione. Nic więcej szkodliwego nie widzę. Przejdź do tej części zadań:

 

1. Odinstaluj ComboFix w prawidłowy sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\jacek_2\Documents\instalki\ComboFix.exe /uninstall

 

Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Zrób pełne skanowanie w posiadanym Malwarebytes Anti-Malware. Upewnij się, że ma zaktualizowane bazy. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[rudzik]

Wszystko zrobione. Temat do zamknięcia.

Serdecznie Ci dziękuję Picasso za skuteczną pomoc !

Jestem pełen podziwu i szacunku nie tylko dla Twojej wiedzy. Tak dokładna i cierpliwa może być chyba tylko kobieta

[picasso]

Na koniec jeszcze aktualizuj programy. Wyrzuć starsze Adobe / Java, zaktualizuj IE / Operę i FileZillę. Wg raportu obecnie masz zainstalowane:

 

Internet Explorer (Version = 8.0.6001.19393)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 10
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Opera 11.61.1250" = Opera 11.61
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2487343376-848037089-3105925282-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.5.3

 

 

Temat rozwiązany. Zamykam.

 

 

 

.