Skocz do zawartości

Wirus udający cyberpolicję


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
  • 3 tygodnie później...

Niedawno moj komputer został zainfekowany przez ten wirus i po usunięciu go combofixem następnego dania znowu to samo i znów usunąłem combofixem wklejam raport z ostatniego ratowania kompa combofixem.Oraz chciałem sie dowiedzieć jak go usunąć ponieważ po wpisaniu combofix/uninstall w pasku start nie znaleziono . z góry dziękuje za odpowiedz

ComboFix.txt

Odnośnik do komentarza

przesyłam raporty.

 

GMER 2.0.18444 - http://www.gmer.net

Rootkit scan 2013-01-22 21:15:19

Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST9320310AS rev.0001TSM1 298,09GB

Running: ytiqgl6n.exe; Driver: D:\Users\m\AppData\Local\Temp\axloiuog.sys

 

 

---- System - GMER 2.0 ----

 

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeKey [0x9090D14A]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeMultipleKeys [0x9090D21A]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0x9090CD7C]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwSuspendProcess [0x9090CF6A]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwSuspendThread [0x9090D000]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0x9090CE32]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0x9090CECE]

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0x9090D09C]

 

---- Kernel code sections - GMER 2.0 ----

 

.text ntkrnlpa.exe!ZwRollbackEnlistment + 140D 82A8FA49 1 Byte [06]

.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82AC94D2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text ntkrnlpa.exe!KeRemoveQueueEx + 1357 82AD078C 8 Bytes [4A, D1, 90, 90, 1A, D2, 90, ...] {DEC EDX; RCL DWORD [EAX-0x6f2de570], 0x1; NOP }

.text ntkrnlpa.exe!KeRemoveQueueEx + 139F 82AD07D4 4 Bytes [7C, CD, 90, 90] {JL 0xffffffcf; NOP ; NOP }

.text ntkrnlpa.exe!KeRemoveQueueEx + 165F 82AD0A94 8 Bytes [6A, CF, 90, 90, 00, D0, 90, ...] {PUSH -0x31; NOP ; NOP ; ADD AL, DL; NOP ; NOP }

.text ntkrnlpa.exe!KeRemoveQueueEx + 166F 82AD0AA4 8 Bytes [32, CE, 90, 90, CE, CE, 90, ...] {XOR CL, DH; NOP ; NOP ; INTO ; INTO ; NOP ; NOP }

.text ntkrnlpa.exe!KeRemoveQueueEx + 16E3 82AD0B18 4 Bytes [9C, D0, 90, 90]

.text D:\Windows\system32\DRIVERS\tos_sps32.sys section is writeable [0x8AF44000, 0x3C849, 0xE8000020]

.dsrt D:\Windows\system32\DRIVERS\tos_sps32.sys unknown last section [0x8AF89000, 0x3DC, 0x48000040]

.text D:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x9100F000, 0x349DA0, 0xE8000020]

PAGE peauth.sys 9C29BBED 110 Bytes [4E, 20, 19, 33, E8, 22, 4E, ...]

 

---- User IAT/EAT - GMER 2.0 ----

 

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [736D24CB] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [736B562E] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [736B56EC] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [736D2546] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [736C85AA] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [736C4D5E] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [736C5105] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [736C51DA] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [736C6707] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [736C8301] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [736C8850] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [736C90B1] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [736CE254] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\Explorer.EXE[1176] @ D:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [736C4C90] D:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT D:\Windows\System32\rundll32.exe[3288] @ D:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [74BFFFF6] D:\Windows\system32\apphelp.dll (Biblioteka klienta zgodności aplikacji/Microsoft Corporation)

IAT D:\Windows\System32\rundll32.exe[3288] @ D:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [74BFFFF6] D:\Windows\system32\apphelp.dll (Biblioteka klienta zgodności aplikacji/Microsoft Corporation)

IAT D:\Windows\System32\rundll32.exe[3288] @ D:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [74BFFFF6] D:\Windows\system32\apphelp.dll (Biblioteka klienta zgodności aplikacji/Microsoft Corporation)

IAT D:\Windows\System32\rundll32.exe[3288] @ D:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [74BFFFF6] D:\Windows\system32\apphelp.dll (Biblioteka klienta zgodności aplikacji/Microsoft Corporation)

 

---- EOF - GMER 2.0 ----

 

poniżej zamieściłem nowe logi z OLT wyżej dałem raport gmer po usunięciu anty wirusa i ze względu na to że go usunąłem to usunąłem również pliki które były w kwarantannie tego antywirusa czyli jakieś wirusy z kwarantanny mogły zastać usunięte. przed skasowaniem antywirusa wyskoczył jeden rookit tylko przerwałem skanowanie i usunąłem antywirusa ale po usunięciu już nie wyskoczył żaden rookit pomimo wielokrotnego skanowania skanowanie programem grem , trwało dosyć krótko około 20 minut

checkup.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza
  • 2 tygodnie później...

Do wyczyszczenia jest już tylko adware i drobne odpadki / wpisy puste.

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Ashampoo PO Toolbar i McAfee Security Scan Plus (sponsor paczek Adobe).

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\..\SearchScopes\{58C7B114-2DAF-448A-85BD-49BCB91B800D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=63EF8561-72F0-4B5F-9127-1D935656D2CE&apn_sauid=07D554E0-64E0-493C-B269-4B540E045237"
IE - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\..\SearchScopes\{7AD27F12-1029-4777-8377-C504C5917C21}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033&CUI=UN17047592521381342&SSPV=TB_IESB22"
IE - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={802543E8-A9B1-4A89-AE24-5424BEE3D2ED}&mid=a0cacde6e0e947d188326939b2842d85-37893fbc0b327f9ed7bb98914e3b484a38dde0bd&lang=en&ds=AVG&pr=fr&d=2012-12-25 18:54:06&v=13.2.0.4&sap=dsp&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2852: D:\Program Files\Video Capture Master\Filters\Real\browser\plugins\nppl3260.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.46: D:\Program Files\Video Capture Master\Filters\Real\browser\plugins\nppl3260.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1662: D:\Program Files\Video Capture Master\Filters\Real\browser\plugins\nprpjplug.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.46: D:\Program Files\Video Capture Master\Filters\Real\browser\plugins\nprpjplug.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Users\m\AppData\Local\Temp\catchme.sys -- (catchme)
[2012-12-25 19:21:09 | 000,015,600 | ---- | C] (G Data Software) -- D:\Windows\System32\drivers\GdPhyMem.sys
[2012-12-25 19:21:08 | 000,030,416 | ---- | C] (G Data Software) -- D:\Windows\System32\drivers\GRD.sys
[2012-12-25 19:20:56 | 000,000,000 | ---D | C] -- D:\Users\m\AppData\Local\G DATA
[2012-12-25 19:08:48 | 000,050,080 | ---- | C] (G Data Software AG) -- D:\Windows\System32\drivers\PktIcpt.sys
[2012-12-25 19:05:59 | 000,000,000 | ---D | C] -- D:\ProgramData\G DATA
[2012-12-25 19:05:59 | 000,000,000 | ---D | C] -- D:\Program Files\G Data
[2013-01-06 00:28:07 | 000,000,009 | ---- | C] () -- D:\END
[2012-01-12 14:57:20 | 000,001,422 | -HS- | C] () -- D:\Users\m\AppData\Local\hxl4g2j5ixpm
[2012-01-12 14:57:20 | 000,001,422 | -HS- | C] () -- D:\ProgramData\hxl4g2j5ixpm
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku D powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Zadania wykonane. Przejdź do zakończenia tematu:

 

1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
O3 - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "D:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKLM..\Run: [vProt] "D:\Program Files\AVG Secure Search\vprot.exe" File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-2082012259-2738947507-4182755986-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
[2013-01-29 11:23:25 | 000,000,115 | ---- | M] () -- D:\Windows\DeleteOnReboot.bat

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

D:\Users\m\Downloads\ComboFix.exe /uninstall

 

Następnie: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie i przez SHIFT+DEL skasuj foldery powstałe z resetów Firefoxa.

 

D:\Users\m\Desktop\Stare dane programu Firefox

D:\Users\m\Desktop\Stare dane programu Firefox-1

 

3. Odinstaluj stare wtyczki Adobe i Silverlight, o ile potrzebne, zastąp najnowszymi; sprawdź czy Google Chrome najnowsze: KLIK. Wg raportu obecnie w systemie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Uwaga poboczna: widzę też zainstalowane ciężkie reklamodawcze Gadu-Gadu 10. Polecam alternatywy: WTW, Kadu, Miranda, AQQ. Do czytania: KLIK.

 

 

.

Odnośnik do komentarza

Ok zrobione Dziękuje za pomoc mam jeszcze pytanie ponieważ pobrałem kilka OLT usunąłem przez naciśnięcie sprzątanie OLT po restarcie komputera, wszedłem w OLT(2) i też kliknąłem w sprzątanie i znów sie komputer zrestartował czy też tak zrobić z OLT(3), Wejść w olt i kliknąć sprzątanie ? Dobrze zrobiłem klikając sprzątanie w OLT oraz OLT(2)??

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...