y00r Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 Witam, Dostałem laptopa z systemem jak w tytule. Laptop po infekcjach, aktualnie skany nic nie wykazują. Nie ja usuwałem wirusy. Problem z przeglądaniem www. tj net działa tylko w IE9 Google chrome i nowo instalowany firefox nie wyświetlają stron. Komunikaty takie jakby nie było w ogóle połączenia z netem Ping działa avast się aktualizuje. Wklej.org coś szaleje pozwolę sobie logi z OTL dodać jako załączniki. Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 Log z OTL robiony nieprawidłowo, wklejona do skanu kuriozalna komenda pod skrypty. Posługujesz się okropnie starym OTL 3.2.17.3, pozbawionym wielu nowych skanów i poprawek. Pobierz najnowszą wersję (KLIK) i zrób nowe logi. W skład obowiązkowych raportów dla systemu 64-bit wchodzi już także GMER. Poza tym, były używane narzędzia: - ComboFix (m.in. egzekwuje reset sieci, więc sztywne ustawienia zostały wymazane, o ile były). Przedstaw log, który utworzył (C:\ComboFix.txt). - RogueKiller, widać na Pulpicie folder RK_Quarantine. Dodaj także logi z jego działań. . Odnośnik do komentarza
y00r Opublikowano 5 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2013 Witam, Dorzucam brakujące logi oraz poprawione OTL. Pozdrawiam serdecznie ComboFix.txt gmer.txt QuarantineReport.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Marca 2013 Zgłoś Udostępnij Opublikowano 6 Marca 2013 Co dopiero uruchomiony był jakiś skrypt do OTL = przedstaw jaki, co robił. Log z GMER zrobiłeś w niewłaściwym środowisku, przy czynnym emulatorze SPTD: KLIK. Temat przenoszę do działu diagnostyki infekcji. A jednak, był tu rootkit ZeroAccess. I któreś narzędzie głupotę zrobiło edytując ten klucz (on jest dodawany przez infekcję i ma być usunięty a nie "poprawiany"!): [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64"ThreadingModel" = Both"" = C:\Windows\SysNative\shell32.dll -- [2012-06-09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) Skutki uboczne: aktualnie powinien być w systemie problem z ruchomością ikon na Pulpicie (wracają na miejsce) oraz pamiętaniem widoków folderów. 1. Start > w polu szukania wpisz regedit > skasuj klucz: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Skoro był tu ZeroAccess, to i Winsock był przekierowany. Nie wiadomo w jaki sposób to naprawiano, ale opisywane objawy pachną takim zagraniem: KLIK. Dla pewności zrób kompletny reset katalogu sieciowego Winsock: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Po akcjach zresetuj system i sprawdź co z siecią. 3. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3, vShare.tv plugin 1.3, VshareComplete. W Google Chrome w Rozszerzeniach odinstaluj powielający się zestaw. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{02AB8A80-E7BB-4E4A-A393-1A61B4F35731}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=1ba5d40b-de3d-11e0-ae74-cde426c2afdc&q={searchTerms} IE - HKLM\..\SearchScopes\{5989B786-0BF4-4667-9A0B-0026A9228790}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=1ba5d40b-de3d-11e0-ae74-cde426c2afdc&q={searchTerms}" IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=1ba5d40b-de3d-11e0-ae74-cde426c2afdc&q={searchTerms}" IE - HKLM\..\SearchScopes\{695B8DA4-E111-4B31-87D3-E1DB1AE2FFEF}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Users\Dawid\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found O3 - HKU\S-1-5-21-761666071-3328258482-2126549276-1000\..\Toolbar\WebBrowser: (Reg Error: Value error.) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Reg Error: Value error. File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFavoritesMenu = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoNetworkConnections = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyMusic = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-761666071-3328258482-2126549276-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-761666071-3328258482-2126549276-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 [2012-07-11 11:10:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\YourFileDownloader :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Trojan robi duże ziazi w usługach i niszczy ikonę Centrum Akcji. Podaj dodatkowe skany: z Farbar Service Scanner oraz w SystemLook x64 wklej do skanu: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
y00r Opublikowano 6 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2013 Witam, Po przeprowadzonych operacjach jest poprawa: działają przeglądarki i można zestawić połączenie VPN. Użytkownik nie zauważył inny problemów. OTL uruchamiałem raz to ten z 1 posta z komendą resethosts. Kolejne uruchomienia OTL bez żadnych skryptów, tylko jako logi diagnostyczne wg instrukcji. Logi w załącznikach: pozdrawiam OTL.Txt FSS.txt SystemLook.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 6 Marca 2013 Zgłoś Udostępnij Opublikowano 6 Marca 2013 OTL uruchamiałem raz to ten z 1 posta z komendą resethosts. Kolejne uruchomienia OTL bez żadnych skryptów, tylko jako logi diagnostyczne wg instrukcji. Chodzi mi o to, że na dysku jest katalog C:\_OTL, a ten nie powstaje przy opcji Skanuj (taki log jest w pierwszym poście) tylko przy Wykonaj skrypt, i ten katalog jest widoczny dopiero w drugim logu. To świadczy, że po skanie OTL uruchomiono jednak co więcej i klknięto w Wykonaj skrypt. Zadania wykonane, a skoro problem łączenia przeglądarek ustał, Winsock był uszkodzony (nieprawidłowo naprawiony lub inne cuda). Zostały poprawki. Log z Farbar Service Scanner nie notuje uszkodzeń w usługach, ale SystemLook pokazuje, że ikona Centrum Akcji jest zniszczona przez trojana. 1. Naprawa ikony plus korekty po zmianach AdwCleaner (wyzerował domyślne wyszukiwarki IE). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Tu jest kolejny dowód, że było jednak Wykonaj skrypt z komendą [resethosts], ponieważ plik HOSTS ma zawartość zgodną ze skutkami tej komendy, tzn. nieprawidłową w Windows 7 (na tym systemie oba wpisy są nieczynne). Otwórz Notatnik jako Administrator (to konieczne, by edytować plik), a w nim C:\Windows\system32\drivers\etc\Hosts. Przed każdą linią dostaw znak komentarza # czyniąc wpisy nieczynnymi: # 127.0.0.1 localhost # ::1 localhost 3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Dawid\Downloads\ComboFix.exe /uninstall Następnie w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku podane niżej foldery. C:\Users\Dawid\Desktop\RK_Quarantine C:\Windows\erdnt 4. Dla pewności zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
y00r Opublikowano 7 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2013 Operacje przeprowadzone wg instrukcji. Malwarebytes nie wykrył żadnych infekcji. Wygląda na to że wszystko działa jak powinno. Jeśli to już wszystko ja serdecznie dziękuje za pomoc w rozwiązaniu problemów. pozdrawiam Odnośnik do komentarza
picasso Opublikowano 7 Marca 2013 Zgłoś Udostępnij Opublikowano 7 Marca 2013 Na koniec odinstaluj stare wersje Adobe i Java, zastąp najnowszymi: KLIK. Wg raportu są tu zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416023FF}" = Java 6 Update 23 (64-bit)"{64A3A4F4-B792-11D6-A78A-00B0D0160230}" = Java SE Development Kit 6 Update 23 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29"{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13"{32A3A4F4-B792-11D6-A78A-00B0D0160220}" = Java SE Development Kit 6 Update 22"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.4 MUI"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_168.dll () Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi