Internet Security PRO 2013 oraz Win32/Kryptik.BCOC

[kefasso]

Witam.

Użytkownik zainstalował sobie podany w temacie syf. Komputer zabezpieczony jest ESET Endpoint Security 5.

Działanie wirusa polegało na tym, że nie pozwolił uruchomić żadnego OTL, GMER itp, zarówno exeków jaki comów, po zmianach nazw itd. Ogólnie nie pozwalał uruchomić czegokolwiek z wyjątkiem Windows Explorer. Każda próba odpalenie IE, cmd powodowało albo pojawienie się okna na pół sekundy, albo od razu komunikat przy ikonie "Internet Security Pro 2013" w systray-u o treści "Warning: cmd.exe is infected" i okno było zamykane. Po którymś z kolei resecie uruchomił się automatyczny skaner ESETa i zabił wykrył wirusa, zabił proces i wrzucił plik do kwarantanny. Poniższy wpis pochodzi z dziennika ESET-a:

 

2013-06-03 13:42:09

Skaner przy uruchamianiu

plik C:\Documents and Settings\All Users\Dane aplikacji\indefender.exe

odmiana zagrożenia Win32/Kryptik.BCOC koń trojański

wyleczony przez usunięcie - poddany kwarantannie

 

 

Po wyłączeniu Przywracania systemu na wszystkich dyskach uruchomiłem OTL i GMERa.

Proszę o sprawdzenie czy nic nie zostało co należałoby jeszcze usunąć.

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Wygląda na to, że infekcja została usunięta, widzę tylko jakieś luźne nieczynne pliki w katalogu konta. Drobne akcje:

 

1. Przez Dodaj/Usuń programy odinstaluj Ask Toolbar, Ask Toolbar Updater.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0014-0002-0002-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
[2013-06-03 08:37:05 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Ewa\acrobatreader.exe
[2013-04-30 12:43:13 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Ewa\rundll32.exe
[2013-04-30 12:43:12 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Ewa\spoolsv.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kefasso]

Dzięki.

W załączeniu logi.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Skrypt do OTL nie wygląda na wykonany. Pokaż mi log z usuwania co się działo / dlaczego to nie zostało przetworzone. Log jest w katalogu C:\_OTL.

[kefasso]

Nie było katalogu C:\_OTL :/

Wczoraj przyznaję trochę w pośpiechu czyściłem tym AdwCleanerem i uruchamiałem skrypt w OTL. Dzisiaj zrobiłem to jeszcze raz powoli i zauważyłem, że przy przeklejaniu kodu skryptu ze strony forum do OTL-a "zjadło" wszystkie "entery" stąd pewnie nie wykonał poprawnie tego skryptu wczoraj. 

Jeszcze raz zrobiłem skrypt z tym, że przekleiłem najpierw do notatnika, ułożyłem tekst tak jak na stronie i potem wkleiłem to do OTL-a. Skrypt się wykonał, pokazał raport po resecie i potem jeszcze raz zrobiłem skan. Wyniki pracy w załączonych plikach.

 

06052013_101709.txt

OTL.Txt

[picasso]

Dzisiaj zrobiłem to jeszcze raz powoli i zauważyłem, że przy przeklejaniu kodu skryptu ze strony forum do OTL-a "zjadło" wszystkie "entery" stąd pewnie nie wykonał poprawnie tego skryptu wczoraj.

 

Tak, to musiała być przyczyna. Nie wiem czego to wina, było kilka pojedynczych przypadków na forum, że skopiowany skrypt skleił linie... Tym razem skrypt wykonany.

 

1. Drobne poprawki. Otwórz Notatnik i wklej w nim (tu też uważaj na "ENTERy"):

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CD4DC439-0EB8-4709-B9EC-1EA63DFEF7B8}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

AdwCleaner błędnie przepisał identyfikator {6A1806CD-94D4-4689-BA73-E35EA1EA9990} należny do Google na Bing, tworząc duplikat:

 

========== Internet Explorer ==========
 

IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}

IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 

IE - HKU\S-1-5-21-1409082233-562591055-725345543-1003\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}

IE - HKU\S-1-5-21-1409082233-562591055-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKU\S-1-5-21-1409082233-562591055-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

 

Skoryguj to już ręcznie: Opcje Internetowe > Programy > Zarządzanie dodatkami > Dostawcy wyszukiwania > wyrzuć wszystkie wyszukiwarki które nie są ustawione jako domyślne, następnie zainstaluj najnowszą wersję szukajki Google, przełącz ją na domyślną, a stary wpis skasuj.

 

2. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Usuń wszystkie stare (!) wtyczki Adobe i Java, zastąp najnowszymi: KLIK. Wg raportu obecnie są wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{7148F0A8-6813-11D6-A77B-00B0D0142020}" = Java 2 Runtime Environment, SE v1.4.2_02

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

 

Dodatkowa uwaga: jest tu Gadu-Gadu 10. Program stary, tragiczny i będzie próbował reinstalować ten archaiczny Adobe Flash. Albo zamień na najnowsze GG11 (jest lepsze), albo alternatywny program (WTW, Kadu, Miranda NG, AQQ): KLIK.

 

 

 

.