Skocz do zawartości

Zainfekowany komputer - ciagłe wylogowywanie / Ukash


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie mam pojecia, czemu po kliknieciu w link od RA1 pojawila mi sie sekcja OTLPE - musialem przypadkiem na touchpad'zie pewnie przesunac... Nie wiem, czy moge zrobic skan FRST - zainfekowany OS to XP a widze w poscie, ze sprawa sie tyczy raczej Vista/7. Czy moge odpalic WinRe z plyty Win7 i wtedy ruszyc skan? Czy musze miec WinRe systemu XP?

Odnośnik do komentarza
  • 2 tygodnie później...

po odpaleniu w trybie normalnym i awaryjnym natychmiast sie wylogowywuje do planszy z nazwami userow. Uzytkowniczka zeznaje, ze byla infekcja Ukash.

Objaw sugerowałby naruszoną wartość Userinit, ale:

- W raporcie FRST nie widać tego wpisu. Nie jestem też pewna czy w skan FRST mogę do końca wierzyć na polskim systemie XP. Były trudności z detekcją polskich ścieżek, które zgłaszałam, zostało to jakoby naprawione, ale...

- OTLPE w ogóle nie notuje Userinit, choć nie pamiętam jak to jest w starym OTL (nowy zawsze pokazuje Userinit). Niezależnie od wyników skanów proponuję zaimportować Userinit i zobaczymy co się stanie:

 

1. Przygotuj import rejestru w Notatniku:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik ma być dostępny z poziomu OTLPE.

 

2. Z poziomu OTLPE uruchom OTL, zostaw okno otwarte i go nie zamykaj. To zamontuje rejestr. Klik w Start > Run > regedit i z menu Plik zaimportuj plik FIX.REG.

 

3. Następnie w OTL w sekcji Custom Scans/Fixes wklej:

 

:Files

C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart\keertrgkmbqorjgcqxk.lnk

C:\Documents and Settings\Karolina\Dane aplikacji\ArcaVirMicroScan

C:\Documents and Settings\Karolina\Dane aplikacji\AVG Secure Search

C:\Documents and Settings\Karolina\Dane aplikacji\DriverFinder

C:\Documents and Settings\Karolina\Dane aplikacji\eDownload

C:\Documents and Settings\Karolina\Dane aplikacji\Funmoods

C:\Documents and Settings\Karolina\Dane aplikacji\OpenCandy

C:\Documents and Settings\Karolina\Dane aplikacji\PriceGong

C:\Documents and Settings\Karolina\Dane aplikacji\ProgSense

C:\Documents and Settings\Karolina\Dane aplikacji\systweak

C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search

C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit

C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager

 

:OTL

IE - HKU\Karolina_ON_C\..\URLSearchHook: {cc2e2b99-14d3-4516-883c-9ea147f594ef} - Reg Error: Key error. File not found

FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: File not found

FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: File not found

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.

O4 - HKLM..\Run: [Zwinky Search Scope Monitor] C:\Program Files\Zwinky_5q\bar\1.bin\5qSrchMn.exe (MindSpark)

O4 - HKLM..\Run: [Zwinky_5q Browser Plugin Loader] C:\Program Files\Zwinky_5q\bar\1.bin\5qbrmon.exe (VER_COMPANY_NAME)

O4 - HKU\Karolina_ON_C..\Run: [AdobeBridge] File not found

O4 - HKU\Karolina_ON_C..\Run: [browser Infrastructure Helper] C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Smartbar\Application\QuickShare.exe (Smartbar)

O4 - HKU\Karolina_ON_C..\Run: [ccleaner] File not found

O4 - HKU\Karolina_ON_C..\Run: [DriverFinder] File not found

O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - File not found

SRV - File not found [Auto] -- -- (vToolbarUpdater13.2.0)

SRV - File not found [On_Demand] -- -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)

SRV - [2013/06/22 16:15:52 | 000,042,504 | ---- | M] (COMPANYVERS_NAME) [Auto] -- C:\Program Files\Zwinky_5q\bar\1.bin\5qbarsvc.exe -- (Zwinky_5qService)

DRV - File not found [Kernel | On_Demand] -- -- (UIUSys)

DRV - File not found [File_System | On_Demand] -- -- (StarOpen)

DRV - File not found [Kernel | On_Demand] -- -- (catchme)

DRV - File not found [Kernel | On_Demand] -- -- (btwhid)

DRV - File not found [Kernel | On_Demand] -- -- (BTWDNDIS)

DRV - File not found [Kernel | On_Demand] -- -- (BTDriver)

DRV - File not found [Kernel | On_Demand] -- -- (btaudio)

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. Na dysku C powstanie log z usuwania.

 

4. Spróbuj wejść do Windows. Jeśli to się uda, usuń adware:

- Przez Dodaj/Usuń programy odinstaluj Zwinky, Smartbar.

- Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log ze standardowego OTL z opcji Skanuj (ma powstać plik Extras). Dołącz log z usuwania OTL z punktu 3 oraz utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Co się pokazało podczas importu pliku FIX.REG? Przedstaw mi jak wartość Userinit teraz wygląda. Z poziomu OTLPE uruchom OTL (podmontuje rejestr) i zostaw okno otwarte. Następnie Start > Run > regedit > wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Rozwiń okno, by było widać po prawej stronie czy jest wartość Userinit. ALT+PrintScreen. Start > Run > mspaint i CTRL+V. Zapisz obrazek i go tu pokaż.

 

 

.

Odnośnik do komentarza

Hmmm, objaw silnie sugeruje wadę Userinit, ale wpis poprawny, usuwanie widocznej infekcji było już robione.

 

1. Dostarcz mi pełny rejestr do analizy. Z poziomu OTLPE skopiuj te elementy:

 

- Z folderów użytkowników pliki:

 

C:\Documents and Settings\Karolina\NTUSER.DAT

C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat

C:\Documents and Settings\Administrator\NTUSER.DAT

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat

 

- Z folderu C:\WINDOWS\system32\config plik SOFTWARE

 

Wszystko zapakuj do ZIP, umieść na jakimś hostingu i podeślij na PW link do paczki.

 

2. Dodaj też skan kilku ścieżek. W Notatniku utwórz plik o zawartości:

 

Folder: C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart
Folder: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart
Folder: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
Folder: C:\Documents and Settings\Karolina\Ustawienia lokalne\Temp
Folder: C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp

 

Zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

 

 

.

Odnośnik do komentarza

Dosłany rejestr nic nie wykazuje, za wyjątkiem faktu, że pliku SYSTEM (o który poprosiłam dodatkowo) nie da rady podmontować w moim rejestrze (błąd montowania). To sugeruje uszkodzenie rejestru. Proponuję cofnąć rejestr do stanu sprzed usuwania infekcji i uruchamiania ComboFix. Na dysku jest folder kopii rejestru utworzony przez ComboFix:

 

2013-08-06 20:28 - 2013-08-06 20:59 - 00000000 ____D C:\Windows\erdnt

 

1. Otwórz Notatnik i wklej w nim:

 

RestoreErunt: cf

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Sprawdź czy jesteś w stanie zalogować konto, a jeśli tak, to zrób raporty spod Windows (z OTL i FRST). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Ktos probowal wczesniej uzywac ComboFix'a na tym PC, jak zreszta widac. Jak posprzatac tez ten poComboFix'owy syf? po prostu /uninstall?

Na razie nic nie rób. Przywrócenie rejestru sprzed uruchomienia ComboFix spowodowało powrót usuwanych już z rejestru wpisów śmieci. Trzeba czyścić:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [Zwinky Search Scope Monitor] - "C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qsrchmn.exe" /m=2 /w /h [x]
HKLM\...\Run: [Zwinky_5q Browser Plugin Loader] - C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qbrmon.exe [x]
HKLM\...\Policies\Explorer: [NoDrives] 0
HKCU\...\Policies\Explorer: [ForceClassicControlPanel] 1
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=hp&installDate=04/04/2013
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9250315AS_6VCKJGG8____6VCKJGG8&ts=1354548559
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9250315AS_6VCKJGG8____6VCKJGG8&ts=1354548559
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013
SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013
SearchScopes: HKLM - {5a15c091-f3c2-4c8f-8964-e3434a2a4a95} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^ZJ^xpt249^YY^pl&si=begin-download&ptb=ED147F04-8A39-4FE4-BF0D-CD9C6635E2FE&ind=2013062216&n=77fce448&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120665&babsrc=SP_ss_gin2g&mntrId=B89B0017C4161A04
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120665&babsrc=SP_ss_gin2g&mntrId=B89B0017C4161A04
SearchScopes: HKCU - {5a15c091-f3c2-4c8f-8964-e3434a2a4a95} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^ZJ^xpt249^YY^pl&si=begin-download&ptb=ED147F04-8A39-4FE4-BF0D-CD9C6635E2FE&ind=2013062216&n=77fce448&psa=&st=sb&searchfor={searchTerms}
BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll No File
Toolbar: HKLM - QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\System32\mscoree.dll (Microsoft Corporation)
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\13.2.0\ViProtocol.dll No File
ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ]
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [x]
S2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x]
S2 Zwinky_5qService; C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qbarsvc.exe [x]
S3 btaudio; system32\drivers\btaudio.sys [x]
S3 BTDriver; system32\DRIVERS\btport.sys [x]
S3 BTWDNDIS; system32\DRIVERS\btwdndis.sys [x]
S3 btwhid; system32\DRIVERS\btwhid.sys [x]
S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [x]
S3 StarOpen; No ImagePath
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [x]
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f
Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f
Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f
Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f
Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: rd /s /q "C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Google\Chrome"
CMD: rd /s /q "C:\Documents and Settings\Karolina\Dane aplikacji\Mozilla"
CMD: rd /s /q "C:\Program Files\mozilla firefox"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj Internet Explorer Toolbar 4.6 by SweetPacks, QuickShare, Zwinky Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza

Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Skrypt przetworzony poprawnie. Kolejne zadania:

 

1. Przez SHIFT+DEL dokasuj poniższe foldery oraz pliki o rozszerzeniu *.OLD (to te wadliwe kopie rejestru):

 

C:\_OTL

C:\FRST

C:\WINDOWS\erdnt

C:\WINDOWS\system32\config\SOFTWARE.OLD

C:\WINDOWS\system32\config\SYSTEM.OLD

C:\WINDOWS\system32\config\DEFAULT.OLD

C:\WINDOWS\system32\config\SECURITY.OLD

C:\WINDOWS\system32\config\SAM.OLD

 

2. Odinstaluj ComboFix. Pobierz ponownie (KLIK) i umieść wprost na C:\. Start > Uruchom > wklej komendę:

 

C:\ComboFix.exe /uninstall

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wykonaj pełny skan MBAM i przedstaw wyniki.

 

 

.

Odnośnik do komentarza

1. Wyniki MBAM:

- Do usunięcia szczątki adware: PUP.Optional.MixiDJToolbar.A, PUP.Optional.OpenCandy, PUP.Optional.Softonic.

- Za żadne cracki / patche nie biorę odpowiedzialności.

- Pozycje punktujące keyfinder141 do ominięcia. To kwestie interpretacji. Narzędzie przecież może być pobrane w zbożnym celu.

 

2. Do usunięcia poniższe i zastąpienia najnowszymi wersjami.

 

==================== Installed Programs =======================

 

Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) ----> wtyczka dla IE

Java™ 6 Update 37 (Version: 6.0.370)

 

3. Na wszelki wypadek także wymiana haseł logowania w serwisach.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...