Infekcja - policyjny wirus

[tigeros3]

Witam,

 

Szanowna Picasso

 

Mój komputer został ponownie zaatakowany przez tzw,, policyjny wirus,, . Udało mi się go dezaktywować przy pomocy Combofix-a

 

Następnie, odinstalowałem Combofix-a, ale pewnie zostało kilka rzeczy do poprawek - zaśmiecony system adware etc, etc. , gdyż mój komputer nie pracuje stabilnie, a procesor ciągle działa powyżej normy

 

Ponadto pojawił się problem, gdyż mój komputer wyłącza się bez przyczyny podczas normalnej pracy. Nie wiem czy jest to wina przegrzewania się procesora (sprzęt ma blokadę, która podczas przegrzewania procesora lub karty grafiki wyłącza wszystko), ale nie dawno był komputer w serwisie i układ chłodzenia był serwisowany. Może jest to jakiś problem z dyskiem lub działanie jakiegoś podejrzanego programu. Problem występuje szczególnie podczas odtwarzania plików video o wysokiej rozdzielczości Proszę o konsultację, także w tej kwestii.

 

Proszę o analizę załączników i skrypt naprawczy do OTL-a

 

W załączeniu:

 

1. Raport po użyciu ComboFix

2. Raport po odinstalowaniiu ComboFix

3. Raport OTL po skanowaniu

4. Raport FRST po skanowaniu

5. Informacje o systemie

 

Pozdrawiam

Mariusz

 

 

Log z GMERA

 

GMER 2.1.19163 - http://www.gmer.net

Rootkit quick scan 2013-09-22 10:44:26

Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD2500BEVT-75ZCT2 rev.11.01A11 232,89GB

Running: gmer.exe; Driver: C:\Users\Mariusz\AppData\Local\Temp\pwdiifod.sys

 

 

---- System - GMER 2.1 ----

 

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x93C99E00]

Code A0398BFC ZwTraceEvent

Code A0398BFB NtTraceEvent

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

 

---- Devices - GMER 2.1 ----

 

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 873B91F8

Device \Driver\atapi \Device\Ide\IdePort0 873B91F8

Device \Driver\atapi \Device\Ide\IdePort1 873B91F8

Device \Driver\atapi \Device\Ide\IdePort2 873B91F8

Device \Driver\atapi \Device\Ide\IdePort3 873B91F8

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 873B91F8

Device \Driver\msahci \Device\Ide\PciIde0Channel0 873BA1F8

Device \Driver\msahci \Device\Ide\PciIde0Channel1 873BA1F8

Device \Driver\msahci \Device\Ide\PciIde0Channel4 873BA1F8

Device \Driver\msahci \Device\Ide\PciIde0Channel5 873BA1F8

Device \Driver\adsxw5pq \Device\Scsi\adsxw5pq1 8922A1F8

Device \Driver\adsxw5pq \Device\Scsi\adsxw5pq1Port5Path0Target0Lun0 8922A1F8

Device aswSP.SYS (avast! self protection module/AVAST Software)

Device 873BB1F8

Device Ntfs.sys (Sterownik systemu plików NT/Microsoft Corporation)

Device 8A87F1F8

Device fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

 

AttachedDevice fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)

AttachedDevice \Driver\tdx \Device\Udp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

 

---- EOF - GMER 2.1 ----

Combofix - raport 1.txt

ComboFix - raport 2.txt

FRST - raport 1.txt

FRST - raport 2.txt

OTL - raport.Txt

Wersja systemowa.txt

[picasso]

ComboFix przypadkowo odblokował system (niezamierzone usunięcie infekcji), tylko dlatego że ogólnie opróżnia Tempy, a tam był docelowy plik infekcji. W podanych tu logach nadal widać szczątek infekcji, czyli skrót w starcie punktujący nieistniejący już plik w Temp. W ramach doczyszczania (niewiele tego jest):

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bjpiywddqtjcnxqxoim.lnk
HKLM\...\Policies\Explorer: [NoDrives] 0
HKCU\...\Policies\Explorer: [NoDrives] 0
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}
S3 catchme; \??\C:\Users\Mariusz\AppData\Local\Temp\catchme.sys [x]
CMD: netsh winsock reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system.

 

2. Kosmetyka preferencji Google Chrome. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

mój komputer nie pracuje stabilnie, a procesor ciągle działa powyżej normy

 

Ponadto pojawił się problem, gdyż mój komputer wyłącza się bez przyczyny podczas normalnej pracy. Nie wiem czy jest to wina przegrzewania się procesora (sprzęt ma blokadę, która podczas przegrzewania procesora lub karty grafiki wyłącza wszystko), ale nie dawno był komputer w serwisie i układ chłodzenia był serwisowany. Może jest to jakiś problem z dyskiem lub działanie jakiegoś podejrzanego programu. Problem występuje szczególnie podczas odtwarzania plików video o wysokiej rozdzielczości Proszę o konsultację, także w tej kwestii.

To wygląda na zupełnie inny problem nie powiązany z powyższym. Infekcja ta nie prowadzi do takich objawów, a jej aktualna zdewastowana nieczynna postać nie gra roli w performance systemu. Skoro system się wyłącza (rozumiem, że to nie reset, tylko power down), to załóż pod tym kątem temat w dziale Hardware, podając inny zestaw danych do analizy (pełny konfig sprzętu + odczyty z narzędzi pobierających dane).

 

 

 

 

.

[tigeros3]

Logi:

FRST.txt

Fixlog.txt

[picasso]

Proszę trzymaj się konfiguracji FRST z przyklejonego, sekcje Drivers MD5 + List BCD nie mają być domyślnie zaznaczane. I kurcze, jeśli w przyklejonym są linki do stron domowych programów, to z tego korzystaj, nie pobieraj skanerów z portali zewnętrznych! Widzę nową niekorzystną zmianę. Załatwiłeś się serwisem dobreprogramy.pl, którego "Asystent pobierania" montuje w systemie świństwa (Delta Toolbar + "protector" ustawień tu w wersji BitGuard + komponenty innych adware Babylon / BabSolution):

 

==================== One Month Created Files and Folders ========
 

2013-09-22 10:47 - 2013-09-22 10:47 - 00000000 ____D C:\Users\Mariusz\AppData\Local\avgchrome

2013-09-22 10:44 - 2013-04-04 09:55 - 00377856 _____ C:\Users\Mariusz\Downloads\gmer.exe

2013-09-22 10:40 - 2013-09-22 10:41 - 00000000 ____D C:\Users\Mariusz\Downloads\Nowy folder

2013-09-22 10:39 - 2013-09-22 10:39 - 00000000 ____D C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard

2013-09-22 10:39 - 2013-09-22 10:39 - 00000000 ____D C:\Users\Mariusz\AppData\Roaming\Delta

2013-09-22 10:39 - 2013-09-22 10:39 - 00000000 ____D C:\Users\Mariusz\AppData\Roaming\BabSolution

2013-09-22 10:39 - 2013-09-22 10:39 - 00000000 ____D C:\ProgramData\BitGuard

2013-09-22 10:39 - 2013-09-22 10:39 - 00000000 ____D C:\Program Files\Delta

2013-09-22 10:38 - 2013-09-22 10:38 - 00000000 ____D C:\Users\Mariusz\AppData\Roaming\Babylon

2013-09-22 10:38 - 2013-09-22 10:38 - 00000000 ____D C:\ProgramData\Babylon

2013-09-22 10:34 - 2013-09-22 10:34 - 00685248 _____ C:\Users\Mariusz\Downloads\Gmer(13252).exe

 

Wyraźnie widać, że zaczęło się od pliku Gmer(13252).exe, który nie jest GMERem lecz owym "Asystentem", i "Asystent" zdziałał dużo niedobrego zanim pozyskałeś docelowy "gmer.exe". Tak poza tym to jest przecież napisane w przyklejonym, że preferowana wersja programu to ta o losowej nazwie a nie stałej "gmer", tylko serwis DB tego po prostu nie udostępnia przy linkowaniu... Dodatkowa robota do wykonania niestety:

 

1. Przez Panel sterowania odinstaluj BitGuard, Delta Toolbar, Delta Chrome Toolbar.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Adware uszkodziło preferencje Google Chrome, FRST nie może odczytać danych, ale jest pewne, że śmietnisko duże i przejęta większość preferencji. Czyść i resetuj preferencje:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń otwieranie Delta, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż Delta stamtąd
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Delta Search.
• Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar (o ile będzie po głównej deinstalacji)
• Ustawienia > karta Historia > wyczyść

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Pobierz FRST ponownie (jest nowsza wersja). Zrób nowy skan FRST (zaznacz, by powstał ponownie plik Addition). Dołącz log z AdwCleaner.

 

 

 

 

.

[tigeros3]

Logi:

AdwCleanerR1.txt

AdwCleanerS2.txt

Addition.txt

FRST.txt

[picasso]

Wszystko zrobione. Niemiej mnie zastanawia (to jest od początku) co to za kuriozalna konstrukcja Winsock (dalekie numerowanie), a wykonany w pierwszym skrypcie reset Winsock nie zlikwidował tego odczytu:

 

Winsock: Catalog9 000000000100 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000101 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000102 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000103 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000104 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000105 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000106 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000107 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000108 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

Winsock: Catalog9 000000000109 %SystemRoot%\system32\mswsock.dll [223232] (Microsoft Corporation)

 

Może podaj mi jeszcze jeden log z FRST, ale w sekcji Internet odznacz opcję Whitelist. Po tym czynności końcowe:

 

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=2201001E101FE70E&affID=119357&tt=160913_nocpn&tsp=5013
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/?LinkId=69157
SearchScopes: HKLM - DefaultScope value is missing.
2013-09-22 10:47 - 2013-09-22 10:47 - 00000000 ____D C:\Users\Mariusz\AppData\Local\avgchrome
2013-09-22 10:34 - 2013-09-22 10:34 - 00685248 _____ C:\Users\Mariusz\Downloads\Gmer(13252).exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dla formalności przedstaw wynikowy fixlog.txt.

 

2. Odinstaluj w poprawny sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Mariusz\Downloads\ComboFix.exe /uninstall

 

3. Usuń resztę narzędzi. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Users\Mariusz\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie

 

4. Odinstaluj okropnie stare wersje Java, zaktualizuj OpenOffice.org (by mógł korzystać z najnowszej Java) oraz Firefox i Skype. Na liście zainstalowanych widać:

 

==================== Installed Programs ======================
 

J2SE Runtime Environment 5.0 Update 10 (Version: 1.5.0.100)

Japanese Fonts Support For Adobe Reader 9 (Version: 9.0.0)

Java™ 6 Update 31 (Version: 6.0.310)

Mozilla Firefox 21.0 (x86 pl) (Version: 21.0)

OpenOffice.org 3.1 (Version: 3.1.9399)

Skype™ 4.0 (Version: 4.0.226)

 

I sugeruję pozbyć się produktów IObit, gdyż firma budzi zastrzeżenia: KLIK.

 

 

 

.

[tigeros3]

Odinstalowałem:

 

J2SE Runtime Environment 5.0 Update 10 (Version: 1.5.0.100)

Japanese Fonts Support For Adobe Reader 9 (Version: 9.0.0)

Java™ 6 Update 31 (Version: 6.0.310)

Mozilla Firefox 21.0 (x86 pl) (Version: 21.0)

OpenOffice.org 3.1 (Version: 3.1.9399)

Skype™ 4.0 (Version: 4.0.226)

 

plus wszystkie produkty IObit

 

Chciałbym zainstalować najnowsze wersje Mozilla, OpenOffice, Skype. Które są najbardziej stabilne ?

Fixlog.txt

FRST.txt

[picasso]

Ten katalog Winsock dziwnie wygląda, nie wiem skąd takie struktury, może ComboFix go błędnie zresetował. Zrób całkowite przeładowanie klucza Winsock Protocol:

 

1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries /f
CMD: netsh winsock reset

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Zrób nowy log FRST na warunku: w sekcji Internet odznacz opcję Whitelist. Dołącz też fixlog.txt.

 

 

Chciałbym zainstalować najnowsze wersje Mozilla, OpenOffice, Skype. Które są najbardziej stabilne ?

Wersje stabilne. Podaję zawsze wersje, które są oznaczone jako najnowsze stabilne, nie linkuję do wersji beta.

 

 

 

.

[tigeros3]

Załączone pliki

FRST.txt

Fixlog.txt

Addition.txt