Brak dostępu na strony antywirusowych oraz Microsoftu

[speratto]

Witam serdecznie,

 

Jestem zaskoczony, że znaleźli się ludzie, którzy prowadzą podobną działalność Chylę czoła.

Ale do rzeczy - wymienię problemy, które mnie nawiedzają (z góry dziękuję za pomoc - komputer potrzebny jest do pracy):

1. "Proces hosta dla usług systemu Windows - zatrzymano działanie i zamknięto. Poprawne działanie zostało zatrzymane z powodu problemu. System Windows powiadomi cię, jeżeli bedzie dostępne rozwiązanie." - taka informacja pojawia mi się za każdym razem po uruchomieniu komputera lub przed/po korzystaniu z programów, które korzystają z internetu. Czasem okienko wyskakuje bez mojej ingerencji lub korzystania z jakiegokolwiek programu.

2. Od nie dawna nie widzę w "mój komputer" dysku CD/DVD - nie sprawdzałem czy czytnik działa

3. Nie działają strony antywirusowe oraz Microsoft.com - prawdopodobnie inne, na które nie wchodzę, a które są z "tym" powiązane też.

4. Zauważyłem, że spadła prędkość internetu - przeważnie ściągało z prędkością ok. 0,5mb - 1,5mb/s - obecnie maksymalnie 200kb/s

5. Generalnie wyświetlanie stron, zauważalnie przedłużyło się.

... Jeśli zauważę inne to dopiszę.

 

Używam systemu Windows Vista 32bit.

 

Dorzucam pożądane pliki.

 

Sprawa się pogorszyła jak skorzystałem z programu CCleaner czyszcząc domyślnie wszystkie zaznaczone opcje (a przynajmniej tak mi się wydaje).

Wszystkie programu emulujące odinstalowałem.

 

Bardzo dziękuję za pomoc.

 

Pozdrawiam,

 

Adam,

 

GMER niestety albo blokuje system albo wyrzuca blue screen. Dodaję kolejny log.

 

Dziękuję za pomoc.

OTL.Txt

Extras.Txt

defogger_disable.txt

gmer.txt

[picasso]

W systemie jest obecny rootkit zamontowany na pliku systemowym svchost.exe (wszczepiony moduł fyxegtbu.dll). Pierwsze podejście będzie polegać na usunięciu sterownika tego rootkita. Dopiero jak ten proces wykona się pomyślnie, przejdziemy do części numer dwa usuwającej inne szczątki i wpisy podrzędnego znaczenia.

 

1. Uruchom Avenger i w pustym polu wklej:

 

Drivers to delete:
sbkitfsn
 
Files to delete:
C:\Windows\System32\fyxegtbu.dll

Rozpocznij proces przez Execute i zatwierdź reset komputera. Po restarcie zostanie podany log z Avenger.

 

2. Po restarcie proszę o pokazanie raportu wygenerowanego przez Avenger oraz o nowy komplet logów (OTL / GMER). Przy czym OTL wygeneruj na nieco dostosowanym warunku: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i kliknij w Skanuj (a nie Wykonaj skrypt!).

 

 

.

[speratto]

Wykonałem polecenie - wklejam nowe logi.

 

Logi extras, otl2 wykonane po skrypcie z Avenger, niestety gmer się zacina po ok. 30 min działania i zostaje tylko reset. Załączyłem jednak logi z gmera sprzed skryptu Avenger, który udało mi się w końcu zrobić. Jeśli to konieczne będę próbował do skutku.

avenger.txt

Extras2.Txt

OTL2.Txt

gmer2.txt

[picasso]

Avenger pomyślnie wykonał zadanie, ale:

 

Załączyłem jednak logi z gmera sprzed skryptu Avenger, który udało mi się w końcu zrobić.

 

Ta rozszerzona wersja sprzed usuwania Avengerem wskazuje na obecność jeszcze jednego rootkita, TDL. Zastosuj Kaspersky TDSSKiller, ale w pierwszej kolejności w trybie "tylko do odczytu", tzn. jeśli cokolwiek zostanie znalezione, ustaw akcję Skip i zaprezentuj tu tylko raport.

[speratto]

Cholera nacisnąłem continue ale nie zrobiłęm reboota, więc nie będę go robił póki nie dostanę odpowiedzi. Zamieszczam loga.

TDSSKiller_log.txt

[picasso]

1. To się pokrywa z tym co powiedział rozszerzony GMER (infekcja w sterowniku CD-ROMów):

 

2010/11/17 14:09:37.0862    Detected object count: 1
2010/11/17 14:10:07.0221    cdrom           (7c5090e830588318e47247d2d238bd78) C:\Windows\system32\DRIVERS\cdrom.sys
2010/11/17 14:10:07.0221    Suspicious file (Forged): C:\Windows\system32\DRIVERS\cdrom.sys. Real md5: 7c5090e830588318e47247d2d238bd78, Fake md5: 6b4bffb9becd728097024276430db314
2010/11/17 14:10:07.0514    Backup copy found, using it..
2010/11/17 14:10:07.0548    C:\Windows\system32\DRIVERS\cdrom.sys - will be cured after reboot
2010/11/17 14:10:07.0548    Rootkit.Win32.TDSS.tdl3(cdrom) - User select action: Cure 

 

Obrałeś już akcję leczenia (Cure), to nie pozostaje nic innego niż restart systemu, by to sfinalizować, i dla pewności sprawdzenie ponownie za pomocą Kasperskiego czy coś aby nie odtworzyło się.

 

2. Jeśli uporasz się z punktem numer jeden, w panelu deinstalacji programów odmontuj śmiecia sponsoringowego pdfforge Toolbar (skutek jego działania to trwała praca w tle całkowicie zbędnego obiektu "Spigot - Application updater"). Wynik nieuważnej instalacji PDFCreator. Następnie podaj nowy log z OTL (o ile to możliwe, także świeży GMER). Po prezentacji tego raportu przejdziemy do korekcji mniejszych drobnostek.

 

 

.

[speratto]

Ok, reboot wykonany, toolbar PDF usunięty (rozumiem, że samego PDFCreator nie muszę usuwać? Potrzebuję go do pracy). Kaspersky nie wykazał nowych problemów z emulatorami, natomiast dołączam log.

Dodatkowo nowe logi OTL (bez skryptu jak poprzednio).

Extras3.Txt

OTL3.Txt

TDSSKiller2.txt

[picasso]

toolbar PDF usunięty (rozumiem, że samego PDFCreator nie muszę usuwać? Potrzebuję go do pracy)

 

Oczywiście nie. Toolbar to jest niezależny komponent, śmieć para-adware w instalatorze PDFCreator (tam należało go odznaczyć). Sama wirtualna drukarka to co innego.

 

*************************************

 

Teraz faza "kosmetyczna" na którą się składa: likwidacja zapisku usługi rootkita w wartości Netsvcs oraz mapowania powstałego po podpięciu zarażonych USB, usunięcie resztek po sponsorach i adware (vShare Toolbar / OpenCandy / paski od instalatorów DAEMON Tools / eBay i Amazon), usunięcie śmieci nabitych przez Gadu 10 (mnogość plików o schemacie Temp*.html), ponadto nieszkodliwych acz poszkodowanych wpisów "not found" oraz wyczyszczenie lokalizacji tymczasowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: sbkitfsn -  File not found
O33 - MountPoints2\{00aafba0-b9a1-11de-bd3a-001e68550552}\Shell - "" = AutoRun
O33 - MountPoints2\{00aafba0-b9a1-11de-bd3a-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found
O33 - MountPoints2\{0a023581-00d9-11df-b2f3-001e68550552}\Shell - "" = AutoRun
O33 - MountPoints2\{0a023581-00d9-11df-b2f3-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found
O33 - MountPoints2\{6c957c3b-feef-11de-92b1-001e68550552}\Shell\AutoRun\command - "" = t2hjo0.exe
O33 - MountPoints2\{6c957c3b-feef-11de-92b1-001e68550552}\Shell\open\Command - "" = t2hjo0.exe
O33 - MountPoints2\{9deb9fa3-b967-11de-bb02-001e68550552}\Shell - "" = AutoRun
O33 - MountPoints2\{9deb9fa3-b967-11de-bb02-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found
O33 - MountPoints2\{9deba021-b967-11de-bb02-001e68550552}\Shell - "" = AutoRun
O33 - MountPoints2\{9deba021-b967-11de-bb02-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found
O33 - MountPoints2\{b1a3eceb-ce77-11df-915b-00037aaccfad}\Shell - "" = AutoRun
O33 - MountPoints2\{b1a3eceb-ce77-11df-915b-00037aaccfad}\Shell\AutoRun\command - "" = G:\KODAK_Software_Downloader.exe -- File not found
O33 - MountPoints2\{d50eb02c-403c-11df-a080-00037aaccfad}\Shell\AutoRun\command - "" = I:\mi9al8rs.exe -- File not found
O33 - MountPoints2\{d50eb02c-403c-11df-a080-00037aaccfad}\Shell\open\Command - "" = I:\mi9al8rs.exe -- File not found
O33 - MountPoints2\{e6881877-fca4-11de-ab0e-001e68550552}\Shell - "" = AutoRun
O33 - MountPoints2\{e6881877-fca4-11de-ab0e-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found
O33 - MountPoints2\{ed299c9e-5eb2-11df-93a5-00037aaccfad}\Shell\AutoRun\command - "" = i8ikdjwt.exe
O33 - MountPoints2\{ed299c9e-5eb2-11df-93a5-00037aaccfad}\Shell\open\Command - "" = i8ikdjwt.exe
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\AutoRun.exe -- File not found
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.search.useDBForOrder: true
IE - HKLM\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-568621107-2218902771-2920543385-1000\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found.
O3 - HKU\S-1-5-21-568621107-2218902771-2920543385-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-568621107-2218902771-2920543385-1000\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found.
O4 - Startup: C:\Users\Grenadier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} -  File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll -  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\IntcHdmi.sys -- (IntcHdmiAddService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\igdkmd32.sys -- (igfx)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ewusbfake.sys -- (hwusbfake)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\mcdbus.sys -- (mcdbus)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\dtscsi.sys -- (dtscsi)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\CPUID\PC Wizard 2010\pcwiz32.sys -- (cpuz132)
 
:Files
C:\Users\Toshiba\AppData\Roaming\Mozilla\FireFox\Profiles\jyr50h15.default\extensions\vshare@toolbar
C:\Users\Toshiba\AppData\Roaming\Mozilla\FireFox\Profiles\jyr50h15.default\searchplugins\absearch-search.xml
C:\Users\Toshiba\AppData\Roaming\Mozilla\FireFox\Profiles\jyr50h15.default\searchplugins\web-search.xml
C:\Users\Toshiba\AppData\Roaming\OpenCandy
C:\Users\Toshiba\AppData\Local\OpenCandy
C:\Users\Toshiba\AppData\Local\Temp*.html
C:\Program Files\Astroburn Toolbar
C:\ProgramData\UpdaterLog.txt
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij procedurę opcją Wykonaj skrypt. Nastąpi restart komputera i otrzymasz log.

 

2. Do oceny: log powstały z usuwania OTL oraz nowy zestaw logów z OTL. Podsumuj także działanie systemu, czy ustąpiły objawy główne.

 

 

 

.

[speratto]

Skrypt wykonany (podaję log). Dodatkowo nowy log OTL. Poza tym, czy polecasz jakiś inny komunikator? Drażni mnie.

 

/EDIT

 

Aaaa, dziękuję bardzo - Microsoft i pozostałe strony działają))

skryptlog.txt

Extras4.Txt

OTL4.Txt

[picasso]

Wszystko wykonane, choć GG10 już się obudziło i znów zaczęło produkować te śmieci (ale to nieuniknione, sprzątanie nie ma charakteru permanentnego). Finalizacja:

 

1. Uprzątnij kwarantanny i elementy stosowanych narzędzi. W OTL wywołaj funkcję Sprzątanie.

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE

3. W ręce skaner Malwarebytes' Anti-malware i przejedź system. Coś znalezione, pokaż do weryfikacji.

 

Poza tym, czy polecasz jakiś inny komunikator? Drażni mnie.

 

Niewątpliwie. Popatrz sobie do mojej pracy Darmowe komunikatory. Szczegółowe opisy oraz tabelki kompatybilności protokołowej Gadu w alternatywnych klientach. Polecane przeze mnie zamienniki dla GG10: WTW lub Miranda. Powody: praktycznie pełna zgodność z najnowszym proto, light, portable, brak reklam.

 

 

.

[speratto]

Proces "sprzątania" wykonany, przywracanie systemu odptaszkowane i zaptaszkowane, Malware znalazł 15 problemów (w załączeniu log), WTW zainstalowany:) Dzięki za profesjonalną pomoc, czekam na odpowiedź w sprawie listy z Malware.

malware.txt

[picasso]

czekam na odpowiedź w sprawie listy z Malware.

 

Wszystko usuń. A jeśli nie notujesz już żadnych problemów, kluczyk idzie na temat.

[speratto]

Wszystko usuń. A jeśli nie notujesz już żadnych problemów, kluczyk idzie na temat.

 

Jak tylko skończy ponownie skanować to zaraz usunę. Dziwi mnie tylko to, że strasznie spadła mi prędkość internetu, czy to może być przypadek?

Jeszcze raz dziękuję za pomoc:)

 

/EDIT

 

W załączeniu log z Malware po usunięciu Conficków. Niestety spadła prędkość internetu - zwykle ściągałem używając torrenta z prędkością ok. 1,5Mb/s, obecnie ledwo przekracza 100kb/s. Czy te nasze działania mogły to spowodować?

mal.txt

[picasso]

Niestety spadła prędkość internetu - zwykle ściągałem używając torrenta z prędkością ok. 1,5Mb/s, obecnie ledwo przekracza 100kb/s. Czy te nasze działania mogły to spowodować?

 

Wręcz przeciwnie, powinny zwolnić sieć (tu były aż dwa rootkity, które mają predyspozycje do wdrażania aktywności sieciowej). Skoro nagle raptownie spadła wydajność i występuje to po restarcie systemu (czy tak?), to nasuwa się podejrzenie o nawrocie infekcji, no chyba że dostawca zobaczył nadmierny ruch i przyciął porty. Na wszelki wypadek proszę o nowy komplet logów: OTL + GMER.

[speratto]

Przepraszam, okazało się, że to słabe trackery torrenta, a spowolnione działanie stron pewnie było chwilowe. Obecnie wszystko śmiga bez zarzutów, download nawet 2Mb/s.

Jeszcze raz bardzo dziękuję za pomoc, jestem wdzięczny, stawiam dobre wino;) Temat można zamknąć.

 

Pozdrawiam,

Adam,

Edytowane 18 Listopada 2010 przez picasso
Wino biorę, temat zamykam. :P //picasso