Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan MulDrop4 i Trojan Click na pendrive + problem z aktualizacjami systemu

unfuku

Przez unfuku
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

unfuku

unfuku

Opublikowano
Opublikowano

Witam,

 

Mam dwa problemy. Pierwszy z nich to infekcja na pendrivie. Zamiast plików pojawiał się skrót do pamięci flash. Program Dr. Web CureIt! wykrył  trzy trojany: pierwszy MuDrop4 w pliku 0~HPDGL.001, drugi MulDrop4 w pliku KINGSTON (1GB).lnk i trzeci Trojan Click2 w pliku Notepad.exe. Dałem zneutralizuj a potem usuń.

 

Druga sprawa to problem z aktualizacjami automatycznymi. Po formacie dysku i instalacji systemu (win xp home sp3) aktualizacje nie istalują się (włączona jest automatyczna aktualizacja) tzn. sytem widzi dostępną aktualkę i pobiera ją ale przy instalacji pojawiają się błędy. Ms Update podaje status wszystkich aktualizacji jako niepowodzenie.

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

skan gmer.txt

UsbFix Listing 1.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Po stronie systemu nie ma oznak infekcji, problem zdaje się być tylko na urządzeniu. To infekcja Gamarue, która tworzy widoczny skrót LNK o nazwie urządzenia (namawiający do kliknięcia = uruchomienie infekcji), za to wszystkie dane użytkownika z urządzenia przenosi do ukrytego folderu, którego nazwą jest spacja. Widać to w raporcie USBFix:

 

[05/12/2013 - 16:24:22 | SHD] - G:\ 

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg export "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" "C:\Documents and Settings\Kamil\Pulpit\searchscopes.reg"
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Universal Media Server.lnk
S3 qmoelkni; No ImagePath
G:\desktop.ini
G:\Autorun.inf
G:\Thumbs.db
CMD: attrib /d /s -s -h G:\*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Po w/w akcji na urządzeniu powinien zostać odkryty folder "bez nazwy". Wejdź do niego i przenieś dane poziom wyżej, a po tym folder "bez nazwy" przez SHIFT+DEL skasuj.

 

3. Przez Dodaj/Usuń programy pozbądź się śmiecia Logitech Desktop Messenger. Nie ma on związku z obsługą sprzętu (od tego jest zasadniczy Logitech SetPoint), jest powiązany z systemem newsów producenta, a jego instalacja jest strasznie bogata (liczne rejestracje w systemie).

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt. Na Pulpicie powstał także plik searchscopes.reg. Umieść go na jakimś serwisie hostingowym (REG jest niedozwolone tu w załącznikach) i podaj link do tego pliku.

 

 

Druga sprawa to problem z aktualizacjami automatycznymi. Po formacie dysku i instalacji systemu (win xp home sp3) aktualizacje nie istalują się (włączona jest automatyczna aktualizacja) tzn. sytem widzi dostępną aktualkę i pobiera ją ale przy instalacji pojawiają się błędy. Ms Update podaje status wszystkich aktualizacji jako niepowodzenie.

1. Windows Update nie działa z tego powodu:

 

System errors:

=============

Error: (12/21/2013 08:06:24 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi @%SystemRoot%\system32\qmgr.dll,-1000 z powodu następującego błędu:

%%1290

 

Dziennik zdarzeń wyraźnie pokazuje, iż "Usługa inteligentnego transferu w tle" (niezbędna dla działania Windows Update) była tu w nieudolny sposób naprawiana i zaimportowano na system XP wpisy nowszego systemu (Vista lub wyżej). Wykonaj działania z tego posta: KLIK.

 

 

2. Dodatkowa uwaga spoza tematu. Widzę zainstalowaną rozszerzoną wersję "Microsoft Update" ("Windows Update" to wersja podstawowa):

 

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1385730140921

 

Rozszerzenie może mieć negatywny wpływ na system. Wykonaj działania z tego posta: KLIK.

 

 

 

 

.

Odnośnik do komentarza
unfuku

unfuku

Opublikowano
  • Autor
Opublikowano

Ptk 1 zrobiony, ale wyskoczył kmunikat o błędzie, trzy razy próbowałem - dalej to samo, choć na pulpicie pojawił się plik searchscopes.reg

2 - nic nie pojawiło się na pendrivie, jest pusto, ale we właściwościach widać że jest zajete na nim 34 MB (przed infekcją były na nim pliki, mniej więcej tyle ważyły)

3,4 i 5 zrobione

FRST.txt

UsbFix Listing 2.txt

Fixlog.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skryptów się nie ponawia! Są jednorazowe, nie przetworzą po raz drugi tego samego. No cóż, zepsułeś mi nieco robotę. Ten plik searchscopes był potrzebny do pewnej analizy. Niestety, uruchamiając fixlist.txt kilka razy nadpisałeś kompletnie zawartość searchscopes.reg (plik nagrał zawartość po wykonaniu kilku innych komend). Muszę te dane wyciągnąć więc przez inne obejście.

 

Wyniki skryptu: wykonały się komendy z wyjątkiem dwóch ostatnich (w tym zdejmowanie atrybutów ukrytych z danych), a że powtarzałeś w kółko skrypt, wyniki te po raz kolejny zwróciły "not found". Jaki widziałeś błąd w FRST? FRST zastopował na autorun.inf, który jest przypuszczalnie immunizacją USBFix (byłam nieprzytomna i nie zauważyłam, że to folder a nie plik), toteż nie wykonała się ostatnia komenda zdejmowania atrybutów. Powtórka:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg load HKU\Temp C:\FRST\Hives\Users\00000001\NTUSER.DAT
Reg: reg export "HKU\Temp\Software\Microsoft\Internet Explorer\SearchScopes" "C:\Documents and Settings\Kamil\Pulpit\searchscopes.reg"
Reg: reg unload HKU\Temp
G:\Thumbs.db
CMD: attrib /d /s -r -s -h G:\*
Folder: G:\autorun.inf
G:\autorun.inf

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Po w/w akcji na urządzeniu powinien zostać odkryty folder "bez nazwy". Wejdź do niego i przenieś dane poziom wyżej, a po tym folder "bez nazwy" przez SHIFT+DEL skasuj.

 

3. Zrób nowy log USBFix z opcji Listing. Dołącz plik fixlog.txt. Plik searchscopes.reg na Pulpicie będzie mieć nową zawartość. Prześlij mi go.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten błąd jest już nieistotny. Ostatnie jego wystąpienie stąd, że FRST się ponownie wywalił na folderze immunizacji USBFix (wiedziałam, że tak będzie). Nie miałam go w planach usuwać (i się nie usunął nawet), ale na prośbę Farbara załączyłam komendę, bo autor chciał coś sprawdzić. Tym razem komendę dałam jako ostatnią, dlatego błąd FRST nie wpłynął na wykonanie innych komend.

 

Naprawiłeś te błędy Windows Update? Akcje wykonane i możemy kończyć:

 

1. Przez SHIFT+DEL skasuj z urządzenia jeszcze ten plik: G:\desktop.ini.

 

2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie, odinstaluj USBFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Adobe Reader i Adobe Shockwave Player: KLIK. Wersje widziane obecnie w systemie:

 

==================== Installed Programs ======================
 

Adobe Reader 9.5.5 - Polish (Version: 9.5.5)

Adobe Shockwave Player 12.0 (Version: 12.0.6.147)

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...