Małe okienka z reklamami

[Konndzzio]

http://forum.pclab.pl/topic/958267-Koń-trojański-crypt3KSO-proces-vohieexe/page__st__20__gopid__12509814entry12509814

jest ciężka sprawa, nie wiem czy tak wolno robić temat jeszcze z linkiem do innego forum ale trudno, osoba tam pomagająca mi nie ma już pomysłów i poleciła mi te forum, a mi się nie chce znowu tyle pisać więc proszę się zapoznać z tym forum i dziękuje za pomoc, nie piszcie o logach, są czyste 

@EDIT logi są nowe i właśnie zrobione, bo w tamtym temacie mogły by być starsze

Extras.Txt

OTL.Txt

gmer.txt

Addition.txt

FRST.txt

[picasso]

nie wiem czy tak wolno robić temat jeszcze z linkiem do innego forum

Tu na forum podanie linka do innego forum, gdzie prowadzono pomoc, jest obowiązkowe. Cytuję z zasad działu(KLIK):

 

3. Jeżeli gdzieś już prowadzono pomoc na innym forum, obowiązkowo proszę podać link do tematu. Nie dowierzam żadnym procesom pochodzącym z obcych miejsc sieci bez namacalnych dowodów, a już na pewno nie w zapewnienie użytkownika, że "tam problem rozwiązano". Skoro użytkownik prosi o pomoc, jest to równoznaczne z faktem, że nie potrafi ocenić dokonań osoby rzekomo udzielającej pomocy, a skoro prosi o nią po raz drugi, nasuwa to nieodparte skojarzenie z błędem popełnionym gdzie indziej.

I jeszcze w kwestii logów: filutka dobrze prawi, ja zawsze wymagam świeżych logów obowiązujących tutaj. Logi na innym forum są tylko porównawczo co robiono wcześniej i jak zmieniała się sytuacja. Nie używam też już OTL jako głównego programu (choć nadal go sprawdzam), bo jest już nieco stary, nierozwijany, a FRST ma lepsze skany.

 

 

@EDIT logi są nowe i właśnie zrobione, bo w tamtym temacie mogły by być starsze

Podałeś mi stare logi z 24 i 25 kwietnia, które nie mogą być brane pod uwagę (wystarczy godzina, by wyniki się diametralnie zmieniły):

 

FRST:

Ran by user at 2014-04-24 20:25:31

 

OTL:

OTL logfile created on: 2014-04-25 21:58:15 - Run 3

 

GMER:

Rootkit scan 2014-04-25 22:21:38

 

Proszę zrobić nowe logi z teraz z wszystkich programów, a FRST ma utworzyć trzy (pola Addition i Shortcut mają być zaznaczone).

 

 

.

[jessica]

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2014 03

Ran by user (administrator) on USER-KOMPUTER on 25-04-2014 22:35:43

ale tu się rzuca w oczy pewna niezgodność: skoro wersja FRST jest z 26 kwietnia, to niemożliwe jest, by log był zrobiony dzień wcześniej (25. 04), niż pojawiła się ta wersja FRST.

Może Użytkownik ma u siebie przestawioną datę?

W takim przypadku logi są aktualne.

 

jessi

[picasso]

Rzeczywiście. Niemniej: GMER źle zrobiony i brak trzeciego pliku FRST Shortcut. A logów z tamtego forum nie mogę porównać, załączniki są zablokowane dla Gości.

 

 

Konndzzio

 

"nie piszcie o logach, są czyste" = nie są czyste. Ta modyfikacja pliku HOSTS jest szkodliwa (jawne przekierowanie określonych adresów na niezgodne IP), notabene wykrywał ją MBAM. Kombinowałeś wcześniej z plikiem HOSTS, tylko niepoprawnie i utworzyłeś kompletnie niedziałający plik o rozszerzeniu *.TXT (oryginalny plik nie ma rozszerzenia):

 

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

 

Ale tu jest więcej śladów, które wskazują, że nie tylko HOSTS może być problemem: mnogość procesów iexplore.exe i podejrzany wyciąg z GMER (sugeruje infekcję rootkit).

 

 

1. Upewnij się, że zegar systemowy jest odpowiednio ustawiony.

 

2. Uruchom narzędzie Fix-it resetujące plik HOSTS: KLIK.

 

3. Zresetuj system i zrób nowe raporty FRST (pola Addition i Shortcut także ma być zaznaczone). GMER do powtórki, jest źle zrobiony, przy czynnym emulatorze napędów SPTD i zaciemnia sprawę:

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-04-25] (Duplex Secure Ltd.)

U3 a14x7pgn; C:\Windows\System32\Drivers\a14x7pgn.sys [0 ] (Advanced Micro Devices)

 

Instrukcje poprawnego uruchomienia: KLIK. Odinstaluj sterownik SPTD > restart systemu > zrób log z GMER. Dodatkowo, zrób log porównawczy z Kaspersky TDSSKiller - jeśli cokolwiek wykryje ustaw Skip i tylko log wynikowy zaprezentuj.

 

Dołącz także raporty z katalogu C:\AdwCleaner (był używany).

 

 

 

.

[Konndzzio]

Witam, pisałem, ze czysto bo w sumie filutka je tak określiła, ten plik host miał już plik .txt a jego modyfikowanie też podała mi filutka
1. ta był dzień do tyłu
2. właśnie robie to
3. będzie po resecie kompa/ aa ten programik do odistalowania sterownika mam ale unistall nie dałem...
 
@EDIT

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

TDSSKiller.3.0.0.33_27.04.2014_10.54.53_log.txt

[picasso]

Tak, zgodnie z podejrzeniami jest tu rootkit (GMER po odsianiu aktywności SPTD lepiej to wykazuje + TDSSKiller ma konkretną detekcję typu), a modyfikacja HOSTS to tylko część zestawu. Plik HOSTS nie został zresztą wcale zresetowany, prawdopodobnie infekcja blokuje, choć nie jestem pewna czy w ogóle uruchomiłeś narzędzie Fix-it. Wdróż następujące działania:

 

1. Uruchom ponownie Kaspersky TDSSKiller, ale tym razem dla wyniku Rootkit.Boot.Cidox.b wybierz akcję domyślnie zaproponowaną przez narzędzie. Zresetuj system. Narzędzie zapisze kolejny log na C:\.

 

2. Ponów reset pliku HOSTS narzędziem Fix-it: KLIK.

 

3. Zrób nowe logi: FRST (główny + Addition) oraz GMER. Dołącz log z Kasperskiego.

 

 

ten plik host miał już plik .txt a jego modyfikowanie też podała mi filutka

Nie, ten plik *.txt Ty utworzyłeś. Tu są obecnie dwa pliki w systemie:

 

Plik właściwy bez rozszerzenia (to ten miał być modyfikowany):

 

2009-07-14 04:34 - 2014-04-24 08:51 - 00001659 ____N C:\Windows\system32\Drivers\etc\hosts

 

Plik sztuczny dorobiony przez Ciebie (nie jest interpretowany przez Windows):

 

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

 

 

 

.

[Konndzzio]

1. usunięty, czekam aż fix-it zrobi punkt przywracania systemu i będę mógł zresetować kompa

2. ....

3. to zapewne troche pozniej bo kompa nie bede mic

@EDIT a ja ci mówie, że jak otworzyłem to txt już był

gmer dam potem

@EDIT2 gmer już jest, nie wiem czy reklamy miały już zniknąć bo dalej je mam

TDSSKiller.3.0.0.33_27.04.2014_11.10.15_log.txt

TDSSKiller.3.0.0.33_27.04.2014_13.06.35_log.txt

Addition.txt

FRST.txt

gmer.txt

[Konndzzio]

coś jest nie tak, bo w procesach jest powielony chrome.exe, komp mi zmulił i w malwarebytes wyłączyło mi opcje blokowania szkodliwych stron, ciekawy zbieg okoliczności

[picasso]

@EDIT a ja ci mówie, że jak otworzyłem to txt już był

Na pewno plik był utworzony na świeżo ręcznie, mówią o tym daty jego utworzenia i modyfikacji (nanieś poprawkę na cofnięty czas systemowy):

 

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

 

Plik powstał tuż przed instalacją MBAM i używaniem AdwCleaner. Tak więc owszem, mógł być w momencie, gdy na tamtym forum zadano modyfikację HOSTS, co nie zmienia faktu, że plik został utworzony (nie było go wcześniej) i otwierałeś zły plik. Plik systemowy jest na dysku, nie ma rozszerzenia i nie jest to powyższy plik.

 

 

@EDIT2 gmer już jest, nie wiem czy reklamy miały już zniknąć bo dalej je mam

Rootkit został pomyślnie usunięty, o czym zawiadamia GMER i ustąpienie procesów iexplore.exe, ale plik HOSTS w ogóle nie został zresetowany. Może plik jest zablokowany przez uprawnienia?

 

 

coś jest nie tak, bo w procesach jest powielony chrome.exe, komp mi zmulił i w malwarebytes wyłączyło mi opcje blokowania szkodliwych stron, ciekawy zbieg okoliczności

Google Chrome stosuje antyawaryjny system separacji kart i rozszerzeń do osobnych procesów. Powielenie procesu chrome.exe nie jest nienormalne, jeśli przeglądarka była ręcznie uruchomiona. Np. u mnie przy otwartych 8 kartach Google Chrome mam 11 procesów chrome.exe. Poprzednio wspominane powielenie iexplore.exe to było co innego (ciche uruchomienie procesów nie używanej przeglądarki). Sytuacja, gdy działał rootkit:

 

==================== Processes (Whitelisted) =================
 

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

 

Obecna sytuacja:

 

==================== Processes (Whitelisted) =================
 

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

 

A MBAM prawdopodobnie reaguje na przekierowania HOSTS. Skoro reset HOSTS narzędziem Fix-it się nie udaje, ręcznie zostanie wdrożona akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

146.0.75.221 www.google-analytics.com.
146.0.75.221 google-analytics.com.
146.0.75.221 connect.facebook.net.
146.0.75.221 bing.com.
146.0.75.221 www.bing.com.
146.0.75.221 gb.bing.com.
146.0.75.221 au.bing.com.
146.0.75.221 ca.bing.com.
79.142.66.242 www.google-analytics.com.
79.142.66.242 google-analytics.com.
79.142.66.242 connect.facebook.net.
79.142.66.242 bing.com.
79.142.66.242 www.bing.com.
79.142.66.242 gb.bing.com.
79.142.66.242 au.bing.com.
79.142.66.242 ca.bing.com.
C:\Windows\system32\Drivers\etc\hosts.txt
C:\Windows\SysWOW64\sqlite3.dll
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\67791575.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\67791575.sys => ""="Driver"
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy log FRST z opcji Scan (główny + Addition). Dołącz też plik fixlog.txt.

 

 

 

 

.

[Konndzzio]

gdy pobrałem tfc to wyszłó to (załącznik) nic z nim na razie nie robie

zaraz dam logi z ft...

@EDIT już są i informacje o trojanie się powielają, a najśmieszniejsze jest to, że ten flashupdater pobrał mój brat na stronie swojej szkoły bo coś tam chyba oglądał i mówił ciągle, że ja coś pobrałem

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

To co jest w skanie AVG to kompletnie inny plik, czyli FlashUpdater.exe (dwie kopie pobrane ręcznie), a podany program to TFC.exe. Prawdopodobnie ten szkodliwy FlashUpdater.exe już był wcześniej na dysku w tym folderze D:\Download, ale AVG się obudził dopiero, gdy zacząłeś zapisywać tam TFC. To co wykrył AVG do usunięcia.

 

Plik HOSTS bez zmian. Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Windows\system32\Drivers\etc\hosts

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

 

2. Ponownie uruchom narzędzie Fix-it resetujące HOSTS.

 

3. Zrób nowy log FRST, ale dodaj mi tylko plik Addition. Dołącz też plik fixlog.txt.

 

 

 

 

.

[Konndzzio]

w sensie wiem, że ten tfc nie jest tym trojanem tylko dałem ci o tym znać bo to raczej ważne z racji że trojan cryot3 to ten sam co walczyłem wcześniej

 

z tego co zaobserwowałem a raczej nie zaobserwowałem to reklam nie ma więc domyślam się, że już tylko formalności.

Fixlog.txt

Addition.txt

[picasso]

Plik HOSTS nareszcie pomyślnie zresetowany. Możemy przejść do finalizacji:

 

1. Usuń używane narzędzia za pomocą DelFix. Jeśli coś nie zostanie skasowane, dokończ ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Jako że AVG poprzednio reagował dopiero przy próbach zapisu na D:\, dla pewności wykonaj jeszcze ręczny pełny skan partycji C i D.

 

 

 

.

[Konndzzio]

1. program odpalony i log na dole, ale jest jeszcze jedna rzecz, (zdjęcie) to jest taka moja mała kolekcja na wypadek jak znowu się coś stanie, to też usunąć czy sobie zostawić i gdy będą potrzebne same się zaktualizują

2. według instrukcji do windows 7 usunięte

3. to sobie w najbliższym czasie odpale

Jeżeli to już wszystko to chciałbym ci podziękować za pomoc i jak zapewne masz kontakt z filutką to czy mogłabyś przekazać jej podziękowania ode mnie bo też włożyła w to trochę pracy.

DelFix.txt

[picasso]

Tu jeszcze nie wszystko. Czekam na wyniki skanu. Po tym jest planowana wymiana wszystkich haseł logowania w serwisach (w systemie był bootkit) i aktualizacje programów.

 

 

ale jest jeszcze jedna rzecz, (zdjęcie) to jest taka moja mała kolekcja na wypadek jak znowu się coś stanie, to też usunąć czy sobie zostawić i gdy będą potrzebne same się zaktualizują

Zachomikowane programy do usunięcia. Przy kolejnej "aferze" pobiera się je na nowo, by mieć gwarancję najnowszych usprawnionych wersji. Możesz zostawić sobie tylko OTL i TFC, bo te nie są już rozwijane i nowych wersji nie należy się spodziewać.

 

 

Jeżeli to już wszystko to chciałbym ci podziękować za pomoc i jak zapewne masz kontakt z filutką to czy mogłabyś przekazać jej podziękowania ode mnie bo też włożyła w to trochę pracy.

filutce przecież możesz podziękować bezpośrednio na tamtym forum w założonym temacie.

 

 

.

[Konndzzio]

Na dole wynik skanu, programy usunięte, hasła prawdopodobnie sobie pozmieniam, tak wiem, że mogę to zrobić na "jej" forum ale nie chce odkopywać tego mojego tematu nie mając gwarancji, że to w ogóle przeczyta, a wiesz, masz kontakt więc twoją wiadomość by sprawdziła ale masz rajce, zawsze lepiej podziękować osobiście, nie przez kogoś

skan.txt

[picasso]

OK. Czyli zostało do wdrożenia:

 

1. Wymiana haseł (logowanie w systemach płatności, poczta, serwisy społecznościowe etc.).

 

2. Aktualizacje poniżej wymienionych programów: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.5.502.135 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.5.502.135 - Adobe Systems Incorporated) ----> wtyczka dla FF

Adobe Reader X (10.1.0) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.0 - Adobe Systems Incorporated)

AVG 2013 (HKLM\...\AVG) (Version: 2013.0.3469 - AVG Technologies)

Java™ 6 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216045FF}) (Version: 6.0.450 - Oracle) ----> deinstalacja, nowsza Java jest już w systemie

Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2

Mozilla Firefox 17.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 17.0.1 (x86 pl)) (Version: 17.0.1 - Mozilla)

 

 

masz kontakt więc twoją wiadomość by sprawdził

Nie mam kontaktu ani konta na tamtym forum. My się z filutką "znamy" tylko na zasadzie wiedzy kto na jakim forum działa.

 

 

.

[Konndzzio]

No to ja sobie te dwa punkty zrobię a z tym kontaktem to źle zrozumiałem, ale to już nie ważne, w starym temacie napisałem, jeszcze raz dzięki.