Skocz do zawartości

MSIL injector ECS


Rekomendowane odpowiedzi

Witam, otóz mam taki problem, właściciel internetu od którego idzie mi kabel i z routera  wi fi na 5 laptopów, dostał maila od swojego providera że któryś z komputerów jest zarażony wirusem z grupy Botnet Citadel(nie wiem czy któreś z tych 5 czy jakieś urządzenie u gościa w domu, jego) i stanowi to niebezpieczeństwo, wyczytałem w necie ze jest to grupa zainfekowanych kompów służących do kradzierzy pieniedzy z kont bankowych. Mamy wi fi z routera na 5 laptopów w jednym jest MSIL injector ECS a w drugim win32 adware reszta jest czysta, wirusy wykrył mi eset online i poddał kwarantannie. Ani jedno ani drugie nie jest chyba wirusem o którym mowią w mailu od firmy o zarazeniu któregoś z kompów przez wirusa z rodziny botnet. Myślę że nie ma to znaczenia ale przebywam w Holandii, i ten provider do rozwiązania problemu chce odłączyć internet, co jest chore jak dla mnie, na początku przyjąłem myślenie że może być to mail informacyjny ostrzegawczy, ale pisze tam jak byk że jakieś urządzenie korzystające z tego łącza jest zarażone, pojęcia nie mam co teraz robić, czy któryś z w/w (MSLI injector ECS,win32 adware) może być przyczyną problemu ? przepraszam że tak chaotycznie ale piszę na szybkości - z góry dzięki za pomoc. Załączam logi z mojego laptopa laptopa na którym jest MSIL injector ECS

 

OTL http://www.wklej.org/id/1447354/
Extras http://www.wklej.org/id/1447355/

 

FRST http://www.wklej.org/id/1447449/

Addition http://www.wklej.org/id/1447451/

fixlog http://www.wklej.org/id/1447453/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tak jest, pokazany tu w logach system jest zainfekowany trojanem MSIL/Injector.CPM. Trojan ten blokuje oproramowanie zabezpieczające, wyłącza Harmonogram zadań Windows oraz resetuje uprawnienia różnych plików i folderów (to jest najtrudniejsza partia w usuwaniu, bo może być zresetowane wiele ścieżek, a logi nie adresują detekcji tego rodzaju). Skaner ESET zdeaktywował infekcję, ale nie jest ona wcale dobrze wyczyszczona, ostała się m.in. blokada skanerów, nie wątpię też że są w systemie inne wymieniane problemy. Ponadto w logu są ślady adware. Ukończ skan GMER i wdróż wstępne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows"
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f
HKLM-x32\...\Run: [Winlogon] => C:\Users\user\AppData\Roaming\winlogon.exe
HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Run: [Winlogon] => C:\Users\user\AppData\Roaming\winlogon.exe
HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Winlogon: [shell] explorer.exe,"C:\Users\user\AppData\Roaming\winlogon.exe" 
AppInit_DLLs: C:\Program Files => C:\Program Files [0 2014-08-20] ()
AppInit_DLLs-x32: C:\Program Files => C:\Program Files [0 2014-08-20] ()
IFEO\AvastSvc.exe: [Debugger] nqij.exe
IFEO\AvastUI.exe: [Debugger] nqij.exe
IFEO\avcenter.exe: [Debugger] nqij.exe
IFEO\avconfig.exe: [Debugger] nqij.exe
IFEO\avgcsrvx.exe: [Debugger] nqij.exe
IFEO\avgidsagent.exe: [Debugger] nqij.exe
IFEO\avgnt.exe: [Debugger] nqij.exe
IFEO\avgrsx.exe: [Debugger] nqij.exe
IFEO\avguard.exe: [Debugger] nqij.exe
IFEO\avgui.exe: [Debugger] nqij.exe
IFEO\avgwdsvc.exe: [Debugger] nqij.exe
IFEO\avp.exe: [Debugger] nqij.exe
IFEO\avscan.exe: [Debugger] nqij.exe
IFEO\bdagent.exe: [Debugger] nqij.exe
IFEO\blindman.exe: [Debugger] nqij.exe
IFEO\ccuac.exe: [Debugger] nqij.exe
IFEO\ComboFix.exe: [Debugger] nqij.exe
IFEO\egui.exe: [Debugger] nqij.exe
IFEO\hijackthis.exe: [Debugger] nqij.exe
IFEO\instup.exe: [Debugger] nqij.exe
IFEO\keyscrambler.exe: [Debugger] nqij.exe
IFEO\mbam.exe: [Debugger] nqij.exe
IFEO\mbamgui.exe: [Debugger] nqij.exe
IFEO\mbampt.exe: [Debugger] nqij.exe
IFEO\mbamscheduler.exe: [Debugger] nqij.exe
IFEO\mbamservice.exe: [Debugger] nqij.exe
IFEO\MpCmdRun.exe: [Debugger] nqij.exe
IFEO\MSASCui.exe: [Debugger] nqij.exe
IFEO\MsMpEng.exe: [Debugger] nqij.exe
IFEO\msseces.exe: [Debugger] nqij.exe
IFEO\rstrui.exe: [Debugger] nqij.exe
IFEO\SDFiles.exe: [Debugger] nqij.exe
IFEO\SDMain.exe: [Debugger] nqij.exe
IFEO\SDWinSec.exe: [Debugger] nqij.exe
IFEO\spybotsd.exe: [Debugger] nqij.exe
IFEO\wireshark.exe: [Debugger] nqij.exe
IFEO\zlclient.exe: [Debugger] nqij.exe
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=58&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&q={searchTerms}&SSPV=
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=58&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&q={searchTerms}&SSPV=
CHR HomePage: hxxp://www.trovi.com/?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=55&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&SSPV=
CHR StartupUrls: "hxxp://www.trovi.com/?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=55&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&SSPV="
FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e0dks6s1.default\searchplugins\trovi-search.xml
C:\Users\user\AppData\Roaming\msconfig.ini
C:\Windows\SysWOW64\Windows System
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść adware z Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj Extutil i Managera
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Trovi search.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i ów GMER.

 

 

 

 

,

Odnośnik do komentarza

halu prosiłam o log z FRST wykonany po modyfikacji Google Chrome, log ma pokazać czy poprawnie ją przeprowadziłeś. A tak to dwa razy log FRST produkowany...

 

 

czyli to jednak ten trojan ma zwiazek z informacja od providera o botnet citadel? dobrze rozumiem ?

Jeśli to jedyny zainfekowany komputer w sieci, to tak. Ale i tak mam zamiar poprosić o raporty z wszystkich pozostałych laptopów.

 

 

 

.

Odnośnik do komentarza

Wymagane jeszcze poprawki. W pierwszym skrypcie za późno poprawiłam literówkę w ostatniej komendzie czyszczenia plików tymczasowych i przetworzyłeś z błędem (tzn. komenda się nie wykonała). Natomiast te dziadostwa adware są nadal w rozszerzeniach Google Chrome, a skoro ich nie widzisz, to możliwe iż to odpadki.

 

1. W Google widzę także to do ręcznej korekty:

- Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres trovi.com, przestaw na "Otwórz stronę nowej karty"

- Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com

 

2. Otwórz Notatnik i wklej w nim:

 

CHR Extension: (Extutil) - C:\Users\user\AppData\Local\Temp\D7ADFCCA-EE7E-442C-9999-C4D14FEF360B [2014-06-25]
CHR Extension: (Managera) - C:\Users\user\AppData\Local\Temp\38fdaae5-8e0e-493c-88ec-e05c3be06e42 [2014-06-25]
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Wszystko wykonane.

 

1. Odinstaluj stary Adobe Flash Player 10 ActiveX (wtyczka dla IE).

 

2. Usuń używane narzędzia z C:\Users\user\Desktop\frst. Popraw narzędziem DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

I dostarcz pełne komplety logów z pozostałych laptopów, dla pewności, że tu obrabiany delikwent był jedynym naprawdę zainfekowanym.

 

 

 

.

Odnośnik do komentarza

Nie widzę tu infekcji, zwłaszcza tej "MSIL"

 

Widać resztki śmieci, więc:

 

1. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

2. Otwórz Notatnik i wklej w nim:

 

C:\Users\wangzhisong

ShortcutWithArgument: C:\Users\ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1391967997&from=tugs&uid=HitachiXHTS543232L9A300_081003FB0440LEH7Y7HAX

ShortcutWithArgument: C:\Users\ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1391967997&from=tugs&uid=HitachiXHTS543232L9A300_081003FB0440LEH7Y7HAX

InternetURL: C:\Users\ja\Downloads\MSO 2010\WIĘCEJ PROGRAMÓW.url -> hxxp://adf.ly/kPnvX

InternetURL: C:\Users\ja\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url -> hxxp://www.voga360.com

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

C:\Program Files\Bench

C:\Windows\system32\sru

S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]

S2 PnkBstrB; C:\Windows\system32\PnkBstrB.exe [X]

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391967997&from=tugs&uid=HitachiXHTS543232L9A300_081003FB0440LEH7Y7HAX&q={searchTerms}

HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe

C:\Program Files\Mobogenie

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...