pinochio Opublikowano 27 Grudnia 2010 Zgłoś Udostępnij Opublikowano 27 Grudnia 2010 Użyłem ComboFix, bo miałem podejrzenia, że system jest zainfekowany i faktycznie informował mnie, że regedit.exe jest zainfekowany. Zainstalował mi konsolę odzyskiwania, usunął parę plików i zablokował część rejestru. Potem miałem problem z usunięciem folderu Qoobox, a właściwie jego podfolderu BackEnv, w końcu usunąłem to Unlockerem, a potem miałem problem z usunięciem tego z kosza, miałem stale info, że "nie można usunąć folderu DC25: odmowa dostepu", aż w końcu użyłem linuksowego Live-CD i usunąłem. Z usunięciem konsoli odzyskiwania miałem podobne problemy. Po części plikach pozostały jakieś śmieci, logi informują, że brak plików, jak się tego pozbyć? Tu log OTL.Txt a tu log Extras.Txt ComboFix usunąłem poprzez cmd, ale log zostawiłem i wklejam również, żeby można było zobaczyć, co to był za pierwszy problem Log ComboFix Odnośnik do komentarza
picasso Opublikowano 27 Grudnia 2010 Zgłoś Udostępnij Opublikowano 27 Grudnia 2010 Wyjaśnij skąd podejrzenie o infekcji. Póki co, nic tu nie wskazuje na obecność infekcji w stanie czynnym, za to jest ślad używania keygena lub cracka (KLIK). [2010-11-04 00:15:13 | 000,081,920 | -H-- | C] () -- C:\WINDOWS\System32\v3shrtkgn.dll Czyli sumarycznie: drobne sprzątanie do OTL, sprowadzone do usunięcia "not found" oraz drobnostek w konfiguracji Firefox (pozostałości po sponsorach: Conduit i Babylon Search). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- -- (Prime95 Service) SRV - File not found [Auto | Stopped] -- -- (LEC TranslateDotNet Server) SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe -- (gupdate) Usługa Google Update (gupdate) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater) DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\Jarek\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\archlp.sys -- (archlp) FF - prefs.js..browser.search.defaultthis.engineName: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398" FF - prefs.js..browser.search.useDBForOrder: true [2009-08-31 10:18:38 | 000,000,838 | ---- | M] () -- C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\ggmtq6d0.default\searchplugins\conduit.xml [2009-10-22 21:39:39 | 000,002,194 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml [2010-11-04 00:15:13 | 000,081,920 | -H-- | C] () -- C:\WINDOWS\System32\v3shrtkgn.dll klik w Wykonaj skrypt. Użyłem ComboFix, bo miałem podejrzenia, że system jest zainfekowany i faktycznie informował mnie, że regedit.exe jest zainfekowany. 1. Zwracam uwagę, że: ComboFix to nie jest skaner antywirusowy, ComboFix bierze pod uwagę tylko domyślne wartości systemu. Taki odczyt z "zainfekowany" może być choćby z tego powodu, że jest tu modyfikowany Windows przygotowany przez nLite. 2. Są również masowe niezgodne odczyty w sekcji Sigcheck. Prócz w/w może to być związane z nieprawidłowością działania Usług kryptograficznych, a nie wirusami. 3. Wątpliwości budzi i to co zostało skasowane: c:\documents and settings\All Users\Dane aplikacji\mazuki.dllc:\documents and settings\Jarek\Dane aplikacji\inst.exec:\windows\system32\lsprst7.dllc:\windows\system32\ssprs.dllc:\windows\system32\tmpPrst.dll Te trzy ostatnie pliki wyglądają na system licencji generowany przez niektóre programy (np. KLIK, ale jest więcej takich softów). Może były zerobajtowe, dlatego kasacja je objęła (widziałam to już na takich plikach). Te dwa pierwsze, nie wiem co o nich sądzić. Mazuki.dll to chyba ehkm "patch" od programu VSO (KLIK). Plik inst.exe, o ile mnie pamięć nie zawodzi, to chyba również skutek instalacji VSO. Potem miałem problem z usunięciem folderu Qoobox, a właściwie jego podfolderu BackEnv, w końcu usunąłem to Unlockerem, a potem miałem problem z usunięciem tego z kosza, miałem stale info, że "nie można usunąć folderu DC25: odmowa dostepu", aż w końcu użyłem linuksowego Live-CD i usunąłem. To nie jest prawidłowa metoda usuwania ComboFix. Qoobox to nie jedyny obiekt zostawiany przez ComboFix na dysku. ComboFix usuwa się tylko przez parametr /uninstall. Gdybyś postąpił prawidłowo, nie byłoby żadnego z opisywanych problemów. Z usunięciem konsoli odzyskiwania miałem podobne problemy. Katalog Konsoli cmdcons jest zabezpieczony przez uprawnienia (Odmów dla Wszystkich). Działanie celowe. Wystarczy tylko zdjąć ten jeden ptaszek w konfiguracji uprawnień. Po części plikach pozostały jakieś śmieci, logi informują, że brak plików, jak się tego pozbyć? Skoro bierzesz w ręce ComboFix, to takie rzeczy powinny być Ci wiadome. . Odnośnik do komentarza
pinochio Opublikowano 27 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2010 (edytowane) Dziękuję picasso, już ja sobie z dzieciakami pogadam... Edytowane 30 Grudnia 2010 przez picasso Rozumiem, że temat zamknięty. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi