System zainfekowany przez System Tools

[lotnik002]

Witam,

Miałem i chciałbym sprawdzić czy nadal mam problem z System Tools.

Operacje które wykonałem do tej pory:

- uruchomiłem system w trybie awaryjnym

- zanim trafiłem na wasze forum próbowałem przeskanować system przez ComboFix ale wyrzucało że nie może tego zrobić gdyż mój program antywirusowy nie pozwala mimo że w trybie awaryjnym raczej nie działał bo nie widziałem go w Procesach,

- przeskanowałem zatem system za pośrednictwem OTL, ale wydaj mi się że niedbale to zrobiłem i chyba nie zapisałem wyników skanowania.

- jednak po uruchomieniu ponownym systemu wszystko wróciło do normy, tzn. nie ma widocznych oznak obecności tego wirusa (nie pojawiają się info że system jest zainfekowany)

 

Po przeczytaniu wszystkich Waszych uwag przeskanowałem raz jeszcze system za pomocą OTL i GMER i miałbym prośbę o sprawdzenie czy rzeczywiście wszystko jest już w porządku.

 

Z góry dziękuję za pomoc.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Zostały jeszcze ślady po tej infekcji oraz mapowanie powstałe po podpięciu zarażonego dysku USB.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marcinek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tool
C:\Users\Marcinek\AppData\Roaming\58832.exe
C:\Users\Marcinek\AppData\Roaming\qvjsge.dat
C:\ProgramData\nGeHj13000
C:\Windows\tasks\At*.job
C:\Users\Marcinek\AppData\Local\Temp*.html
 
:OTL
O33 - MountPoints2\G\Shell\AutoRun\command - "" = 12gn6id2.exe
O33 - MountPoints2\G\Shell\open\Command - "" = 12gn6id2.exe
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Value error.)
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{EF6F34A2-057F-40AD-88DE-E164A64352C1}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. System będzie restartował, na koniec otrzymasz log z usuwania.

 

2. Wytwórz nowy log z OTL opcją Skanuj. Dołącz log powstały z usuwania.

 

 

 

.

[lotnik002]

Więc tak, przy wykonywaniu powyższego skryptu wystąpił następujący błąd:

Access violation at address 005CC7ED in module "OTL.exe". Read of address 00000000.

Po kliknięciu OK dokończyłem wykonywanie skryptu przez ponowne kliknięcie "Wykonaj skrypt".

OTL.Txt

Extras.Txt

[picasso]

Pomimo błędów OTL, skrypt został przetworzony, gdyż nie widzę już elementów infekcji zadanych do usuwania. Wykonaj końcowe kroki:

 

1. Ostała się przekonfigurowana wartość w preferencjach Firefox:

 

FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" 

W pasku adresów Firefox wpisz about:config, w wyszukiwarce wpisz keyword.URL, z prawokliku wybierz opcję resetowania do wartości domyślnej.

 

2. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę programu, szczątki po próbie uruchomienia ComboFix oraz sam OTL jako taki.

 

3. Na wszelki wypadek wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. Jeśli coś zostanie znalezione, przedstaw raport do oceny. Notabene: sugeruję ten program zostawić na stałe w systemie jako skaner na żądanie, za to pozbyć się słabszego Spybot Search & Destroy.

 

4. Wykonaj aktualizacje oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)

• Usuń wszystkie przestarzałe Java za pomocą JavaRa, wykonaj aktualizacje wyliczanych tu aplikacji: INSTRUKCJE.
  
• Sugestia dodatkowa: ciężkie GG10 można zamienić lższejszym bezreklamowym klientem, takim jak WTW czy Miranda. Opisy w temacie Darmowe komunikatory.
  

5. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

.

[lotnik002]

1. Przekonfigurowana wartość w Firefoxie została zrestartowana do wartości domyślnej.

 

2. Wykonałem sprzątanie przy wykorzystaniu OTL.

 

3. Odinstalowałem Spybot Search & Destroy i zacznę używać tak jak proponujesz Malwarebytes' Anti-Malware. Za jego pomocą dokonałem pełnego skanu. Został znaleziony jeden trojan który co widzę został przeniesiony do kwarantanny. Przesyłam też log który został wygenerowany na koniec pracy. Zakładam że mam usunąć tego trojana z tej kwarantanny całkowicie.

 

4. Co do aktualizacji oprogramowania:

- Firefox mam w wersji 3.6.13, przynajmniej tak mi pokazuje kiedy klikam na Pomoc - O programie....

- Nie potrafię sobie poradzić z JavaRa. Kiedy odpalam i próbuję usunąć starsze wersje mam komunikat że program nie może wykonać polecenia bo jest włączone Internet Explorer. Nie korzystam z niego więc nie wiem skąd ma być włączony. Ale dalej jak klikam ok to następny komunikat że wersja 3 została usunięta, ale nadal ją widzę w dodaj i usuń programy. Mam również problem z usunięciem ręcznym starszych wersji.

- czy przy Adobe Reader mam odinstalować tylko wersję 9.3 i zamienić ją na X czy pozostałe aplikacje również. Mam tutaj: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin i Adobe Shockwave Player 11?

 

5. GG usunąłem bo w sumie stwierdziłem że już go nie używam.

 

I na koniec wyczyściłem folder Przywracania systemu.

mbam-log-2011-01-23 (18-56-06).txt

[picasso]

Został znaleziony jeden trojan który co widzę został przeniesiony do kwarantanny. Przesyłam też log który został wygenerowany na koniec pracy. Zakładam że mam usunąć tego trojana z tej kwarantanny całkowicie.

 

Trojan został wykryty w cache Javy. Możesz całkowicie zlikwidować przemigrowany do kwarantanny obiekt.

 

- Nie potrafię sobie poradzić z JavaRa. Kiedy odpalam i próbuję usunąć starsze wersje mam komunikat że program nie może wykonać polecenia bo jest włączone Internet Explorer. Nie korzystam z niego więc nie wiem skąd ma być włączony. Ale dalej jak klikam ok to następny komunikat że wersja 3 została usunięta, ale nadal ją widzę w dodaj i usuń programy. Mam również problem z usunięciem ręcznym starszych wersji.

 

Spróbuj wejść w Tryb awaryjny Windows i wtedy skorzystać z JavaRA. Na czym polega problem z usuwaniem ręcznym?

 

- czy przy Adobe Reader mam odinstalować tylko wersję 9.3 i zamienić ją na X czy pozostałe aplikacje również. Mam tutaj: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin i Adobe Shockwave Player 11?

 

Tylko deinstalacja Adobe Reader 9.3 i zamiana na Adobe Reader X. Innych aplikacji nie punktowałam.

 

- Firefox mam w wersji 3.6.13, przynajmniej tak mi pokazuje kiedy klikam na Pomoc - O programie....

 

Nasuwa się: albo błąd nadpisu danych w rejestrze przy instalowaniu nowszej przeglądarki (OTL pobrał wersję z klucza deinstalacji) albo wykonanie się aktualizacji programu między stworzeniem pierwszego zestawu logów a chwilą obecną. Skoro na pewno się pokazuje najnowsza wersja, to jest OK i zostawiamy ten wątek.

 

 

.

[lotnik002]

Zrobiłem jak napisałaś, w trybie awaryjnym użyłem JavaRa wydaje mi się że usunąłem. Żeby wszystko było jasne przesyłam loga z JavaRa.

Chociaż w normalny trybie nadal mi pokazuje w opcji Dodaj i usuń.... Java 6 update 3 i Java 6 update 18. Przy próbie instalacji nowej aktualizacji pojawia się problem: Internal Error 2753 regutils.dll

[lotnik002]

Troszkę posiedziałem i wydaj mi się że rozwiązałem problem z instalacją nowej aktualizacji Java. Dla tych co nadal mają problem a jakimś trafem tutaj się znajdą.

Przy instalacji czy próbie odinstalowania ręcznego starszych wersji pojawiał się problem: Internal Error 2753 regutils.dll

Za pomocą programu Revo Uninstaller 1.91 przeprowadziłem usuwanie pozostałości po starszych wersjach (także z rejestru), ściągnąłem nową wersję i poszło bez problemu.

 

Picasso dziękuję za pomoc.

Edytowane 24 Stycznia 2011 przez picasso
Temat wygląda na rozwiązany. Zamykam. //picasso