Skocz do zawartości

Trojan tzip, qks i inne...


Rekomendowane odpowiedzi

Witam,

Na komputerze PC z systemem Windows XP HE SP3 otwierały się niechciane strony, pobieranie plików a PC znacznie zwolnił. Uruchomiłem więc na nim Hitmana, który wyszukał 9 trojanów i powiązanych z nimi plików wskazał ponad 250. Nie usuwając niczego wyłączyłem Hitmana i uruchomiłem GMER-a, skanował ponad 5h a ponieważ zatrzymał się na jednym pliku od minimum 2h zatrzymałem go i załączam log z tego skanu. Próbowałem uruchomić GMER-a w trybie awaryjnym ale po kilku sek wyłączał się z komunikatem: (C:\Windows\system32\config\system:Error:999). Logi z FIRST-a wykonały się w całości bez problemu (w załączeniu).

Ukazuje się też komunikat: GfxUl - problem z aplikacją i zostanie ona zamknięta.

Proszę o pomoc.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie są klasyczne infekcje adware, nabyte przy udziale "Asystentów pobierania": KLIK.

 

Działania do przeprowadzenia:

 

1. Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 10 ActiveX, Browser Configuration Utility, HP Customer Participation Program 14.0, Java 8 Update 66.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv\TSvr.exe [116368 2016-03-17] (tsvr.com)
R2 SSFK; C:\Program Files\SFK\SSFK.exe [183488 2016-01-12] (TODO: )
R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ\WdMan.exe [295424 2016-03-15] (TFuns LIMITED) [brak podpisu cyfrowego]
S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X]
U2 CertPropSvc; Brak ImagePath
S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
S1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X]
HKLM\...\Run: [] => [X]
HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms}
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\deskCutv2@gmail.com
FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\yahooprotected@gmail.com
FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\default_newtabff@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\HZ.HOME-1\Ustawienia lokalne\Temp\7zS3F.tmp\SymNRT.exe] => Enabled:Norton Removal Tool
C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Documents and Settings\All Users\Dane aplikacji\pWdMp
C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ
C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\eCyber
C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\HPAppData
C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv
C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\HZ.HOME-1\Moje dokumenty\FAKTURY\FAKTURY.lnk
C:\Documents and Settings\HZ.HOME-1\Pulpit\Skrót do FAKTURY.lnk
C:\Documents and Settings\Właściciel\Dane aplikacji\HpUpdate
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\SFK
C:\WINDOWS\system32\123.html
C:\WINDOWS\system32\pl.html
C:\WINDOWS\system32\_tWm
RemoveDirectory: C:\Documents and Settings\HZ
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zainstaluj Internet Explorer 8. Link w przyklejonym: KLIK.

 

4. Są tu dwa zasadnicze konta użytkowników i to właśnie to drugie HP wygląda na bardziej zainfekowane, wnioskując po śladach pośrednich w logach:

 

==================== Konta użytkowników: =============================

 

HZ (S-1-5-21-725345543-343818398-1606980848-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\HZ.HOME-1

Właściciel (S-1-5-21-725345543-343818398-1606980848-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel

 

Po kolei zaloguj się na te konta i na każdy zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, plik Shortcut za to już niepotrzebny. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...