Win 7 Total Security, Trojan

[mos]

Witam.

Proszę o pomoc w pozbyciu się złośliwca.

Przygotowałem logi:

 

OTL http://wklej.org/id/518070/

Extras http://wklej.org/id/518072/

 

Dziękuję za pomoc i życzę smacznego jajka :]

[picasso]

1. Wstępne usunięcie elementów infekcji oraz innych wadliwych zapisów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\3oinbk8a80fm26mvl
C:\Users\MEG\AppData\Local\3oinbk8a80fm26mvl
C:\Users\MEG\AppData\Local\olj.exe
C:\Users\MEG\AppData\Local\Temp*.html
 
:OTL
O35 - HKU\S-1-5-21-3843999516-3790557013-2749497044-1001..exefile [open] -- "C:\Users\MEG\AppData\Local\olj.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-3843999516-3790557013-2749497044-1001\...exe [@ = exefile] -- "C:\Users\MEG\AppData\Local\olj.exe" -a "%1" %* ()
O4 - HKU\S-1-5-21-3843999516-3790557013-2749497044-1001..\Run: [mnumsg.exe]  File not found
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..keyword.URL: "http://www.slaago.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=JHb5KfD6&q=" 
FF - user.js..browser.search.selectedEngine: "Search"
FF - user.js..keyword.URL: "http://www.slaago.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=JHb5KfD6&q=" 
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -  File not found
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Otrzymasz log z czyszczenia.

 

2. Etap dwa, czyli deinstalacja niepożądanych obiektów:

 

• Otwórz menedżer rozszerzeń Firefox i wymontuj adware HBLite.
  
• Przejdź do apletu deinstalacji programów i usuń adware ShopperReports i Blinkx Beat.
  
• Kolejny element deinstalacji: posługujesz się przeterminowaną wersją Spyware Doctor 6.0, która na dodatek nie ma stosownej kompatybilności z Twoim systemem. W Dzienniku zdarzeń jest odnotowany problem z prawidłowym ładowaniem sterownika na systemie 64-bit:
   
  

  Error - 4/23/2011 6:29:33 PM | Computer Name = MEG-PC | Source = Application Popup | ID = 875
  Description = Driver PCTSDInj64.sys has been blocked from loading.
  

  
  
• Podobnie jest zresztą z oprogramowaniem Samsung:
   
  

  Error - 4/23/2011 6:29:27 PM | Computer Name = MEG-PC | Source = Application Popup | ID = 1060
  Description = \??\C:\Windows\system32\Drivers\SSPORT.sys has been blocked from loading
   due to incompatibility with this system. Please contact your software vendor for
   a compatible version of the driver.
   
  Error - 4/23/2011 6:29:27 PM | Computer Name = MEG-PC | Source = Service Control Manager | ID = 7000
  Description = The SSPORT service failed to start due to the following error:   %%1275
   
  Error - 4/23/2011 6:29:24 PM | Computer Name = MEG-PC | Source = Service Control Manager | ID = 7000
  Description = The DgiVecp service failed to start due to the following error:   %%20
  

3. Po przeprowadzeniu punktów 1+2 wyprodukuj nowe logi z OTL z opcji Skanuj. Zaprezentuj także log powstały z usuwania w punkcie 1.

 

 

 

 

.

[mos]

skrypt wykonany

log po czyszczeniu http://wklej.org/id/518501/

 

nie moglem znaleźc HBLite

odinstalowałem ShopperReports, Blinkx Beat i Spyware Doctor 6.0

zainstalowałem nowe sterowniki do Samsunga

 

nowe logi:

OTL http://wklej.org/id/518502/

Extras http://wklej.org/id/518503/

[picasso]

Zadanie skryptowe wykonane pomyślnie.

 

 

zainstalowałem nowe sterowniki do Samsunga

 

Nie wygląda na to, by nastąpiła tu zmiana. W pierwszym OTL i aktualnym jest dokładnie tak samo datowany zestaw sterowników Samsung:

 

DRV:64bit: - [2008/01/03 05:38:03 | 000,054,072 | R--- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\DgivEcp.sys -- (DgiVecp)
DRV:64bit: - [2008/01/03 05:23:20 | 000,005,120 | R--- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\SSPORT.sys -- (SSPORT)
DRV - [2008/01/03 05:50:32 | 000,041,984 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\DGIVECP.SYS -- (DgiVecp)

W Dzienniku zdarzeń z dziś zalogowane te same błędy niekompatybilności i niemożności startu sterownika. Widocznie "najnowsze" dostępne sterowniki Samsung są i tak za stare.

 

 

nie moglem znaleźc HBLite

 

Jednakże jakaś operacja została na nim przeprowadzona. W aktualnym logu nastąpiła zmiana, rozszerzenie nie jest oznaczone jako czynne, choć są jeszcze w rejestrze fragmenty związane z tym adware:

 

FF - HKLM\software\mozilla\Firefox\Extensions\\HBLite@HBLite.com: C:\Program Files (x86)\HBLite\bin\11.0.363.0\firefox\extensions

 

1. Zamknij Firefox.

 

----> Start > w polu szukania wklep regedit > i w kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

 

Skasuj HBLite@HBLite.com

 

----> Przez SHIFT+DEL skasuj z dysku folder C:\Program Files (x86)\HBLite

 

2. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę programu z trojanem oraz sam program OTL jako taki.

 

3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware i zaprezentuj raport.

 

 

 

.

[mos]

dziwna sprawa z tymi sterownikami, ogólnie właścicielka laptopa nie uskarża się na jakiekolwiek kłopoty ze sprzętem Samsunga, wiec na razie to pomińmy

podanego wpisu HBLite w rejestrze nie znalazłem, tak samo jak i katalogu. usunąłem jednakże pozostałe wpisy HBLite z rejestru, uzyłem opcji szukaj

sprzątanie w OTL wykonane

poniżej log z Malwarebytes' Anti-Malware

http://wklej.org/id/518974/

[picasso]

1. Wszystkie wyniki MBAM są szkodliwe. Grupa pierwsza to głównie pozostałości po adware ShopperReports i HBLite (znakowany jako "Hotbar"), druga grupa to wpisy od infekcji z którą się zgłosiłeś. Widzę wszędzie "No action taken". Usuń to wszystko za pomocą MBAM.

 

2. Software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java™ 6 Update 16 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.4
"7-Zip" = 7-Zip 9.20
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

• Aktualizacje Firefox, Java (wersja 32-bit i 64-bit) i Adobe Reader: INSTRUKCJE.
  
• 7-zip - zamontowany w wersji 32-bit, a jest to wersja niewłaściwa dla Windows 64-bit. By menu kontekstowe były widzialne w eksploratorze, jest wymagane zastąpienie natywnie 64-bitową wersją.
  
• GG10 - może się uda przekonać właścicielkę do zamiany tego potwora alternatywą z obsługą sieci Gadu. Opisy w Darmowe komunikatory. Programy które się liczą jako zamienniki: AQQ, Kadu, WTW, Miranda.
  

3. Aktualizacja właściwa Windows:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

Windows 7 Service Pack 1 + Internet Explorer 9

 

4. Na sam koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

[mos]

super, zrobiłem wg. zaleceń i wszystko chodzi, z tego co mi wiadomo, bez zastrzeżeń :]

dziękuję bardzo za pomoc

Edytowane 27 Kwietnia 2011 przez picasso
Temat rozwiązany. Zamykam. //picasso