Skocz do zawartości

Siggen2.7278 w System Volume Information


Rekomendowane odpowiedzi

Witam.

 

Mam następujący problem. Jakiś czas temu na kompie w zauważyłem, że komputer zaczyna się dziwnie zachowywać. Łączył się ze stronami, na których widniało, że coś wygrałem. odgrywał melodyjki, w kółko wyskakiwały różne okna Internet Explorera. Domyślną przeglądarką w systemie jest Firefox. Zainstalowane oprogramowanie antywirusowe to Avast. Podczas skanowania, znalazł niewiele, więc zainstalowałem DrWeb 6, Avasta nie odinstalowywałem, ale ma aktualnie wyłączone funkcje ochrony. Podczas kilku skanowań przy użyciu tego programu + DrWeb LiveCD 6 wykryłem w sumie Lukicsel.e, Siggen 2.7278, Trojan Downloader 3.373. Ostatecznie udało mi się większość usunąć, ale z każdym restartem komputera zauważyłem proces Backdoor.tdss.565. Jego również udało mi się pozbyć korzystając z programu Kaspersky TDSS Killer. Aktualnie wciąż korzystam z oprogramowania antywirusowego DrWeb 6 i w sumie większość objawów zniknęło. Jednak czasem, jak otwieram strony, poprzez wybranie linków z google, łączy mnie z portalami ala randkowe i inne typu wygrałeś coś tam (głównie iPhone). Problem występuję tylko po wybraniu linków, jednak gdy wpiszę adres www w okno przeglądarki, łączy się bezpośrednio z wymaganą stroną.

Po pełnym skanowaniu systemu DrWeb wykrywa w SYSTEM VOLUME INFORMATION 2xTrojan.Siggen2.7278 oraz Trojan.Downloader3.373. Chciałbym, aby ktoś zerknął na logi które załączam i stwierdził jak to wygląda, bo nie bardzo się na tym znam. Zamiast w OTL, daję log z OTS, ponieważ antywirus blokuje mi OTL'a wykrywając w nim infekcję Siggen2.33900. Ściągałem z różnych źródeł i zawsze to samo. Załączam jeszcze log programu GMER, wklejam do posta, bo nie chciało mi dodać pliku (wyskoczył komunikat, że nie mam uprawnień, aby dodać ten typ pliku).

 

Z góry dzięki za pomoc

Pozdrawiam.

OTS.txt

GMER.txt

Edytowane przez picasso
Poprawne Załączniki wstawione. //picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

OTS robiony na zbyt szerokich warunkach: wiele sekcji jest ustawione na "All" na "SafeList", a File Age przestawiłeś z 30 dni na 90 dni. W konsekwencji log ma nadmiar danych (strasznie się czyta) i waży ponad 2MB, przekonfiguruj raz jeszcze i podmień w poście wyżej log, bo nie gwarantuję, że nic nie ominęłam. Log z GMER zrobiony w złych kondycjach, przy czynnej emulacji:

 

(sptd) sptd [Kernel | Boot | Running] -> C:\WINDOWS\System32\Drivers\sptd.sys -> [2010-01-06 14:57:31 | 000,691,696 | ---- | M] ()

Zdejmij emulację (KLIK) i ponów log z GMER.

 

 

Załączam jeszcze log programu GMER, wklejam do posta, bo nie chciało mi dodać pliku (wyskoczył komunikat, że nie mam uprawnień, aby dodać ten typ pliku).

 

W załącznikach dopuszczam tylko rozszerzenie *.TXT a nie *.LOG. Po zmianie nazwy pliku log by się załączył.

 

 

Zamiast w OTL, daję log z OTS, ponieważ antywirus blokuje mi OTL'a wykrywając w nim infekcję Siggen2.33900. Ściągałem z różnych źródeł i zawsze to samo.

 

To jest fałszywy alarm (na moim komputerze też występuje) i należy wykluczyć OTL z detekcji Dr. Web.

 

 

Po pełnym skanowaniu systemu DrWeb wykrywa w SYSTEM VOLUME INFORMATION 2xTrojan.Siggen2.7278 oraz Trojan.Downloader3.373.

 

Po dezynfekcji zawsze należy wyczyścić foldery Przywracania systemu: KLIK. To co jest wykrywane, to właśnie kopia trojana zrobiona przez Przywracanie w folderze System Volume Information. Ale z tym się jeszcze powstrzymaj, bo tu nie koniec dezynfekcji. Infekcje są nadal obecne w Twoim systemie i czyszczenie Przywracania systemu idzie na samym końcu. M.in. są w systemie:

 

[Files - No Company Name]

{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job -> C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job -> [2011-05-17 08:42:16 | 000,000,278 | -H-- | C] ()

{22116563-108C-42c0-A7CE-60161B75E508}.job -> C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job -> [2011-05-17 08:42:03 | 000,000,278 | -H-- | C] ()

{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job -> C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job -> [2011-05-17 08:41:53 | 000,000,244 | -H-- | C] ()

freecell7.dll -> C:\WINDOWS\System32\freecell7.dll -> [2011-05-16 13:03:31 | 000,133,120 | RHS- | C] ()

Xmpvoggfqw.job -> C:\WINDOWS\tasks\Xmpvoggfqw.job -> [2011-05-16 13:03:31 | 000,000,304 | -HS- | C] ()

 

 


Do tej części przejdziesz dopiero po podstawieniu loga w poście wyżej.

 

1. Uruchom OTS i w oknie Paste Fix Here wklej:

 

[Registry - All]
 -> C:\Documents and Settings\User\Dane aplikacji\Mozilla\FireFox\Profiles\8ujhl8m2.default\prefs.js
YN -> browser.search.defaultenginename -> "Facemoods Search"
[Custom Items]
:Files
C:\WINDOWS\System32\freecell7.dll
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
C:\WINDOWS\tasks\Xmpvoggfqw.job
C:\WINDOWS\System32\crt.dat
C:\WINDOWS\System32\tmp74BCA.FOT
C:\WINDOWS\System32\tmp14CCA.FOT
C:\Documents and Settings\User\autorun.inf
C:\Documents and Settings\User\Dane aplikacji\facemoods.com
C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8ujhl8m2.default\searchplugins\daemon-search.xml
C:\Program Files\DAEMON Tools Toolbar
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
:end
[Empty Temp Folders]
[EmptyFlash]

Rozpocznij usuwanie przyciskiem Run Fix. Nastąpi restart, po nim otrzymasz log z usuwania.

 

2. System nie ma pliku HOSTS:

 

Hosts file not found -> -> 

Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz "Ukrywaj rozszerzenia dla znanych typów plików". Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

3. Do oceny: prawidłowo skonfigurowany nowy log z OTS + log zusuwania oraz nowy GMER.

 

 

 

.

Odnośnik do komentarza

Witam.

 

Wykonałem nowe logi, zanim zacząłem robić cokolwiek. Te z "1." na początku są z przed wykonania jakichkolwiek czynności, czyli początkowe, (mam nadzieje) poprawnie wykonane, te z "2." są po wklejeniu skryptu do OTS.

Plik "hosts" jest w c:\windows\system32\drivers\ets.

Pomimo wukluczenia OTL w opcjach DrWeb, program dalej się nie uruchamia, wyskakuje komunikat, że OTL nie jest prawidłową aplikacją systemu Win32, gdy uruchamiam przez total commadnera, wyskakuje błąd podczas wykonywania programu.

2. gmer.txt

2. OTS extras.Txt

2. Po uruchomieniu 06012011_074329-2.txt

Odnośnik do komentarza

Uporządkowałam Załączniki, log z OTS przed usuwaniem miałeś wkleić w pierwszym poście, by zachować chronologię analizy. Ponadto, nie ma potrzeby generowania dwóch logów z OTS, OTS zawsze tworzy jeden log i podaje się ten z największą ilością informacji. Log z GMER konsekwentnie robiony w złym środowisku, świadczą o tym zarówno zawartość loga jak i:

 

(atapi) Standardowy kontroler dysku twardego IDE/ESDI [Kernel | Boot | Running] -> C:\WINDOWS\system32\DRIVERS\atapi.sys -> [2006-03-02 14:00:00 | 000,095,360 | ---- | M] ()

(a347bus) a347bus [Kernel | Boot | Running] -> C:\WINDOWS\system32\DRIVERS\a347bus.sys -> [2004-04-30 10:37:02 | 000,160,640 | ---- | M] ( )

(a347scsi) a347scsi [Kernel | Boot | Running] -> C:\WINDOWS\System32\Drivers\a347scsi.sys -> [2004-04-30 10:33:00 | 000,005,248 | ---- | M] ( )

Są tu jeszcze przestarzałe sterowniki Alcohola (nie zauważyłam ich w poprzednim zbyt dużym logu), które blokują atapi.sys. Polecam pozbycie się tego Alcohola na stałe, by uniknąć kłopotów tego typu: KLIK / KLIK.

 

 

Pomimo wukluczenia OTL w opcjach DrWeb, program dalej się nie uruchamia, wyskakuje komunikat, że OTL nie jest prawidłową aplikacją systemu Win32, gdy uruchamiam przez total commadnera, wyskakuje błąd podczas wykonywania programu.

 

Te błędy sugerują, że program jest pobrany nieprawidłowo. By się upewnić w tej kwestii: zdeaktywuj osłonę Dr. Web, pobierz OTL ponownie na dysk i spróbuj uruchomić. Log z niego nie jest mi potrzebny, w OTS mam już wszystkie dane.

 

 

Plik "hosts" jest w c:\windows\system32\drivers\ets.

 

Coś musiało przywrócić plik, chyba że masz na myśli iż sam go tam wsadziłeś. Poprzednio go nie było:

 

Hosts file not found -> -> 

Aktualnie już jest:

 

 ([2011-06-01 07:52:21 | 000,000,025 | ---- | M] - 1 lines) -> C:\WINDOWS\system32\drivers\etc\Hosts -> 

Reset Hosts

127.0.0.1 localhost

Ogólnie, całe zadanie wykonane pomyślnie, OTS skasował co należy. Ale tak, faktycznie za duży log mnie oślepił i nie zauważyłam pliku shimg.dll oraz skrótów *.LNK, które najprawdopodobniej także należą do infekcji:

 

 Ustawienia lokalne.lnk -> C:\Documents and Settings\User\Ustawienia lokalne.lnk -> [2011-05-16 08:52:04 | 000,000,186 | ---- | M] ()

Moje dokumenty.lnk -> C:\Documents and Settings\User\Moje dokumenty.lnk -> [2011-05-16 08:52:04 | 000,000,178 | ---- | M] ()

Saved Games.lnk -> C:\Documents and Settings\User\Saved Games.lnk -> [2011-05-16 08:52:04 | 000,000,172 | ---- | M] ()

New Folder.lnk -> C:\Documents and Settings\User\New Folder.lnk -> [2011-05-16 08:52:04 | 000,000,170 | ---- | M] ()

Menu Start.lnk -> C:\Documents and Settings\User\Menu Start.lnk -> [2011-05-16 08:52:04 | 000,000,170 | ---- | M] ()

PrintHood.lnk -> C:\Documents and Settings\User\PrintHood.lnk -> [2011-05-16 08:52:04 | 000,000,168 | ---- | M] ()

Passwords.lnk -> C:\Documents and Settings\User\Passwords.lnk -> [2011-05-16 08:52:04 | 000,000,168 | ---- | M] ()

Documents.lnk -> C:\Documents and Settings\User\Documents.lnk -> [2011-05-16 08:52:04 | 000,000,168 | ---- | M] ()

UserData.lnk -> C:\Documents and Settings\User\UserData.lnk -> [2011-05-16 08:52:04 | 000,000,166 | ---- | M] ()

Ulubione.lnk -> C:\Documents and Settings\User\Ulubione.lnk -> [2011-05-16 08:52:04 | 000,000,166 | ---- | M] ()

Szablony.lnk -> C:\Documents and Settings\User\Szablony.lnk -> [2011-05-16 08:52:04 | 000,000,166 | ---- | M] ()

PrivacIE.lnk -> C:\Documents and Settings\User\PrivacIE.lnk -> [2011-05-16 08:52:04 | 000,000,166 | ---- | M] ()

Pictures.lnk -> C:\Documents and Settings\User\Pictures.lnk -> [2011-05-16 08:52:04 | 000,000,166 | ---- | M] ()

WINDOWS.lnk -> C:\Documents and Settings\User\WINDOWS.lnk -> [2011-05-16 08:52:04 | 000,000,164 | ---- | M] ()

NetHood.lnk -> C:\Documents and Settings\User\NetHood.lnk -> [2011-05-16 08:52:04 | 000,000,164 | ---- | M] ()

SendTo.lnk -> C:\Documents and Settings\User\SendTo.lnk -> [2011-05-16 08:52:04 | 000,000,162 | ---- | M] ()

Recent.lnk -> C:\Documents and Settings\User\Recent.lnk -> [2011-05-16 08:52:04 | 000,000,162 | ---- | M] ()

Pulpit.lnk -> C:\Documents and Settings\User\Pulpit.lnk -> [2011-05-16 08:52:04 | 000,000,162 | ---- | M] ()

Video.lnk -> C:\Documents and Settings\User\Video.lnk -> [2011-05-16 08:52:04 | 000,000,160 | ---- | M] ()

Music.lnk -> C:\Documents and Settings\User\Music.lnk -> [2011-05-16 08:52:04 | 000,000,160 | ---- | M] ()

.gstreamer-0.10.lnk -> C:\Documents and Settings\User\.gstreamer-0.10.lnk -> [2011-05-16 08:52:03 | 000,000,180 | ---- | M] ()

Dane aplikacji.lnk -> C:\Documents and Settings\User\Dane aplikacji.lnk -> [2011-05-16 08:52:03 | 000,000,178 | ---- | M] ()

IECompatCache.lnk -> C:\Documents and Settings\User\IECompatCache.lnk -> [2011-05-16 08:52:03 | 000,000,176 | ---- | M] ()

IETldCache.lnk -> C:\Documents and Settings\User\IETldCache.lnk -> [2011-05-16 08:52:03 | 000,000,170 | ---- | M] ()

.jpi_cache.lnk -> C:\Documents and Settings\User\.jpi_cache.lnk -> [2011-05-16 08:52:03 | 000,000,170 | ---- | M] ()

Gadu-Gadu.lnk -> C:\Documents and Settings\User\Gadu-Gadu.lnk -> [2011-05-16 08:52:03 | 000,000,168 | ---- | M] ()

Cookies.lnk -> C:\Documents and Settings\User\Cookies.lnk -> [2011-05-16 08:52:03 | 000,000,164 | ---- | M] ()

.java.lnk -> C:\Documents and Settings\User\.java.lnk -> [2011-05-16 08:52:03 | 000,000,160 | ---- | M] ()

 

shimg.dll -> C:\WINDOWS\System32\shimg.dll -> [2011-05-05 07:03:27 | 000,296,863 | ---- | M] ()

Mam też wątpliwości od czego pochodzą te pliki:

 

 161491551.dll -> C:\WINDOWS\161491551.dll -> [2008-04-02 17:16:18 | 000,000,021 | -H-- | C] ()

DvyP413.dll -> C:\WINDOWS\DvyP413.dll -> [2008-04-02 17:16:18 | 000,000,000 | -H-- | C] ()

161exp2.dll -> C:\WINDOWS\161exp2.dll -> [2008-04-02 17:16:18 | 000,000,000 | -H-- | C] ()

161exp1.dll -> C:\WINDOWS\161exp1.dll -> [2008-04-02 17:16:18 | 000,000,000 | -H-- | C] ()

161692552.dll -> C:\WINDOWS\161692552.dll -> [2008-04-02 17:16:18 | 000,000,000 | -H-- | C] ()

161692551.dll -> C:\WINDOWS\161692551.dll -> [2008-04-02 17:16:18 | 000,000,000 | -H-- | C] ()

161491552.dll -> C:\WINDOWS\161491552.dll -> [2008-04-02 17:16:18 | 000,000,000 | -H-- | C] ()

 

MFCKINF.dll -> C:\WINDOWS\MFCKINF.dll -> [2010-10-13 15:35:52 | 000,000,114 | ---- | C] ()

MFCKSYS.dll -> C:\WINDOWS\MFCKSYS.dll -> [2010-10-13 15:35:52 | 000,000,026 | ---- | C] ()

 

 


Wykonaj końcowe kroki:

 

1. Drobny skrypt do OTS usuwający pliki oraz inne odpadki. W oknie Paste Fix Here wklej:

 

[Win32 Services - Safe List]
YN -> (AresChatServer) Ares Chatroom server [On_Demand | Stopped] -> 
YN -> (AMService) AMService [Auto | Stopped] -> 
[Registry - Safe List]
 -> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\
YN -> WebBrowser\\"{32099AAC-C132-4136-9E9A-4E364A424E17}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
[Custom Items]
:Files
C:\Documents and Settings\User\*.lnk
C:\WINDOWS\System32\shimg.dll
:end

Klik w Run Fix. Tym razem nie będzie restartu. Zaprezentuj tylko log z usuwania, a po tym przejdź już do tego:

 

2. W OTS wywołaj opcję CleanUp która sprzątnie z dysku kwarantannę programu oraz OTS/OTL. Funkcja wymaga restartu.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Aktualizacja software:

 

 -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ -> 

{26A24AE4-039D-4CA4-87B4-2F83216011FF} -> Java™ 6 Update 11

{AC1E4C93-C1E7-11D6-9D10-00010240CE95} -> Java 2 Runtime Environment, SE v1.4.0_03

{AC76BA86-7AD7-1045-7B44-A94000000001} -> Adobe Reader 9.4.4 - Polish

Gadu-Gadu -> Gadu-Gadu 7.7

Mozilla Firefox (3.6.17) -> Mozilla Firefox (3.6.17)

 

-> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ ->

Google Chrome -> Google Chrome

- Do aktualizacji, przeglądarki, Java i Adobe Reader: INSTRUKCJE.

- GG7 to kaleka, ani nie obsługuje już swojej sieci w stu procentach, ani nie jest specjalnie bezpieczne (brak szyfrowania). Zamiast się tak męczyć, można dokonać zamiany na alternatywę. W temacie Darmowe komunikatory popatrz na opisy WTW i Miranda. Polecam ten pierwszy. Lekki, bez reklam, portable, dobra obsługa sieci GG10.

 

 

 

.

Odnośnik do komentarza

Witam.

 

Czy mogę skopiować plik atapi.sys z płyty z windows xp home sp2. pytam, ponieważ nie do końca rozumiem jak go odblokować. Daemona usunąłem po Twoim pierwszym poście, ale od momentu jak używam tego kompa (czyli od początku roku), nic mi nie wiadomo, żeby ktoś instalował Alcohol na tym komputerze, a ja również tego nie robiłem. Musiał być wcześniej zainstalowany, zanim ja sobie zacząłem na nim urzędować :) Jak można usunąć resztki tego programu, skanowanie Ccleanerem chyba tu niewiele pomoże?

 

Chciałbym go odblokować (atapi.sys), zanim przejdę do następnych kroków.

Odnośnik do komentarza
Czy mogę skopiować plik atapi.sys z płyty z windows xp home sp2. pytam, ponieważ nie do końca rozumiem jak go odblokować. Daemona usunąłem po Twoim pierwszym poście, ale od momentu jak używam tego kompa (czyli od początku roku), nic mi nie wiadomo, żeby ktoś instalował Alcohol na tym komputerze, a ja również tego nie robiłem.

 

To nie pomoże. Plik jest zablokowany przez czynne sterowniki Alcohola:

 

(a347bus) a347bus [Kernel | Boot | Running] -> C:\WINDOWS\system32\DRIVERS\a347bus.sys -> [2004-04-30 10:37:02 | 000,160,640 | ---- | M] ( )

(a347scsi) a347scsi [Kernel | Boot | Running] -> C:\WINDOWS\System32\Drivers\a347scsi.sys -> [2004-04-30 10:33:00 | 000,005,248 | ---- | M] ( )

Usuniesz sterowniki = odblokujesz plik atapi.sys. Czyli:

 

Start > Uruchom > devmgmt.msc, z menu Widok włącz pokazywanie ukrytych urządzeń i wyszukaj te dwa urządzenia Alcohola a347bus + a347scsi. Znalezione urządzenia odinstaluj i restart komputera. Następnie uruchom program Autoruns i w karcie Drivers skasuj a347bus + a347scsi. Ponownie restart komputera.

 

 

 

.

Odnośnik do komentarza

Witam.

 

Załączam log z usuwania w OTS oraz log z GMER. Jednak ten drugi tylko w ten podstawowy. Gdy ustawię na pełniejsze skanowanie, prędzej czy później wywala niebieski ekran...

Foldery przywracania wyczyszczone zgodnie z instrukcjami.

Aktualizacja oprogramowania również została przeprowadzona, ale już po utworzeniu logów.

 

Ogólnie poza tym blue screenem, komputer zachowuje się stabilnie.

 

Pozdrawiam.

06062011_084901.txt

gmer1.txt

Odnośnik do komentarza

Wygląda na to, że zadanie wykonane. Za resztą podążyłeś. Chyba już nie mam tu nic do roboty.

 

Na koniec, dla własnego bezpieczeństwa, zmień hasła logowań w serwisach.

 

 

Gdy ustawię na pełniejsze skanowanie, prędzej czy później wywala niebieski ekran...

 

No cóż, tak bywa z GMER, a tu ma duże przeszkody = czynne oprogramowanie zabezpieczające (Dr. Web + Avast). Nie dręczyłabym już jednak tematu.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...