Komunikaty o uszkodzeniu plików, kilka usuniętych wirusów

[Amverto]

Trafił mi w ręce komputer z objawami prawdopodobnie jakiejś infekcji.

 

Właściciel komp-a mówił, że pojawiał mu się jakiś komunikat o RS remover TOOLS i komputer się wieszał, ale nie spisał dokładnie komunikatu. Więc nie wiem czy to nie fałszywy trop.

 

W pierwszej kolejności zrobiłem:

1. Uruchomiłem i wykonałem ręczne sprawdzenie dysku C przy starcie.

Wykrył jakieś drobne błędy, które naprawił. Poniżej log:

 

Sprawdzanie systemu plików na C:

Typ systemu plików to NTFS.

Etykieta woluminu: SYSTEM.

 

Zaplanowano sprawdzenie dysku.

System Windows sprawdzi teraz dysk.

Porzadkowanie niewielkich niespójnosci na dysku.

Oczyszczanie 5 nieuzywanych wpisów w indeksie $SII pliku 0x9.

Oczyszczanie 5 nieuzywanych wpisów w indeksie $SDH pliku 0x9.

Porzadkowanie 5 nieuzywanych deskryptorów zabezpieczen.

CHKDSK sprawdza dane pliku (poziom 4 z 5)

Zakonczono sprawdzanie danych pliku.

CHKDSK sprawdza wolne miejsce (etap 5 z 5)

Zakonczono sprawdzanie wolnego miejsca na dysku.

2. Wykonałem test dysku programem WD Data Lifeguard Diagnostic. Nie wykazało błędów.

3. Wykonałem test pamięci Memtest-em - brak błędów

 

Mimo powyższych czynności często, ale nie zawsze przy starcie systemu uruchamia się sprawdzanie dysku C. Oczywiście komputer jest wyłączany prawidłowo.

 

Następnie przeskanowałem komputer w poszukiwaniu malware:

1. Kaspersky Rescue Disk - pełne skanowanie. Wykrył i usunął:

 

Status: Deleted   (events: 13)	

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact//PecBundle//PECompact High

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact//PecBundle High

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact High

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe High

6/4/11 12:47 PM Deleted Trojan program Trojan-Downloader.Java.OpenConnection.dz C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/4/1d25b0c4-14e46b5f High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-7bd0e74d High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-725a6c3a High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-49d8cec5 High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-43a0ebec High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-3830c918 High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-3233aec2 High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-1f8ec4fb High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-4fe423e8 High

2. Spybot Search & Destroy - nic nie znalazł

3. Malwarebytes Anti-Malware Free - pełne skanowanie nic nie wykazało

4. SUPERAntiSpyware FREE Edition - szybkie i pełne skanowanie wykrył i usunął:

 

Trojan.Agent/Gen-Falcomp[Cont] C:\WINDOWS\SYSTEM32\TELNETI.DLL

5. Skan Avira Antivir Personal partycji systemowej oraz w poszukiwaniu rootkitów - nic nie znalazła

 

Kolejna dziwna rzecz to, że przy pracującym Spybot-cie przy zegarku pojawił się żółty trójkąt z wykrzyknikiem oraz dymek z komunikatem:

 

SpybotSD.exe - Uszkodzony plik : Plik lub katalog C: jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK.

To samo było jak robiłem logi w Gmerze tylko tym razem w komunikacie była nazwa pliku Gmera.

W jednym i drugim przypadku program działał normalnie tzn. dokończył skanowanie.

 

Na komputerze działa cały czas Avira Antivir Personal z aktualnymi bazami oczywiście.

 

 

P.S.

W logu Gmera pojawiła się wzmianka o DAEMON Tools Lite. Odinstalowałem go zgodnie z instrukcją z forum tylko, że w momencie deinstalacji był on ręcznie wyłączony z poziomu msconfig-a i nie usunął się widocznie wpis.

 

Proszę o sprawdzenie logów.

Z góry dzięki.

Extras.Txt

Gmer.txt

OTL.Txt

[Landuss]

W logach widać infekcję, która powoduje miedzy innymi problem z uruchamianiem Centrum zabezpieczeń. Czy odnotowałeś taki problem?

 

W kwestii checkdiska za każdym razem przy uruchamianiu systemu wykonaj następującą operacje - wklej do Notatnika systemowego taki tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCScan"=dword:0000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"AutoChkTimeOut"=dword:0000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):00,00

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

---

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files

C:\WINDOWS\tasks\LCNQVT.job
sc config wscsvc start= delayed-auto /C
sc start wscsvc /C
 
:OTL
SRV - File not found [Disabled | Stopped] --  -- (hpdj)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-04-21 20:01:54 | 000,002,568 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\t2agm7tj.default\searchplugins\askcom.xml
[2010-09-02 19:09:30 | 000,000,523 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\t2agm7tj.default\searchplugins\daemon-search.xml
O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found.
O4 - HKLM..\Run: [sunJavaUpdateSched]  File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Z apletu usuwania programów odinstaluj pozycję MediaBar 2.0

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

[Amverto]

Jeśli chodzi o centrum zabezpieczeń to usługa była wyłączona (bardzo prawdopodobne, że przez użytkownika). Po jej włączeniu i restarcie kompa Centrum zabezpieczeń normalnie działa.

Z kolei, jeśli chodzi o Checkdisk-a przy starcie systemu to uruchamiał się on nie zawsze tylko czasami, dlatego też nie robiłem zmian w rejestrze, które mi podałeś, bo też gdzieś coś takiego znalazłem w necie.

 

Załączam nowe logi po czyszczeniu.

Co ciekawe w trakcie wykonania skryptu w OTL-u wyskakiwało okienko z ostrzeżeniem:

 

OTL:OTL.exe - Uszkodzony plik

Plik lub katalog C: jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK.

 

To jest taki komunikat jak pisałem wcześniej tylko tym razem to było okienko z przyciskiem OK zamiast w dymku.

OTL zakończył skrypt z sukcesem

ExtrasNowe.Txt

OTLNowe.Txt

[picasso]

1. Uruchomiłem i wykonałem ręczne sprawdzenie dysku C przy starcie.

Wykrył jakieś drobne błędy, które naprawił. Poniżej log:

2. Wykonałem test dysku programem WD Data Lifeguard Diagnostic. Nie wykazało błędów.

3. Wykonałem test pamięci Memtest-em - brak błędów

 

Mimo powyższych czynności często, ale nie zawsze przy starcie systemu uruchamia się sprawdzanie dysku C. Oczywiście komputer jest wyłączany prawidłowo.

 

Error - 2011-06-06 12:33:51 | Computer Name = PC | Source = Ntfs | ID = 262199
Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.
Uruchom
 narzędzie chkdsk na woluminie C:.

Moim zdaniem ten temat kwalifikuje się do działu sprzętowego, a problem nie pochodzi z infekcji (rzecz tu podrzędna). Biegniesz do Hardware ze specyfikacją sprzętu KLIK + wynikami skanu oraz SMART z MHDD.

 

 

Z kolei, jeśli chodzi o Checkdisk-a przy starcie systemu to uruchamiał się on nie zawsze tylko czasami, dlatego też nie robiłem zmian w rejestrze, które mi podałeś, bo też gdzieś coś takiego znalazłem w necie.

 

BootExecute tu było od początku prawidłowo ustawione (tak ma domyślnie każdy XP):

 

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

I jednak chyba coś mieszałeś, bo ... wpis BootExecute w ogóle się teraz w raporcie nie wyświetla, co nie jest prawidłowe.

 

 

Jeśli chodzi o centrum zabezpieczeń to usługa była wyłączona (bardzo prawdopodobne, że przez użytkownika). Po jej włączeniu i restarcie kompa Centrum zabezpieczeń normalnie działa.

 

Drobny komentarz, Landuss zadał:

 

sc config wscsvc start= delayed-auto /C

To komenda pod Vista lub Windows 7, które wprowadzają pośredni Typ uruchomienia Automatycznie (opóźnione uruchomienie) (czyli w poleceniu delayed-auto). Na XP tego nie ma i usługa ma po prostu Automatyczny. Komenda nie mogła się wykonać, ale najwyraźniej sam to poprawiłeś. Wyłączenie Centrum przez użytkownika = nie. Wnioskując po wyniku z SUPERAntispyware + do pary zadaniu *.job wykończonym skryptem Landussa była tu infekcja, której jednym z rysów jest właśnie wyłączenie Centrum. Rozejrzyj się wokół, masa takich tematów w dziale Malware.

 

 

W logu Gmera pojawiła się wzmianka o DAEMON Tools Lite. Odinstalowałem go zgodnie z instrukcją z forum tylko, że w momencie deinstalacji był on ręcznie wyłączony z poziomu msconfig-a i nie usunął się widocznie wpis.

 

W logu po deinstalacji programu + usunięciu sterownika SPTD i tak będą stały wpisy w sekcji rejestru, gdyż te procedury nie usuwają zablokowanego klucza sterownika z rejestru (brak uprawnień do wykonania akcji):

 

---- Registry - GMER 1.0.15 ----
 
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x3D 0x2E 0x43 0x93 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xFB 0xCF 0xAC 0xB2 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xB1 0x09 0x5C 0x4A ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x3D 0x2E 0x43 0x93 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x79 0x95 0x9E 0x39 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x4A 0xF8 0x81 0x39 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                    0xA4 0x76 0x08 0x27 ...

By to się przestało wyświetlać, trzeba ręcznie wykończyć klucz SPTD z rejestru, posiłkując się konfiguracją uprawnień. To tu nie ma znaczenia, to jest inny typ wpisów (statyczny), niż te które przeszkadzają GMER. Te o które nam tu chodzi to hooki czasu rzeczywistego na urządzeniach, obecne tylko wtedy gdy działa sterownik główny.

 

 

Na komputerze działa cały czas Avira Antivir Personal z aktualnymi bazami oczywiście.

 

Bazy może i aktualne, ale sterowniki Avira w logu mają daty równe 2009:

 

DRV - [2009-05-11 12:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009-05-11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

 

 

---

Dokończ drobnostki, to nie pomoże oczywiście na problem główny wcale.

 

1. Kosmetyka. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\WebBrowser: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found.
O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)"
[2011-05-01 12:24:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User\Dane aplikacji\OpenCandy
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Program Files\SopCast\adv\SopAdver.exe"=-

Klik w Wykonaj skrypt. Po tym klik w Sprzątanie.

 

2. Tego pliku nie ruszy normalna kasacja:

 

File not found -- C:\Documents and Settings\User\Pulpit\Survivor - Eye of the Tiger

Poradzi sobie z nim Delete FXP Files. Demo, ale kasacja wykonalna.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Powinny tu się jeszcze odbyć aktualizacje software, ale szczerze mówiąc uważam na razie to za bezcelowe na dysku, który sypie "błędami uszkodzonej struktury". W pierwszej kolejności leć do Hardware, niech się coś ustali.

 

 

 

 

 

.

Edytowane 14 Października 2011 przez picasso
8.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso