bowie15 Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Witam. Komputer znajomego. Objawy to restarty systemu, szczególnie przy uruchamianiu programów, nieaktywny Avast. Po wyeliminowaniu grzejącego się procesora, skan drWeb z poziomu LiveCD. Za pierwszym razem wykrył ponad 1000 wirusów nazwanych Win32.Virut.56, Win32.Virut.5 i kilka o innych niestety niezapamiętanych nazwach. Niestety zabrakło powierzchni na dysku do zakończenia skanu. Po usunięciu plików przywracania systemu drugi skan i wyglada na to, że wszystko jest usunięte. System działa ale kulawo -np msconfig i kilka programów nie uruchamia się. Załączam raport z drWeb, OTL i Gmer z prośbą o sprawdzenie i ew. doczyszczenie oraz pomoc w naprawie systemu. Pozdrawiam OTL.Txt Extras.Txt gmer.txt Kopia raport1.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Obecność infekcji wykonywalnych może implikować grubsze odświeżenie plików metodą reinstalacji tego co nie działa. System działa ale kulawo -np msconfig i kilka programów nie uruchamia się. To wygląda na skutki po obecności wirusa Virut. Albo pliki uszkodzone leczeniem, albo to pliki nadal zainfekowane. I owszem, msconfig nie ma wcale sygnatury Microsoftu: O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE () Jest więcej plików oznaczonych jako zmodyfikowane, choć te pliki przewijają się właśnie jako "wyleczone" w Dr. Web, z tym że niestety niektóre wyglądają na uszkodzone tym procesem (nie mają sygnatury MS): SRV - [2011-06-10 15:37:23 | 000,083,968 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\smlogsvc.exe -- (SysmonLog)SRV - [2011-06-10 15:36:05 | 000,028,672 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\mnmsrvc.exe -- (mnmsrvc) [2011-06-10 15:37:57 | 000,053,248 | ---- | M] (Socket Communications Inc.) -- C:\WINDOWS\System32\drivers\SCTray.exe[2011-06-10 15:37:30 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drwtsn32.exe[2011-06-10 15:37:26 | 000,132,096 | ---- | M] () -- C:\WINDOWS\System32\sndvol32.exe[2011-06-10 15:37:24 | 000,142,848 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sndrec32.exe[2011-06-10 15:37:23 | 000,083,968 | ---- | M] () -- C:\WINDOWS\System32\smlogsvc.exe[2011-06-10 15:37:21 | 000,337,920 | ---- | M] () -- C:\WINDOWS\System32\mspaint.exe[2011-06-10 15:37:19 | 000,165,888 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\ie4uinit.exe[2011-06-10 15:37:11 | 000,045,056 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\odbcad32.exe[2011-06-10 15:37:09 | 000,057,344 | ---- | M] () -- C:\WINDOWS\System32\cleanmgr.exe[2011-06-10 15:37:05 | 000,130,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\winmine.exe[2011-06-10 15:36:54 | 000,067,584 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sol.exe[2011-06-10 15:36:40 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\ssmypics.scr[2011-06-10 15:36:36 | 000,192,512 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dwwin.exe[2011-06-10 15:36:33 | 000,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\verclsid.exe[2011-06-10 15:36:30 | 000,445,952 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wiaacmgr.exe[2011-06-10 15:36:29 | 000,088,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\telnet.exe[2011-06-10 15:36:25 | 000,138,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mshearts.exe[2011-06-10 15:36:05 | 000,028,672 | ---- | M] () -- C:\WINDOWS\System32\mnmsrvc.exe[2011-06-10 15:36:02 | 000,066,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\freecell.exe[2011-06-10 15:35:57 | 000,091,136 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\charmap.exe[2011-06-10 15:35:50 | 000,198,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\accwiz.exe Nie podoba mi się ten wynik w GMER (sugeruje podmieniony / zainfekowany plik): .text C:\WINDOWS\Explorer.EXE[1904] C:\WINDOWS\Explorer.EXE section is writeable [0x01001000, 0x44C09, 0xE0000020].reloc C:\WINDOWS\Explorer.EXE[1904] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0xA800, 0xE0000060] W OTL proces shella stoi z bardzo świeżą datą: PRC - [2011-06-10 13:52:28 | 001,028,096 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe No cóż, mogę zacząć od podmiany plików, które widzę jako zdefektowane, ale obawiam się że mam zbyt wąskie pole widzenia. To tylko wybiórczy log z OTL i nie jestem w stanie precyzyjnie wykryć ilości zaszłych modyfikacji w całym systemie .... 1. Przesyłam czyste kopie powyższych plików (explorer.exe + te bez sygnatury) w wersjach zgodnych z XP SP3: KLIK. Rozpakuj do katalogu C:\Pliki, gdyż tę ścieżkę uwzględniam w komendach. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\F8635D C:\WINDOWS\System32\8570B6 C:\WINDOWS\System32\24D33D C:\WINDOWS\System32\181BBB C:\WINDOWS\System32\dllcache\explorer.exe|C:\Pliki\explorer.exe /replace C:\WINDOWS\System32\dllcache\smlogsvc.exe|C:\Pliki\smlogsvc.exe /replace C:\WINDOWS\System32\dllcache\mnmsrvc.exe|C:\Pliki\mnmsrvc.exe /replace C:\WINDOWS\System32\dllcache\sndvol32.exe|C:\Pliki\sndvol32.exe /replace C:\WINDOWS\System32\dllcache\mspaint.exe|C:\Pliki\mspaint.exe /replace C:\WINDOWS\System32\dllcache\cleanmgr.exe|C:\Pliki\cleanmgr.exe /replace C:\WINDOWS\system32\dllcache\MSCONFIG.EXE|C:\Pliki\msconfig.exe /replace C:\WINDOWS\explorer.exe|C:\Pliki\explorer.exe /replace C:\WINDOWS\System32\smlogsvc.exe|C:\Pliki\smlogsvc.exe /replace C:\WINDOWS\System32\mnmsrvc.exe|C:\Pliki\mnmsrvc.exe /replace C:\WINDOWS\System32\sndvol32.exe|C:\Pliki\sndvol32.exe /replace C:\WINDOWS\System32\mspaint.exe|C:\Pliki\mspaint.exe /replace C:\WINDOWS\System32\cleanmgr.exe|C:\Pliki\cleanmgr.exe /replace C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE|C:\Pliki\msconfig.exe /replace netsh firewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found. O4 - HKLM..\Run: [55B310] File not found O4 - Startup: C:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\55B310.lnk = File not found O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found O9 - Extra Button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - File not found O9 - Extra Button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System będzie restartował, a po automatycznie otworzy się log z wynikami. 3. Do deinstalacji śmieci / adware: W Dodaj / Usuń programy pozbądź się: Babylon-English Toolbar, MediaBar, Conduit Engine, facemoods, Seekdns, ShopperReports. W menedżerze rozszerzeń Firefox usuń: Babylon-English Toolbar, Facemoods, Seekdns 4. Generujesz do oceny nowy zestaw logów OTL + GMER. Dołącz także log z usuwania OTL wygenerowany w punkcie 2. . Odnośnik do komentarza
bowie15 Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 W załączeniu logi po skrypcie. Mam nadzieję, że to iż jeszcze nie usunęłem śmieci jak niżej nie przeszkadza w ocenie. System pracuje lepiej ale występuje np. błąd rundll.32 przy próbie wyłączenia wygaszacza ekranu. 3. Do deinstalacji śmieci / adware: W Dodaj / Usuń programy pozbądź się: Babylon-English Toolbar, MediaBar, Conduit Engine, facemoods, Seekdns, ShopperReports. W menedżerze rozszerzeń Firefox usuń: Babylon-English Toolbar, Facemoods, Seekdns 06102011_214945.txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 Po wymianie pliku explorer.exe w GMER zanikły zapisy .reloc + .text. Reszta zadania prawie wykonana, za wyjątkiem komendy resetu ustawień zapory (moja pomyłka, ze zmęczenia nie dopisywałam parametru) Start > Uruchom > cmd i wklep komendę netsh firewall reset Poza tym, wszystkie programy, które nie działają po leczeniu w Dr. Web, należy przeinstalować z nowych instalatorów. System pracuje lepiej ale występuje np. błąd rundll.32 przy próbie wyłączenia wygaszacza ekranu. Jeden z wygaszaczy ekranu też tu był leczony Dr. Web i widać jego plik jako zmodyfikowany: 2011-06-10 01:36:41 PM Scanner Info cured 1 files: /win/C:/WINDOWS/system32/ssmypics.scr; Który wygaszacz jest teraz ustawiony w opcjach oraz jak dokładnie jest sformułowany błąd z rundll32? Mam nadzieję, że to iż jeszcze nie usunęłem śmieci jak niżej nie przeszkadza w ocenie. Jaki jest powód braku wykonania zadania? To adware (jedno z nich jest uruchomione jako proces) i miało być usunięte, bym teraz mogła się zająć czyszczeniem po tym, bo pół raportu jest tym wytapetowane. Czekam na przeprowadzenie zadania i logi po deinstalacji. . Odnośnik do komentarza
bowie15 Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 - komenda resetu firewalla wykonana - deinstalacja śmieci wykonana - w trakcie deinstalacji Conduit Engine pojawił się komunikat o braku uprawnień, ale zapis w dodaj-usuń programy zniknął - problem z wygaszaczem - nadal istnieje. Rzeczywiście włączony jest wygaszacz: Jeden z wygaszaczy ekranu też tu był leczony Dr. Web i widać jego plik jako zmodyfikowany: 2011-06-10 01:36:41 PM Scanner Info cured 1 files: /win/C:/WINDOWS/system32/ssmypics.scr; Przy edycji tj. po PPM na ekranie ->Właściowści -> kliknięcie zakladki "Wygaszacz ekranu" we właściwościach Ekran następuje komunikat o błędzie z aplikacją rundll32.exe. Po 2-3 krotnym kliknięciu zamknij tworzone są pliki tymczasowe np. 292c_appcompat.txt i c236_appcompat.txt które załączam. Próba kliknięcia debuguj kończy się komunikatem o błędzie aplikacji drwatson32.exe i tworzy się plik appcompat.txt. Wejście do Właściwości: Ekran poprzez Panel Sterowania->Ekran jest bezproblemowe i pozwala zmienić wygaszacz, ale zmiana na inny nadal powoduje problemy przy próbie edycji PPM na ekranie ->Właściowści -> kliknięcie zakladki "Wygaszacz ekranu" - po opisanych wyżej próbach zmiany wygaszacza na ekranie pozostają ślady po otwieranych oknach - brak możliwości odświeżenia pulpitu Pozdrawiam OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2011 Zgłoś Udostępnij Opublikowano 12 Czerwca 2011 Te pliki z błędami nic nie mówią i nie są mi potrzebne, usuwam te Załączniki. Skoro to dokładnie ten sam wygaszacz, który był leczony w Dr. Web, to nasuwa się, by plik wymienić świeżą kopią. Widocznie leczenie Dr. Web równało się tu zdefektowaniu pliku. 1. Przesyłam czystą kopię ssmypics.scr: KLIK. Wsadź go do C:\Pliki. 2. Ładuj skrypt przeprowadzający wymianę plików + sprzątanie po deinstalacjach. W OTL w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\dllcache\ssmypics.scr|C:\Pliki\ssmypics.scr /replace C:\WINDOWS\System32\ssmypics.scr|C:\Pliki\ssmypics.scr /replace :OTL SRV - File not found [Auto | Stopped] -- -- (Seekdns Service) FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found O4 - HKLM..\RunOnce: [removeBearSharedatamngr] File not found O4 - HKLM..\RunOnce: [removeBearSharetoolbar] File not found [2010-08-27 16:46:59 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml [2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrchFxt.xml [2011-06-11 14:46:25 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\~0 [2010-08-27 16:50:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\facemoods.com :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 3. Wystarczy, że zaprezentujesz tylko log z usuwania OTL. Dołącz natomiast log z AD-Remover. . Odnośnik do komentarza
bowie15 Opublikowano 12 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2011 Wygląda na to, że jest dobrze. Zmiana wygaszacza bezproblemowa. Załączm log z OTL i AD-remover Pozdrawiam Ad-Report-CLEAN1.txt 06122011_131236.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2011 Zgłoś Udostępnij Opublikowano 12 Czerwca 2011 W porządku. Skrypt OTL pomyślnie wykonany, AD-Remover też przeprowadził roboty porządkowe. 1. Drobny import do rejestru usuwający resztki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0d1964e4-f91f-4d3b-8700-8576bc041ce6] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\e9b9c387-2798-438b-9dd6-9ab9af787f77] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Posprzątaj po używanych narzędziach: w OTL użyj Sprzątanie + odinstaluj AD-Remover (zadbaj, by zniknął z dysku folder C:\Program Files\Ad-Remover). 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool i przedstaw wyniki. . Odnośnik do komentarza
bowie15 Opublikowano 13 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2011 Punkty 1-4 wykonane. W załączeniu log z Kaspersky Virus Removal Tool. Niestety trochę się pogubiłem w ustawieniach leczenia i jest kilku etapowy - ale kończy się na czysto . Pozdrawiam raport kvrt2.txt Odnośnik do komentarza
picasso Opublikowano 13 Czerwca 2011 Zgłoś Udostępnij Opublikowano 13 Czerwca 2011 Wyniki z Kasperskiego są trochę niepokojące, gdyż one sugerują, że działanie Virut wcale nie zostało wstrzymane akcjami Dr. Web i wirus tu się roznosił aż do teraz. Wyników z katalogu System Volume Information też wcale nie powinno być, gdyż katalog ten czyści wykonany już tu proces z punktu 3.... Obecność tego w skanie Kasperskiego wskazuje, że Przywracanie systemu tworzyło nowy punkt uwzględniając pliki zainfekowane. Ponów czyszczenie folderów Przywracania systemu. Następnie dla pewności wykonaj skanowanie Kasperskym raz jeszcze. Jeśli będzie czysto, wtedy założę, że Virut jest naprawdę ubity. Odnośnik do komentarza
bowie15 Opublikowano 13 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2011 OK. Log z kvrt na ustawieniach: poziom ochrony wysoki i wyłączone całkowicie przywracania systemu. Poprzednie były robione na "zalecany" i wyłączone a potem włączone przed skanowaniem przywracanie systemu. Pozdrawiam raport kvrt3.txt Odnośnik do komentarza
picasso Opublikowano 13 Czerwca 2011 Zgłoś Udostępnij Opublikowano 13 Czerwca 2011 (edytowane) Tym razem nic szczególnego. Poza podejrzanym załącznikiem e-mail: 2011-06-13 13:50:48 Zagrożenie: Trojan-Spy.HTML.Fraud.gen Wiadomość pocztowa 2011-06-13 13:52:00 Zagrożenie: Trojan.JS.Fraud.ap Załącznik e-mail CV.html 2011-06-13 13:52:00 Usunięty: Trojan.JS.Fraud.ap Załącznik e-mail CV.html ... przeprowadzony typ skanu wyszczególnia luki w sofcie. Ten etap zawsze jest przeze mnie realizowany po ukończeniu dezynfekcji = aktualizacja software. I właśnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish"Gadu-Gadu" = Gadu-Gadu 7.7"Google Chrome" = Google Chrome"HijackThis" = HijackThis 1.99.1"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Aktualizacja przeglądarek, Flash w wersji dla Firefox (pobieranie i instalacja z poziomu Firefox), Adobe Reader: INSTRUKCJE. Archaiczna Java i zdezelowany HijackThis do całkowitej eliminacji. Kaspersky wyszczególnia jeszcze luki CloneDVD + Office. Wejdź w podawane w skanerze linki i oglądnij co należy zaktualizować. GG7 ani nie jest w stanie obsłużyć własnej sieci, ani nie jest bezpieczne użytkowo. Namówić znajomego na wymianę. W temacie Darmowe komunikatory do wglądu opisy AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW. . Edytowane 19 Października 2011 przez picasso 25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi