Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.Agent/IRCBot/FakeAlert/IrcBrute - wolne działanie systemu

norman

Przez norman
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

norman

norman

Opublikowano
Opublikowano

Witam,

 

Pomagam w przywróceniu systemu do zdrowia i chciałbym poprosić o pomoc w tym zadaniu kogoś znacznie bardziej kompetentnego ode mnie. ;)

 

Wcześniej ktoś przeprowadził działania narzędziem ComboFix, później Malwarebytes' Ani-Malware, a ostatnio przeprowadzane było skanowanie NIS2011 - zamieszczam logi oraz pliki z informacją o infekcjach.

 

Oczywiście załączam obowiązkowe logi z OTL oraz GMER. Co ciekawe, NIS2011 wykrył GMER pobierany z oficjalnego serwisu jako zagrożenie (załączone pliki z informacją o infekcjach), natomiast plik z mirrora Fixitpc.pl po rozpakowaniu nie został ruszony.

 

 

Z góry dziękuję za wszelką pomoc i pozdrawiam

ComboFix.txt

ComboFix-quarantined-files.txt

mbam-log-2011-07-14 (23-30-36).txt

NIS2011-2011-07-19(gmer.exe).txt

NIS2011-2011-07-20(gmer.exe).txt

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Oceniając wyniki ze skanerów i raporty:

 

  • ComboFix: usuwał składniki infekcji rogue. I to narzędzie okazało się wystarczające do usunięcia całości.
  • MBAM: elementy wykryte w ścieżkach Thinstall to raczej fałszywe alarmy na wirtualizowanych paczkach. Podobny temat: KLIK. Pozostałe owszem infekcja, tylko już nieczynna = wykrycia w kwarantannie ComboFix (Qoobox).
  • NIS: detekcja GMER wygląda na pomyłkę, a zważ też że na moim mirrorze jest wersja GMER 1.0.15.15640 a na stronie programu GMER 1.0.15.15641 (nie miałam czasu zaktualizować), oraz wersje poróżnia system nazewnictwa. Ten drugi wynik pochodzi z katalogu System Volume Information (Przywracania systemu). To kopia pliku źródłowego i jest nieczynna, dopóki sytemu nie zacznie się cofać wstecz. Czyszczenie folderów przywracania systemu i tak zadaję zawsze jako krok końcowy dezynfekcji.
  • OTL + GMER: nie notuję już żadnych śladów infekcji w stanie czynnym, do wykonania będą jedynie kosmetyczne poprawki (usunięcie wątpliwej reputacji vShare Toolbar z Firefox, wpisów "not found" plus czyszczenie lokalizacji tymczasowych).

Wolne działanie systemu: tu już można raczej podejrzewać oprogramowanie zabezpieczające.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
[2010-10-21 21:34:13 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Gosiaaa\Dane aplikacji\Mozilla\Firefox\Profiles\ucy3df2d.default\extensions\vshare@toolbar
O4 - HKLM..\Run: [VTTimer]  File not found
O4 - Startup: C:\Documents and Settings\Marian\Menu Start\Programy\Autostart\OpenOffice.org 2.3.lnk =  File not found
O34 - HKLM BootExecute: (sasnative32) -  File not found
O34 - HKLM BootExecute: (tpnative) -  File not found
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System będzie restartował. Po restarcie zgłosi się log z wynikami usuwania.

 

2. Wystarczy do oceny: ów log z usuwania z punktu 1 + log trybu skanu z AD-Remover (na okoliczność resztek po vShare).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Sprawdziłem obecność toolbaru vShare w Firefoksie i bez namysłu go usunąłem - za co przepraszam...

 

Wg raportu OTL i tak miał co robić, usuwał linię oznaczającą czynne rozszerzenie. AD-Remover widzi także w preferencjach Firefox w obu profilach wsady od tego paska.

 

1. Zamknij Firefox. Uruchom AD-Remover, tym razem w trybie usuwania, by zlikwidował te szczątki vShare.

 

2. Pora na czyszczenie po używanych narzędziach: odinstaluj AD-Remover, przez SHIFT+DEL skasuj katalog C:\_OTL, odinstaluj w prawidłowy sposób ComboFix - co także automatycznie czyści wspominane przeze mnie foldery Przywracania systemu - w Start > Uruchom > wklejając komendę:

 

"c:\documents and settings\Gosiaaa\Pulpit\Nowy folder\ComboFix.exe" /uninstall

 

3. Drobne aktualizacje do wykonania, podane niżej programy występują w nowszych wersjach:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)

 

I to na tyle w kwestii dezynfekcji. Nasuwa się pytanie: co się teraz dzieje w systemie, są jakieś problemy notowalne?

 

 

 

.

Odnośnik do komentarza
norman

norman

Opublikowano
  • Autor
Opublikowano

1. Zamknij Firefox. Uruchom AD-Remover, tym razem w trybie usuwania, by zlikwidował te szczątki vShare.

Zrobione, lecz log wcięło podczas deinstalacji. :)

 

2. Pora na czyszczenie po używanych narzędziach: odinstaluj AD-Remover, przez SHIFT+DEL skasuj katalog C:\_OTL, odinstaluj w prawidłowy sposób ComboFix - co także automatycznie czyści wspominane przeze mnie foldery Przywracania systemu - w Start > Uruchom > wklejając komendę:

 

"c:\documents and settings\Gosiaaa\Pulpit\Nowy folder\ComboFix.exe" /uninstall

 

Zrobione.

 

3. Drobne aktualizacje do wykonania, podane niżej programy występują w nowszych wersjach:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2

"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1

"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)

"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)

 

I to na tyle w kwestii dezynfekcji. Nasuwa się pytanie: co się teraz dzieje w systemie, są jakieś problemy notowalne?

 

Wykonam aktualizacje, które podałaś.

Okazuje się, że wcześniejszy pobyt NIS2011 za bardzo zapadł mi w pamięć - aktualnie system chodzi szybko i sprawnie jak na miarę tego wiekowego sprzętu. Spróbuję zainstalować i poznać Immunet FREE na próbę. Ciekaw jestem jak będzie się sprawował.

 

Dziękuję Ci bardzo za pomoc. Jestem pod ogromnym wrażeniem Twojej wiedzy, profesjonalizmu i cierpliwości. Gorąco pozdrawiam i życzę wszystkiego dobrego! :)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Zrobione, lecz log wcięło podczas deinstalacji.

 

To było wkalkulowane w plan, w przeciwnym wypadku poprosiłabym w pierwszej kolejności o log a potem deinstalację. Już nie było co sprawdzać, zawierzyłam narzędziu w kwestii drobnych odpadków. Zapomniałam za to jednej uwagi załączyć, na dysku jest ciągle ten folder:

 

[2011-01-16 03:07:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gosiaaa\Dane aplikacji\Thinstall

MBAM nie podobała się zawartość, co ja podsumowałam jako błędną klasyfikację obiektów przetwarzanych tą metodą. Ale jeśli "portable Office" nie grzeje miejsca w systemie, to cały ten katalog można z czystym sumieniem skasować.

 

 

Okazuje się, że wcześniejszy pobyt NIS2011 za bardzo zapadł mi w pamięć - aktualnie system chodzi szybko i sprawnie jak na miarę tego wiekowego sprzętu. Spróbuję zainstalować i poznać Immunet FREE na próbę. Ciekaw jestem jak będzie się sprawował.

 

Tu trochę się gubię jaki kontekst wypowiedzi: mówisz o doświadczeniach z NIS na innym systemie czy na tutejszym? Warto zauważyć, że bieżące edycje Symantec to jednak niebo a ziemia w porównaniu do poprzedników, o wiele szybszy zryw, co jednak nie wyklucza potencjalnych zgrzytów w systemie (aplikacja o silnych mackach). Immunet to dobry trop, tylko należy trochę uważać na potencjalne fałszywe alarmy.

 

 

 

Rozumiem, że temat możemy zamykać.

 

 

.

Odnośnik do komentarza
norman

norman

Opublikowano
  • Autor
Opublikowano

Zapomniałam za to jednej uwagi załączyć, na dysku jest ciągle ten folder:

 

[2011-01-16 03:07:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gosiaaa\Dane aplikacji\Thinstall

MBAM nie podobała się zawartość, co ja podsumowałam jako błędną klasyfikację obiektów przetwarzanych tą metodą. Ale jeśli "portable Office" nie grzeje miejsca w systemie, to cały ten katalog można z czystym sumieniem skasować.

Program rzeczywiście nie jest używany - folder został usunięty.

 

Tu trochę się gubię jaki kontekst wypowiedzi: mówisz o doświadczeniach z NIS na innym systemie czy na tutejszym? Warto zauważyć, że bieżące edycje Symantec to jednak niebo a ziemia w porównaniu do poprzedników, o wiele szybszy zryw, co jednak nie wyklucza potencjalnych zgrzytów w systemie (aplikacja o silnych mackach). Immunet to dobry trop, tylko należy trochę uważać na potencjalne fałszywe alarmy.

Miałem na myśli system tutejszy, poddany powyższej analizie. Tuż przed stworzeniem logów OTL oraz GMER, NIS2011 został odinstalowany.

 

Rozumiem, że temat możemy zamykać.

Myślę, że możemy zamykać. Dziękuję raz jeszcze. :)

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...