Infekcja Security Sphere 2012 (rootkit?)

[rambo8wTV]

Witam.

 

Przypetalo sie mojej zonie na komputer Security Sphere 2012. Nie da sie otworzyc zadnych programow, cokolwiek sie klika wyskakuje info ze obiekt jest zainfekowany i odpala sie jakis skan ktory pokazuje ze wszedzie sa wirusy. Skan z OTL: http://wklej.to/KGnso

Infekcja najprawdopodbniej nastapila w piatek 30 wrzesnia. Bardzo prosze o pomoc!

 

Z gory dziekuje.

 

Marcin

[picasso]

Zastrzeżenia na temat raportu:

- Log z OTL jest niepełny, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"), a poza tym wykonany na ustawieniu "Mimimum informacji" a nie "Całość".

- To nie wygląda na log z konta, które jest zainfekowane, gdyż zanotowane logowanie w Trybie awaryjnym na konto o nazwie Administrator (to wbudowane konto serwisowe widzialne przy przejściu w Tryb awaryjny) i brak śladów we wpisach HKCU, że skojarzenia EXE są naruszone. Logi z OTL zawsze muszą by robione z poziomu konta na którym jest problem, ponieważ rejestry użytkownika są kompletnie inne.

 

Posługujesz się OTL w postaci EXE, a skoro tu jest problem uruchamiania programów, wersja jest nieodpowiednia do zadania. Proszę pobrać OTL w wersji COM, w Trybie normalnym zalogować się na zdefektowane konto i wykonać skan na ustawieniach przedstawionych w przyklejonym temacie.

 

 

 

.

[rambo8wTV]

Witam!

 

Postaram sie puscic pelny test wieczorem ale na zainfekowanym koncie w trybie normalnym nie da sie nawet otworzyc folderu na pulpicie i klikniecie gdziekolwiek powoduje wlaczenie "skanera wirusowego".

 

Pozdrawiam,

Marcin

[picasso]

Można też zrobić to z poziomu Trybu awaryjnego, ale podczas wchodzenia w awaryjny nie loguj się na konto o nazwie "Administrator", tylko to drugie użytkownika.

[rambo8wTV]

Witam!

 

Log z OTL http://wklej.to/oArbV

 

Log Extras: http://wklej.to/5Tu3H

 

Mam nadzieje ze tym razem wszystkie logi sa jak trzeba.

 

Dzieki bardzo

 

Marcin

[picasso]

Prócz delikwenta podstawowego są też drobne śmieci w Firefox (adware Fast Browser Search).

 

1. Z poziomu Trybu awaryjnego na widzianym tu koncie Ewa otwórz OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\RunOnce: [gM21703OfHfE21703] C:\Documents and Settings\All Users\Application Data\gM21703OfHfE21703\gM21703OfHfE21703.exe ()
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:33440
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=18&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..extensions.enabledItems: mil@toolbar:1.0.0
[2010-08-29 20:37:24 | 000,000,000 | ---D | M] (MakeItLive) -- C:\Documents and Settings\Ewa\Application Data\Mozilla\Firefox\Profiles\xqaq621h.default\extensions\mil@toolbar
[2008-04-27 10:02:27 | 000,001,360 | ---- | M] () -- C:\Documents and Settings\Ewa\Application Data\Mozilla\Firefox\Profiles\xqaq621h.default\searchplugins\winampsearch.xml
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:AB3A231BFD7DE90D
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssist]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, powinien się otworzyć w Notatniku log z wynikami usuwania.

 

2. Do oceny zrób nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję) + AD-Remover z opcji Scan. Dołącz też log pozyskany z usuwania w punkcie 1.

 

 

 

.

[rambo8wTV]

Witam!!

 

Przpepraszam nie mialem czasu w tygodniu sie tym zajac.

 

Za szybko kliknalem zamknij i raportem z naprawy z OTL mi sie nie zapisal. Skan po naprawie jest tutaj: http://wklej.to/cSXc0 a z Ad-Removera tutaj: http://wklej.to/8UFxA .

 

Dzieki.

[picasso]

Log z usuwania powinien być w katalogu F:\_OTL (folder tworzony zawsze w root dysku z którego startuje OTL), ale w sumie nie musisz go pokazywać, bo widzę po formie aktualnego raportu OTL, iż zadanie się wykonało. Zostały poprawki:

 

1. Przez SHIFT+DEL skasuj z dysku cały ten folder utworzony przez fałszywy skaner:

 

[2011-09-30 15:08:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\gM21703OfHfE21703

 

2. Uruchom AD-Remover z opcji Clean, co usunie drobnostki wykryte przez to narzędzie. Po ukończeniu procesu możesz AD-Remover odinstalować.

 

3. W OTL uruchom Sprzątanie, które zaadresuje likwidację kwarantanny oraz samego OTL jako takiego.

 

4. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes' Anti-Malware i przedstaw wynikowy raport (o ile będzie niepusty).

 

 

 

.

[rambo8wTV]

Witam!

 

Wykrylo jakies dwa trojany ale zostaly usniete. Raport http://wklej.to/fSgN1

 

Dzieki za pomoc.

[picasso]

To są klucze rejestru z miotu usuwanej tu infekcji. Bynajmniej nie koniec operacji. Ważne:

 

1. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

2. Aktualizacje do nadrobienia:

 

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

Krytyczny poziom aktualizacji Windows. System dziurawy, bardzo podany na ataki (co dopiero tu był na forum XP SP2 z robakami), bez wsparcia i odcięty od bieżących aktualizacji (tylko XP SP3 mogą korzystać z Windows Update). Obowiązkowo należy nadrobić instalację SP3 + IE8 i innych łat: INSTRUKCJE.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.9.0 Standard
"Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl)
"NOD32" = System Antywirusowy NOD32

• Oprogramowanie zabezpieczające: ESET jest stary (nie mylić odporności silnika podstawowego z aktualizacją baz danych), jeszcze połączony z ciężarnym Ad-aware (aktualnie dwusilnikowy już, silnik AV wbudowany). Stare + za dużo się dzieje. Moją propozycją jest wyrzucenie obu na korzyść jednej aplikacji. Np. może to być darmowy Avast (multi osłony rezydentne), darmowa Panda Cloud Antivirus lub inny dowolny komercyjny antywirus, byle nie wyciągany z lamusa.
  
• Przeglądarki i ich "wtyczkowce" do aktualizacji: INSTRUKCJE.
  
• Komunikatory: wykopaliska Skype i GG7. GG7 to męczenie grzyba: brak pełnej obsługi własnej sieci + niski poziom bezpieczeństwa (brak szyfrowania), zapicowane rzekomo "prostym interfejsem" (no w porównaniu do GG10 to wszystko zdaje się być "proste"). Pomocą służy artykuł: Darmowe komunikatory. Propozycje zamienników: AQQ, Kadu, WTW i Miranda. Stawiam na WTW, a dlaczego opis mówi sam za siebie.
  
• Kodeki: także strasznie stare. Sugeruję aktualizację, bo ze starymi kodekami mogą być niespodzianki w eksploratorze.
  

 

Ostateczne słowo od Ciebie z podsumowaniem i temat dostanie kłódkę.

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso