Infekcje - nie łączy przez modem GSM, dziwny komunikat Avasta

[RobertM15]

Witam,

 

Windows XP Home nie może połączyć się przez modem GSM (Business Everywhere), po podłączeniu Internetu przez kablowy LAN bardzo wolno otwiera strony, a nie otwiera stron związanych z programami antywirusowymi.

Dodatkowo po próbie otwarcia okna Avasta dziwny komunikat raczej nie należący do tego programu ( Ekran1). Z Avastem związany jest też drugi komunikat ukazujący się w czasie uruchamiania - Ekran2.

 

Przeskanowałem CureIt LiveUSB i znalazło dużo ( 155 infekcji ) oraz bardzo różnych rzeczy. Ale pod koniec skanowania program jakby zwariował i zaczął żyć własnym życiem - samoczynne otwierające się okienka, miganie tapety. Czym prędzej go zakończyłem i uruchomiłem jeszcze raz z takim samym skutkiem.

 

W uruchomionych procesach mam proces o nazwie składającej się z cyfr, przedzielonych dwukropkiem, którego nie można zakończyć.

 

Udało mi się zeskanować OTL'em, za to GMER kończy nieoczekiwanie swoją działalność w czasie pełnego skanowania. Załączam log ze skanowania wstępnego. Ciekawostką jest to, że po próbie pełnego skanowania GMER'em, plik programu traci napis "GMER" i ma biały środek, oraz jednocześnie nie można go skasować: "Nie można usunąć .....Odmowa dostępu"

 

Próba uruchomienia w trybie awaryjnym kończy się natychmiastowym zamykaniem systemu i restartem.

 

Bardzo poproszę o pomoc.

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Już to przerabiałeś nie tak dawno na innym systemie = ten sam rootkit tu siedzi, ZeroAccess (aka Sirefef). To on powoduje niemoc startu narzędzi, które zamykają się, a ich ponowne uruchomienie zwraca "Odmowę dostępu". A dodatkowo jest jeszcze infekcja kojarzona z linkiem na Facebooku (coś ją już przetrzebiło, ale nie do końca), i to ona z kolei odpowiada za to co się dzieje z Avast oraz Trybem awaryjnym (alternatywna powłoka trybu awaryjnego jest ustawiona na przechodzenie via plik infekcji services32.exe). Na taką kombinację trzeba wysunąć mocniejsze działa:

 

Wstępnie pobierz i uruchom zgodnie ze wskazówkami ComboFix. Przedstaw raport wynikowy.

 

 

 

.

[RobertM15]

Już to przerabiałeś nie tak dawno na innym systemie = ten sam rootkit tu siedzi, ZeroAccess (aka Sirefef)

 

Zgadza się, z tym że przy tamtej infekcji zachowanie komputera było trochę inne.

Poza tym nie czuję się na razie na tyle pewnie aby bez pomocy dokładnie wiedzieć co i jak.

Ale muszę przyznać że przeleciało mi przez myśl uruchomienie ComboFixa , jednak zwyciężyło przestrzeganie zasad ( "Proszę nie stosować ComboFix bez nadzoru!" ).

 

Z uruchomieniem ComboFixa miałem mały problem: wykrył aktywną ochronę Avasta, ale nie mogłem jej wyłączyć, w Start>Programy>Avast katalog jest pusty, a w Panel Sterowania>Dodaj Usuń Programy Avast nie występuje, więc nawet nie mogłem go odinstalować. Skanowałem tak jak było.

ComboFix.txt

[picasso]

Zgadza się, z tym że przy tamtej infekcji zachowanie komputera było trochę inne.

Poza tym nie czuję się na razie na tyle pewnie aby bez pomocy dokładnie wiedzieć co i jak.

 

Nie o to mi chodziło, by Cię tu "strofować", że faktów nie połączyłeś. Ja tylko mówię, że mamy tu tę samą infekcję co na poprzednim systemie.

 

ComboFix zdołał wyeliminować wiekszość składników przede wszystkim ZeroAccess (w tym leczenie zainfekowanego sterownika ipsec.sys), ale jeszcze nie koniec zmagań. Ta druga poboczna infekcja jest czynna.

 

1. Otwórz Notatnik i wklej w nim:

 

Driver::
srvsysdriver32
srviecheck
srvbtcclient
gjranrrw
tompe
mgyeigffv
 
NetSvc::
mgyeigffv
 
File::
c:\windows\sysdriver32.exe
c:\windows\sysdriver32_.exe
c:\windows\unrar.exe
 
Folder::
c:\windows\av_ico
c:\windows\ufa
c:\windows\update.2
c:\windows\update.5.0
c:\windows\update.tray-7-0
c:\windows\update.tray-9-0
c:\windows\update.tray-7-0-lnk
c:\windows\update.tray-9-0-lnk
c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\872d13e9
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico0"=-
"tray_ico1"=-
"6517440.exe"=-
"sysdriver32.exe"=-
"sysdriver32_.exe"=-
"2452805.exe"=-
"6406030.exe"=-
"3347047.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2407:TCP"=-
"7782:TCP"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\update.tray-7-0\\svchost.exe"=-
"c:\\WINDOWS\\update.tray-9-0\\svchost.exe"=-
"c:\\WINDOWS\\update.2\\svchost.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysdriver32_.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tray_ico0]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tray_ico1]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=-

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

2. Przedstawiasz: log powstały z pracy ComboFix w punkcie 1 oraz nowe logi z OTL i GMER (pobierz je od nowa i z nowych kopii uruchom).

 

 

 

 

 

.

[RobertM15]

Ja tylko mówię, że mamy tu tę samą infekcję co na poprzednim systemie.

 

Zgadza się, a widać to było od razu, tak mi się wydaje, po charakterystycznym procesie którego nazwa składa się przypadkowych cyfr rozdzielonych dwukropkiem.

 

W czasie skanowania OTL'em ciekawostka: wygenerował tylko plik OTL.txt, bez Extras.txt!?

Gmer.txt

OTL.Txt

ComboFix.txt

[picasso]

W czasie skanowania OTL'em ciekawostka: wygenerował tylko plik OTL.txt, bez Extras.txt!?

 

Ekhm. Nie przyjrzałeś się na opcje .... OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" z "Użyj filtrowania" na "Brak". Ale ja nie potrzebuję w tym przypadku Extras więcej niż raz.

 

 

---

ComboFix wykonał moje instrukcje pomyślnie. Idziemy dalej:

 

1. Brakuje dużo plików usług programowych (Nero + McAfee Security Scan + Google + France Telecom + Apple Mobile Device Support + ArcSoft):

 

SRV - File not found [On_Demand | Stopped] --  -- (NMIndexingService)
SRV - File not found [On_Demand | Stopped] --  -- (McComponentHostService)
SRV - File not found [On_Demand | Stopped] --  -- (gupdatem) Usługa Google Update (gupdatem)
SRV - File not found [Auto | Stopped] --  -- (gupdate) Usługa Google Update (gupdate)
SRV - File not found [Auto | Stopped] --  -- (FTRTSVC)
SRV - File not found [Auto | Stopped] --  -- (Apple Mobile Device)
SRV - File not found [Auto | Stopped] --  -- (ACDaemon)

 

Brak porównawczych wyników ze skanera, który działał na samym początku z LiveUSB. Możliwe, że usuwał pliki programów jako zainfekowane. Co istotne do przeinstalowania, resztę wyrzucić.

 

DRV - [2009-09-15 11:54:21 | 000,023,152 | ---- | M] (ALWIL Software) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\aswRdr.sys -- (aswRdr)

 

Widzę też, że Avast już został upłynniony, aczkolwiek zostały po nim fragmenty. Z poziomu Trybu awaryjnego Windows użyj Avast Uninstall Utility.

 

2. Oblokowanie obiektów, którym rootkit zresetował ACL:

 

Ciekawostką jest to, że po próbie pełnego skanowania GMER'em, plik programu traci napis "GMER" i ma biały środek, oraz jednocześnie nie można go skasować: "Nie można usunąć .....Odmowa dostępu"

 

Uruchom GrantPerms i w oknie wklej ścieżki do wszystkich zablokowanych kopii GMER (z OTL wyciągam GMERy, może nie wszystkie są uszkodzone):

 

C:\Documents and Settings\Zenek\Pulpit\g7vlipz6.exe
C:\Documents and Settings\Zenek\Pulpit\g7vlipz5.exe
C:\Documents and Settings\Zenek\Pulpit\bwnzk2wi.exe

 

Zastosuj opcję Unlock. Po tej akcji poszkodowane kopie GMER będzie można skasować.

 

3. Prawidłowa deinstalacja ComboFix, czyszcząca także foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\Zenek\Pulpit\ComboFix.exe" /uninstall

 

[2011-11-08 22:18:15 | 524,288,000 | ---- | M] () -- C:\REMOVE_THIS_FILE.livecd.swap

 

Przez SHIFT+DEL skasuj ten plik stworzony przez Dr. Web.

 

4. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji zaznacz skanowanie wszystkich obszarów. Jeśli coś zostanie znalezione, przedstaw raport (ale nie przeklejaj wyników typu OK/Archive/Packed/Password protected).

 

 

.

[RobertM15]

Ekhm. Nie przyjrzałeś się na opcje .... OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" z "Użyj filtrowania" na "Brak".

 

Faktycznie nie zauważyłem i faktycznie OTL uruchomiony za pierwszym razem samoczynnie się zamknął, więc uruchomiłem go po raz drugi, tym razem już prawidłowo.

 

Wszystkie podpunkty wykonane, Kaspersky Virus Removal Tool nic nie znalazł.

Czy mogę już przystąpić do finalizacji wg instrukcji LINK?

[picasso]

Tak, tu już została tylko "końcówka", czyli:

 

1. Zmiana haseł logowania w serwisach.

 

2. Aktualizacje, z Twojej listy zainstalowanych (pomijam komercyjny, ale strasznie stary Acrobat):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 4.6.2

 

Na liście zainstalowanych widać też odpadek DAEMON Tools Toolbar oraz zbędnik WinAmp Toolbar, oba do ciachnięcia.

 

 

.

[RobertM15]

Ostatnie zadania wykonane.

 

Wielkie dzięki za pomoc!

 

Czy na tym możemy zakończyć leczenie?

 

Pozdrawiam.

[picasso]

Czy na tym możemy zakończyć leczenie?

 

Tak, to już koniec zmagań. Temat zamykam.

 

 

 

.