Skocz do zawartości

Bezmyślne użycie ComboFix'a


Rekomendowane odpowiedzi

Ten post piszę już ze swojego komputera. Okazało się, że po użyciu ComboFixa miałem zablokowaną klawiaturę. Użyłem innej przenośnej oraz wgrałem ponownie Windowsa, skonfigurowałem ponownie siec bezprzewodową i oto jestem, ale mimo szczęśliwego powrotu chcę się poddać całej zaordynowanej wyżej kuracji.

Proszę powiedz co mam robić by całą tą nieszczęsną przygodę szczęśliwie zakończyć.

Aha jeszcze muszę dodać że po użyciu Kaspersky Virus Removal Tools, który znalazł szereg wirusów(-którym zrobiłem Delete), zablokował mi się ten poprzedni pulpit (jak wchodzę w okienko logowania i po przyciśnięciu OK wszystko zamiera i ani drgnie), na którym miałem właśnie listę tych wirusów.

Ale już ją mam

TDSS.txt

GMER.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rozumiem, że - patrząc po literach i zajętości partycji - mam do rozprawienia się ten drugi Windows z D, poprzednio był z C. Niestety popełniłeś ten sam błąd. System w fatalnym stanie aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

Windows XP SP2 = tragiczne sito, system musi być zaktualizowany do wersji SP3, a i to za mało (trzeba po tym z Windows Update uzupełnić wszystkie aktualizacje wydane po). Na dodatek, "zabezpieczasz" to sito przestarzałymi programami (Spybot i stara wersja Spyware Doctor). To nie ma najmniejszego sensu w kółko leczyć infekcje z winy dziurawego systemu, będziesz miał cały czas kłopoty i nawroty infekcji. Tak, infekcja rootkit jest, ten sam typ co poprzednio:

 

---- Registry - GMER 1.0.15 ----

 

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Tatytr D:\Documents and Settings\l\Dane aplikacji\Tatytr.exe

Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache@D:\Documents and Settings\l\Dane aplikacji\Tatytr.exe Tatytr

 

---- Files - GMER 1.0.15 ----

 

File D:\Documents and Settings\l\Dane aplikacji\Tatytr.exe 145997 bytes executable

 

Ci sami aktorzy to również userinit.exe + OfficeUpdate.exe + autoply.exe z autorun.inf. Dodatkowo masa wpisów po robakach / trojanach.

Wygląda i na to, że jest uszkodzona usługa związana z automatycznymi aktualizacjami (prawdopodobnie brak pliku):

 

Error - 2012-01-10 04:07:03 | Computer Name = LK-7D2524D14FAF | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi Usługa inteligentnego transferu w tle z powodu następującego błędu: %%2

 

To zostawię na koniec.

 

 


Niestety powtarzamy:

 

1. Użyj Windows Worms Doors Cleaner.

 

2. Uruchom BlitzBlank. Zapewne infekcja blokuje, więc link zastępczy pobierania: KLIK. W karcie Script wklej:

 

DeleteFile:
"D:\Documents and Settings\l\Dane aplikacji\Tatytr.exe"

 

Klik w Execute Now. Zatwierdź restart systemu.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

D:\autoply.exe

D:\Autorun.inf

D:\WINDOWS\System32\tmp*.FOT

D:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

D:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

D:\Documents and Settings\l\Dane aplikacji\LhhkIMyKK7EK

D:\Documents and Settings\l\Ustawienia lokalne\Dane aplikacji\sLT.exf

D:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\sLT.exf

D:\Documents and Settings\All Users\Dane aplikacji\97048746.ini

D:\WINDOWS\System32\1216454719.dat

netsh firewall reset /C

netsh winsock reset /C

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Tatytr"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]

"@D:\Documents and Settings\l\Dane aplikacji\Tatytr.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

""="@SYS:DoesNotExist"

 

:OTL

SRV - File not found [Auto | Stopped] -- -- (wininfo.exe)

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [internat.exe] internat.exe File not found

O4 - HKLM..\Run: [MozillaAgent] D:\Documents and Settings\l\Ustawienia lokalne\Temp\d6ti0.exe (Opera Software)

O4 - HKLM..\Run: [MSWUpdate] "D:\Documents and Settings\l\Dane aplikacji\winlogon.exe" File not found

O4 - HKLM..\Run: [soundMax] D:\Documents and Settings\l\userinit.exe ()

O4 - HKLM..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe File not found

O4 - HKLM..\Run: [Windows Firewall] D:\DOCUME~1\l\USTAWI~1\Temp\lsass.exe File not found

O4 - HKU\S-1-5-21-602162358-1425521274-682003330-1003..\Run: [{8463D9BC-422B-0805-F8C0-31103D3E124D}] "D:\Documents and Settings\l\Dane aplikacji\Zoty\naigf.exe" File not found

O4 - HKU\S-1-5-21-602162358-1425521274-682003330-1003..\Run: [A9YA3MI1CF] D:\DOCUME~1\l\USTAWI~1\Temp\Upg.exe File not found

O4 - HKU\S-1-5-21-602162358-1425521274-682003330-1003..\Run: [MSWUpdate] "D:\Documents and Settings\l\Dane aplikacji\winlogon.exe" File not found

O4 - HKU\S-1-5-21-602162358-1425521274-682003330-1003..\Run: [Win32load] D:\Documents and Settings\l\Dane aplikacji\ea7eac.exe -lds File not found

O4 - HKU\S-1-5-21-602162358-1425521274-682003330-1003..\Run: [Windows Firewall] D:\DOCUME~1\l\USTAWI~1\Temp\lsass.exe File not found

O4 - HKLM..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE File not found

O4 - HKLM..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE File not found

O4 - HKLM..\RunServices: [schedulingAgent] mstask.exe File not found

O4 - Startup: D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Office Update.lnk = D:\WINDOWS\Web\OfficeUpdate.exe ()

O4 - Startup: D:\Documents and Settings\l\Menu Start\Programy\Autostart\Microsoft Office.lnk = File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: Nofolderoptions = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0

O7 - HKU\S-1-5-21-602162358-1425521274-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: Nofolderoptions = 1

O16 - DPF: {32505657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

 

:Commands

[emptytemp]

 

Klik w Wykonaj skrypt.

 

4. Przedstaw logi wygenerowane usuwaniem BlitzBlank i OTL. Stwórz nowe logi z OTL i GMER oraz zaległy USBFix z opcji Listing wykonany przy podpiętej pamięci przenośnej:

 

 

 

Niestety chyba mam zainfekowaną pamięć przenośną bo ponownie nie mam internetu załączone wyżej logi przedstawiają stan bieżący.

 

A co do braku internetu (pomijając wyżej omówiony aspekt):

 

1. Wygląda na to, że sam przynajmniej częściowo załatwiłeś internet, podejmując nieprawidłową akcję. Usunąłeś za pomocą Kaspersky TDSSKiller rzeczy, które nie są infekcją (to są tylko wskazówki, że pliki nie są sygnowane = tego nigdy się nie usuwa bez oceny eksperckiej). Konkretnie sterowniki sieciowe (AegisP.sys + s24trans.sys) i Logitech (LVPrcMon.sys):

 

18:58:28.0250 2468	============================================================

18:58:28.0250 2468 Scan finished

18:58:28.0250 2468 ============================================================

18:58:28.0328 2720 Detected object count: 3

18:58:28.0328 2720 Actual detected object count: 3

18:58:57.0875 2720 D:\WINDOWS\system32\DRIVERS\AegisP.sys - copied to quarantine

18:58:57.0875 2720 AegisP ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

18:58:57.0968 2720 D:\WINDOWS\system32\drivers\LVPrcMon.sys - copied to quarantine

18:58:57.0968 2720 LVPrcMon ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

18:58:58.0109 2720 D:\WINDOWS\system32\DRIVERS\s24trans.sys - copied to quarantine

18:58:58.0109 2720 s24trans ( UnsignedFile.Multi.Generic ) - User select action: Quarantine

 

Przywracaj te pliki na miejsce z kwarantanny TDSSKiller. Swoją drogą, skąd tu decyzja o użyciu tego narzędzia? Nic o tym nie mówiłam.

 

2. Jest jeszcze uszczerbek w Winsock notowany i nie wiem czy to faktyczny brak pliku (wyżej w skrypcie Winsock próbuję resetować i zobaczymy co się stanie):

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\mswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\mswsock.dll File not found

 

 

Okazało się, że po użyciu ComboFixa miałem zablokowaną klawiaturę.

 

Zaczynam wątpić czy to było z winy ComboFix... Czyś Ty przypadkiem wtedy nie robił czegoś w TDSSKiller?

 

 

 

.

Odnośnik do komentarza

Nie podałeś wyników usuwania w OTL, aczkolwiek w sumie nie potrzebuję już tego. Aktualny OTL poświadcza wykonanie zadania. Skanowanie w USB nie zgadza się. Pamięć była podłączona i miejsce na dysku jest zajęte prawie w połowie:

 

I:\ -> Removable drive # 7 Gb (4 Mb free - 48%) [] # FAT32

 

Ale USBFix w ogóle nie widzi żadnej zawartości na tym urządzeniu.... Czy coś na nim jest? Proponuję sformatować pamięć, a po formacie zabezpieczyć za pomocą Panda USBVaccine stosując opcję USB Vaccination. System już był tu zabezpieczany.

 

 

Internet jakimś cudem jest

 

Punktowany przeze mnie uszczerbek w Winsock został pomyślnie naprawiony skryptem OTL, miałeś też przywracać z kwarantanny TDSSKiller nieprawidłowo usunięte sterowniki sieciowe. To wszystko plus usunięcie czynnej infekcji = naprawa sieci.

 

 


W związku z tym, że nie widzę już żadnych obiektów związanych z infekcją:

 

1. Uzupełnij brakujący plik Usługi inteligentnego transferu w tle i usuń polisę Przywracania systemu. Plik w wersji XP SP2 (KLIK) ułóż na D:\. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
copy /y D:\qmgr.dll D:\Windows\system32 /C
copy /y D:\qmgr.dll D:\Windows\system32\dllcache /C
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

 

Klik w Wykonaj skrypt.

 

2. Uruchom funkcję Sprzątanie w OTL, co zlikwiduje kwarantannę OTL wraz z programem, również obiekty od TDSSKiller i stosowanego wcześniej ComboFix.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. Wprawdzie była blokada (zdejmowana w punkcie 1), ale nie wiadomo czy przed jej wejściem foldery System Volume Information były czymś zapełnione i takowe pozostały po wyłączeniu dostępu do Przywracania.

 

4. Przeskanuj system za pomocą Kaspersky Virus Removal Tool i przedstaw wykryte zagrożenia, o ile takowe będą.

 

Jeżeli to ukończymy, przejdziesz do właściwej aktualizacji zabezpieczającej Windows.

 

 

 

.

Odnośnik do komentarza
Proszę podpowiedz mi jak przywrócić usunięte sterowniki sieciowe z kwarantanny TDSSKiller?

 

jast, powinieneś to wiedzieć, skoro się ważyłeś na użycie takiej opcji w TDSSKiller. Zmierzam do tego, że wygląda na bezmyślne używanie także i TDSSKiller, czuję się zmuszona Cię przestrzec. Z takimi narzędziami (narzędzia niskopoziomowe!) nie wolno sobie poczynać w taki sposób, bo możesz doprowadzić do poważnej usterki Windows.

 

Wg loga z OTL na dysku masz folder kwarantanny D:\TDSSKiller_Quarantine. Popatrz co w nim jest. Porównaj czy w katalogu D:\Windows\system32\drivers są sterowniki, które wcześniej punktowałam.

 

 

.

Edytowane przez picasso
13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...