krzyd Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Witam System został zainfekowany wirusem Internet Security + kolegów których pościągał . Po pojawieniu się Internet Security antywirus (Microsoft Security Essentials) został wyłączony i nie można było go uruchomić tak jak większości programów. Internet działał ale co chwila wyskakiwały jakieś okienka, polecenia "ipconfig" "ping" w CMD przestały działać, po ich wpisaniu wyskakuje komunikat "nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy" polecenie DIR i CD działają. Jedynym programem jaki mi się udało uruchomić był Norman Malware Cleaner, zaraz po jego uruchomieniu z opcja pełne skanowanie udało się uruchomić MSE który też uruchomiłem z opcja pełne skanowanie. Po zakończeniu skanowanie obu programów przeskanowałem system jeszcze Super Anti spyware i Spybot - Search & Destroy (Spybot nic nie znalazł). Po przeskanowaniu komputera i ponownym uruchomieniu przestały działać klawiatura i myszka. Pomogło przełączenie myszki w inny port USB. W menadżerze urządzeń pojawiły mi się wykrzykniki koło urządzeń: klawiatura, myszka, napęd DVD i porty COM, pozbyłem się ich po usunięciu i ponownej instalacji urządzeń. Nadal nie mam dostępu do poleceń CMD. Połączenie lokalne nie działa mimo że 2 komputerki się świeca a w właściwościach na zakładce obsługa i w szczegółach brak jakikolwiek wpisów mimo ustawionych adresów na sztywno. Nie można też uruchomić usługi zapora systemowa wyskakuje komunikat "Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze lokalnym Błąd 2: Nie można odnaleźć określonego pliku". Logi z SecurityCheck nie zrobiły się mimo uruchomienia programu (to penie za sprawa blokady poleceń). Jeszcze jedno po przeskanowaniu systemu wyżej wymienionymi programami przywróciłem system z kopii kontrolnej system z 7 Lutego (infekcje usuwałem 21 Lutego). Nmc_2012-02-21_17-29-12.log.txt SUPERAntiSpyware Scan Log - 02-21-2012 - 19-20-11.log.txt Extras.Txt OTL.Txt GAMER.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 Log z GMER zrobiony w złych warunkach, nie usunąłeś sterownika SPTD (KLIK). Jeszcze jedno po przeskanowaniu systemu wyżej wymienionymi programami przywróciłem system z kopii kontrolnej system z 7 Lutego (infekcje usuwałem 21 Lutego). System był zainfekowany rootkitem ZeroAccess i to nie jest wyczyszczone do końca, mimo cofnięcia stanu systemu. W GMER nadal widać zablokowane łącze symboliczne rootkita: ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\$NtUninstallKB29167$\1720522594 0 bytesFile C:\WINDOWS\$NtUninstallKB29167$\1720522594\L 0 bytesFile C:\WINDOWS\$NtUninstallKB29167$\1720522594\U 0 bytesFile C:\WINDOWS\$NtUninstallKB29167$\1856541435 0 bytes Wg OTL działo się, notowalne odświeżenie sterowników systemowych (rootkit je infekował) oraz obiekty wtórne: [2012-02-23 13:21:29 | 000,053,248 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i8042prt.sys[2012-02-23 13:21:27 | 000,065,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\serial.sys[2012-02-23 13:21:24 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\redbook.sys[2012-02-23 13:21:23 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\cdrom.sys [2012-02-21 18:59:25 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\invxnfkj.sys[2012-02-21 18:43:23 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\oddlmtuu.sys[2012-02-21 18:37:12 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xrlstkpx.sys[2012-02-21 18:11:51 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\tdhjzjyk.sys[2012-02-21 17:54:46 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\skqoashd.sys[2012-02-21 17:48:39 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\svbzgmmt.sys[2012-02-21 17:34:33 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\fcffiqfk.sys [2012-02-21 16:15:24 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd polecenia "ipconfig" "ping" w CMD przestały działać, po ich wpisaniu wyskakuje komunikat "nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy" polecenie DIR i CD działają. (...) Nadal nie mam dostępu do poleceń CMD. Niedziałające polecenia: prawdopodobnie wina uszkodzonych Zmiennych środowiskowych, OTL pokazuje "not found" w miejscach gdzie nie powinno to mieć miejsca, a odczyt taki jest charakterystyczny dla naruszonego Path. Przy naruszeniu Path wpisanie komendy ping zwróci jej nierozpoznanie, ale jeżeli wpiszesz pełną ścieżkę dostępu C:\Windows\system32\ping.exe, narzędzie się uruchomi. 1. Pobierz i uruchom zgodnie z wytycznymi ComboFix. 2. Przedstaw raport z działania ComboFix oraz zrobione już po nowe logi z OTL + GMER + Farbar Service Scanner. . Odnośnik do komentarza
krzyd Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Wyłączyłem serownik SPTD programem Defogger. Sterownik prawdopodobnie należał do programu CDBurnerXP wiec odinstalowałem program. defogger_disable.log.txt ComboFix.txt GMER.txt Extras.Txt OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Wyłączyłem serownik SPTD programem Defogger. Sterownik prawdopodobnie należał do programu CDBurnerXP wiec odinstalowałem program. Wątpię, że to pochodna CDBurnerXP, nie przypominam sobie, by ten program kiedykolwiek tworzył SPTD. Moim zdaniem ten sterownik to jest pozostałość innej aplikacji. Deinstalacja programu nie usuwa sterownika SPTD, należy zająć się nim indywidualnie. ComboFix dokasował łącze symboliczne rootkita, kilka innych obiektów, oraz uzupełnił brakujące pliki sieciowe: c:\windows\system32\drivers\afd.sys - brakowało pliku Plik odzyskano z - c:\windows\system32\dllcache\afd.sys.c:\windows\system32\drivers\netbt.sys - brakowało pliku Plik odzyskano z - c:\windows\ServicePackFiles\i386\netbt.sys.c:\windows\system32\drivers\ipsec.sys - brakowało pliku Plik odzyskano z - c:\windows\ServicePackFiles\i386\ipsec.sys 1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\drivers\invxnfkj.sys C:\WINDOWS\System32\drivers\oddlmtuu.sys C:\WINDOWS\System32\drivers\xrlstkpx.sys C:\WINDOWS\System32\drivers\tdhjzjyk.sys C:\WINDOWS\System32\drivers\skqoashd.sys C:\WINDOWS\System32\drivers\svbzgmmt.sys C:\WINDOWS\System32\drivers\fcffiqfk.sys C:\WINDOWS\System32\dds_trash_log.cmd :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 2. Napraw Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli w ogóle jej nie ma, opcją Nowa utwórz. Jeśli jest, ale ma inny ciąg, zedytuj. 3. Do oceny wystarczy tylko log z wynikami usuwania z punktu 1. Wypowiedz się też wyraźnie co nadal nie działa w systemie. . Odnośnik do komentarza
krzyd Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 W zmiennych środowiskowych zmienna Path miała u mnie wartość "%SystemRoot%\System32\Wbem" zamieniłem na "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem" i polecenia w CMD zaczęły działać. Wszystkie wymienione wyżej problemy ustąpiły a innych nie widzę . Dziękuję za pomoc 02272012_223344.log.txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Kolejne czynności do przeprowadzenia: 1. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\P LOGI\ComboFix.exe" /uninstall Przez SHIFT+DEL skasuj folder C:\WINDOWS\ERDNT (kopia rejestru wygenerowana przez ComboFix). Na koniec zastosuj Sprzątanie w OTL, które usunie program i jego kwarantannę. 2. Na wszelki wypadek wykonaj jeszcze skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. PS. I odinstaluj Spybot - Search & Destroy. Program słaby, świetność za sobą. . Odnośnik do komentarza
krzyd Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Punkt 1 zrobiony Punkt 2 i niestety coś znalazł. Po pełnym skanowaniu Malwarebytes Anti-Malware znalazł 1 obiekt wybrałem opcje usuń. Po restarcie powstał log mbam-log-2012-02-27 (23-46-06).txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 1. Wyniki MBAM: Nie ma co panikować, to wygląda na resztki po infekcji. Usunąłeś, zakładam, że MBAM nic więcej nie widzi. W związku z ujawnieniem nowego elementu ponów czyszczenie folderów Przywracania systemu, tym razem ręcznie: KLIK. 2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych m.in. widzę: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 26"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy Spybota odinstaluj. Dziś program więcej jedzie na starej opinii aniżeli faktycznych zdolnościach. Za to zostaw sobie MBAM, jako skaner na żądanie. 3. Wykonaj prewencyjną wymianę haseł logowania w serwisach. . Odnośnik do komentarza
krzyd Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 (edytowane) Aktualizacja zrobiona Java 7.3 a Adobe Reader zamieniłem na Foxit Reader 5.1.4 (który lepiej stosować adobe czy foxit). Mam jeszcze jeden problem z siecią internet chodzi dobrze ale LAN już nie. Mam dyska NAS i nie mogę się do niego dostać. Z panelem kontrolnym przez przeglądarkę łączę się bez problemu ale do danych przez skrót sieciowy lub za pomocą start->uruchom i adresu ip nie mogę się dostać wyskakuje komunikat skrót "Dysk lub połączenie sieciowe, do którego odnosi się skrót ,,XXX" jest niedostępny" uruchom->Ip "Żaden dostawca sieciowy nie zaakceptował podanej ścieżki sieciowej" tak samo jest z danymi udostępnionymi z innego komputera. Zrobiłem jeszcze test ze strona www.onet.pl, do przeglądarki wpisałem adres IP 213.180.146.27 i wyskoczył mi komunikat "Strona o podanym adresie nie istnieje. Zapraszamy na domeny.onet.pl" w innym komputerze strona otwiera się (wiadomo że nie kompletan) a po wpisaniu www.onet.pl wszystko chodzi dobrze. Ponowny skan MBAM i Microsoft Security Essentials nic nie wykryły. Problem rozwiązany Przyczyną było brak pliku mrxsmb.sys w C:\WINDOWS\system32\drivers bez którego nie chciała się uruchomić usługa "przeglądarka komputera". Edytowane 28 Lutego 2012 przez krzyd Odnośnik do komentarza
picasso Opublikowano 29 Lutego 2012 Zgłoś Udostępnij Opublikowano 29 Lutego 2012 Adobe Reader zamieniłem na Foxit Reader 5.1.4 (który lepiej stosować adobe czy foxit). Moim zdaniem wybór charakteru "przyjemności" obsługi. Foxit od dawna nie jest traktowany przeze mnie jako "chuda alternatywa". Takową był na początku, aż zaczęto pakować w instalator śmieci sponsoringowe Ask (skutecznie mnie to odrzuciło od tej aplikacji). Czyli cel domyślny aplikacji to zaśmiecić preferencje przeglądarki. Producent robiący umyślne opt-in ma jasny cel, manipulacja by zainstalować. Wiadomo, odznaczyć można, ale ile osób początkujących i nastawionych na "Dalej, Dalej ..." to zrobi? Z bezpieczeństwem też trudno postawić jednoznaczną opinię. Zachodziły nawety ironie sytuacyjne, gdy to polecano Foxit zamiast Adobe, podczas gdy w Foxit też luki i infekcje były możliwe. Obie aplikacje mają podatność, w obu są wykrywane luki od czasu do czasu, obie trzeba łatać i starać się mieć zawsze najnowsze wydanie. . Odnośnik do komentarza
Rekomendowane odpowiedzi