abnow.com - kolejna odsłona

[sum1]

Plaga abnow.com szaleje. Dopadła również i mnie. Poza przekierowaniem nie zauważyłem innych objawów. Posiadam antywirus Avira oraz firewalla Outpost i po przeskanowaniach usunąłem część rzeczy, ale sama Avira podawała, że wciąż istnieje jakiś ukryty proces. W każdym razie na jeden dzień google.pl działało mi poprawnie, teraz jednak problem powrócił.

Niestety zamiast wszystko najpierw dokładnie przeczytać odpaliłem Combofixa i po wystąpieniu błędu (nie udało mi się go przeczytać) teraz jedynie się rozpakowuje. Tematów o abnow.com jest dużo, ale teraz wolałem nie kombinować już nic na własną rękę.

 

- system 32-bit

- logi zrobiłem według podanych przepisów i za pomocą programów z autoryzowanych miejsc

- odinstalowałem DAEMON Tools

 

Za pierwszym razem nie odpaliłem Combofixa w trybie awaryjnym, nie miałem usuniętego wirtualnego napędu i za późno wyłączyłem antywirusa. Najpierw wystąpił błąd bez treści, następnie pojawiło się okno z niebieskim tłem, tak jakby Combofix włączył się normalnie i później wystąpił ten błąd, którego nie udało mi się przeczytać. Deinstalacje robiłem podając pełną ścieżkę, ale instalacje zatrzymują się na rozpakowaniu.

 

Byłbym bardzo wdzięczny za pomoc.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

- odinstalowałem DAEMON Tools

 

Deinstalacja programu nie usuwa jego sterownika SPTD (kluczowy element przeszkadzający narzędziom). Sterownik czynny (widzą to GMER i OTL).

 

DRV - [2010-12-25 17:03:22 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Należy wykonać deinstalację sterownika SPTD wg kroków z ogłoszenia: KLIK (narzędzie SPTDinst). I to do wykonania od razu przed przejściem dalej.

 

 

 

Plaga abnow.com szaleje.

 

Cóż, rootkit jak najbardziej czynny i aktualnie zainfekowanym sterownikiem systemowym jest redbook.sys... Wstępna próba leczenia:

 

1. Pobierz plik redbook.sys w wersji XP SP3 (KLIK). Rozpakowany redbook.sys umieść wprost na C:\, ta ścieżka będzie brana pod uwagę w skrypcie.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

CopyFile:
C:\redbook.sys C:\WINDOWS\system32\drivers\redbook.sys
 
DeleteFile: 
C:\WINDOWS\System32\dds_log_ad13.cmd
 
DeleteFolder:
"C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\35e91cde"

 

Klik w Execute Now. Zatwierdź restart komputera. Na dysku C powstanie log z narzędzia.

 

3. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB54984$

 

Klik w Unlock.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB54984$ /C
netsh winsock reset /C
 
:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\transbaseservice.dll -- (w300mdm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\wpdusb.dll -- (w200obex)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nvport.dll -- (vxd)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MxlW2k.dll -- (utscsi)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\JiaoIO.dll -- (s117nd5)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\allegro.dll -- (personalsecuredriveservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\rrrspy.dll -- (pciSd)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NEOFLTR_600_13319.dll -- (pcidrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\relational.dll -- (nvata)
SRV - File not found [Auto | Running] -- %systemroot%\system32\imapiservice.dll -- (ntiopnp)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bltrust.dll -- (MREMP50)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ups.dll -- (mfeavfk)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nsm1mdfl.dll -- (mctskshd.exe)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s125mgmt.dll -- (interactivelogon)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Anydlc.dll -- (FVXSCSI)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\flashpnt.dll -- (freepops)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\i2omp.dll -- (dlacdbhm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CamAv.dll -- (BrPar)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symc8xx.dll -- (adiusbaw)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

5. Do oceny: logi z przetwarzania skryptów z punktów 2 + 4, nowy log OTL zrobiony na warunku dostosowanym (patrz niżej) + GMER + Farbar Service Scanner (wszystkie opcje zaznaczone).

 

Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

C:\Windows\*. /RP /s
C:\Windows|$NtUninstallKB54984$;true;true;false /FP

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[sum1]

Dziękuję za szybką odpowiedź.

Wykonałem następujące kroki. Avira ciągle znajdowała mi jakieś .dll. Możliwe, że to od używanych programów, ale wolałem podać. Nie podałem wcześniej, ale od czasu infekcji przy każdym uruchomieniu komputera Outpost pytał mnie czy zezwolić local:any, UDP:22292 na działanie jako serwer. Za każdym razem blokowałem.

 

1. SPTD usunięty (z rejestru również)

 

Wyłączenie Outposta (co chwila by się pytał o pozwolenie)

 

2. BlitzBlank

C:\WINDOWS\system32\bdselfpr.dll - wykryła Avra

 

3. GrantPerms

C:\WINDOWS\system32\sdhelper.dll - jw.

C:\WINDOWS\system32\MaxtorFrontPanel1.dll

C:\WINDOWS\system32\s117unic.dll

 

4. OTL - skrypt

C:\WINDOWS\system32\mldserv.dll

C:\WINDOWS\system32\PCASp50.dll

 

5. OTL - skan (zrobiłem bez Extras)

C:\WINDOWS\system32\ql2100.dll

C:\WINDOWS\system32\MaxtorFrontPanel1.dll

C:\WINDOWS\system32\PCASp50.dll

C:\WINDOWS\system32\PCASp50.dll

C:\WINDOWS\system32\asctrum.dll

 

6. Wyłączenie Outposta i Aviry, poGMERałem

 

7. FSS

 

Uruchomiłem ponownie. Outpost o nic nie pytał. Google działa normalnie, ale w GMER było widać, że dalej coś jest z svchost.exe

 

Zrobiłem jeszcze scan na malware w Outpost i chociaż on znalazł tylko jedną rzecz w Cookies, to Avira w tym czasie wykryła chyba z sześć trojanów w System Volume Information.

FSS.txt

GMER2.txt

OTL2.Txt

OTL_skrypt_txt_03282012_102610.txt

blitzblank_txt.txt

Sys_LogWin_txt.txt

[picasso]

Do uzupełnienia wypowiedzi służy opcja Edytuj, zamiast pisać posty w serii, gdy nikt jeszcze nie odpisał. Łączę.

 

Avira wykrywa po prostu pliki DLL pomocnicze infekcji (ZeroAccess tworzy podrobione usługi i masowo wrzuca pliki, które się tylko wymieniają przy próbie usuwania), ale nie zasadniczy trzon infekcji. GMER wygląda znacznie lepiej, tzn. nie ma wskazań na zainfekowany sterownik SYS oraz łącza symbolicznego. Winsock się niestety nie zresetował i mamy jeszcze różne obiekty ZeroAccess do czyszczenia. Kolejna porcja zadań:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
MOD - [2008-04-14 23:51:44 | 000,005,120 | ---- | M] () -- C:\WINDOWS\system32\ql2100.dll
[2010-12-25 19:15:53 | 000,000,000 | -HSD | M] -- C:\WINDOWS\$NtUninstallKB54984$
[2012-03-28 10:19:47 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_log_ad13.cmd
O20 - Winlogon\Notify\aheskjgq: DllName - (aheskjgq.dll) -  File not found
SRV - [2008-04-14 23:51:44 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\PCASp50.dll -- (ssidrv)
SRV - [2008-04-14 23:51:44 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\MaxtorFrontPanel1.dll -- (k750mgmt)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bdselfpr.dll -- (websenseclientdeployservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sdhelper.dll -- (wdelmgr20)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\oracle_load_balancer_60_server-forms6i.dll -- (spbbcdrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mldserv.dll -- (pnkbstrb)
SRV - File not found [Auto | Running] -- %systemroot%\system32\ql2100.dll -- (dtscsi)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s117unic.dll -- (avpnnic)
NetSvcs: snapman380 -  File not found
NetSvcs: w200obex -  File not found
NetSvcs: FVXSCSI -  File not found
NetSvcs: vxd -  File not found
NetSvcs: adiusbaw -  File not found
NetSvcs: w300mdm -  File not found
NetSvcs: mfeavfk -  File not found
NetSvcs: mctskshd.exe -  File not found
NetSvcs: nvata -  File not found
NetSvcs: utscsi -  File not found
NetSvcs: swmsflt -  File not found
NetSvcs: websenseclientdeployservice - %systemroot%\system32\bdselfpr.dll File not found
NetSvcs: k750mgmt - %systemroot%\system32\MaxtorFrontPanel1.dll File not found
NetSvcs: pnkbstrb - %systemroot%\system32\mldserv.dll File not found
NetSvcs: dtscsi - %systemroot%\system32\ql2100.dll File not found
NetSvcs: ssidrv - C:\WINDOWS\system32\PCASp50.dll ()
NetSvcs: avpnnic - %systemroot%\system32\s117unic.dll File not found
NetSvcs: wdelmgr20 - %systemroot%\system32\sdhelper.dll File not found
NetSvcs: spbbcdrv - %systemroot%\system32\oracle_load_balancer_60_server-forms6i.dll File not found
NetSvcs: ntiopnp -  File not found
NetSvcs: dlacdbhm -  File not found
NetSvcs: pcidrv -  File not found
NetSvcs: s117nd5 -  File not found
NetSvcs: personalsecuredriveservice -  File not found
NetSvcs: MREMP50 -  File not found
NetSvcs: interactivelogon -  File not found
NetSvcs: pciSd -  File not found
NetSvcs: freepops -  File not found
NetSvcs: BrPar -  File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Start > Uruchom > cmd i wpisz polecenie netsh winsock reset. Zresetuj system.

 

3. Wygeneruj do oceny nowy log z OTL z opcji Skanuj oraz GMER. dołącz log z przetwarzania skryptu w punkcie 1.

 

 

 

 

.

[sum1]

Wykonałem wszystkie rzeczy.

Extras.Txt

GMER.txt

OTL.Txt

OTL_03282012_223940.txt

[picasso]

Zadanie prawie wykonane, z wyjątkiem folderu ex-łącza (Folder move failed. C:\WINDOWS\$NtUninstallKB54984$ scheduled to be moved on reboot.).

 

1. Do GrantPerms wklej co poniżej i klik w Unlock.

 

C:\WINDOWS\$NtUninstallKB54984$

 

Upewnij się, że masz wszystkie opcje widokowe aktywowane (Mój komputer > Narzędzia > Opcje folderów > Widok > zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego), przez SHIFT+DEL spróbuj skasować folder C:\WINDOWS\$NtUninstallKB54984$.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall

 

Gdy ukończy, w OTL zastosuj Sprzątanie likwidujące OTL wraz z kwarantanną. Ręcznie dokasuj folder C:\WINDOWS\ERDNT, inne używane narzędzia oraz pliki *.sys.

 

3. Widzę zainstalowany Malwarebytes Anti-Malware. Na wszelki wypadek wykonaj nim pełny skan. Przedstaw raport, o ile coś zostatnie wykryte.

 

 

 

.

[sum1]

Znalazło mi jedynie to:

 

Wykrytych plików: 1

C:\WINDOWS\Media\NewIcon.ico (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

Rozumiem, że to koniec leczenia.

Serdecznie dziękuję za szybką i profesjonalną pomoc. Następnym razem nie będę robił nic na własną rękę.

mbam-log-2012-03-29 (18-25-30).txt

[picasso]

Tak, to koniec. Na finał:

 

1. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście widać wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 23
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Tlen.pl" = Tlen.pl

 

Przy okazji: Tlen.pl to martwy nierozwijany program. Może Cię zainteresuje WTW jako alternatywa: KLIK.

 

2. Na wszelki wypadek prewencyjnie zmień hasła logowania w serwisach.

 

Sprawdź czy wszystko działa. Jeśli nic nie wyskoczy, możemy temat zamykać.

 

 

 

.

[sum1]

Wiem, że Tlen.pl jest nierozwijany, ale sentyment i przyzwyczajenie robią swoje. Nie mam nawet ostatniej wersji, bo była już w stylu nowych GG i zaliczała zwiechy. WTW zapowiada się naprawdę nieźle. Dzięki za polecenie.

 

Java, Skype i Adobe Reader wykazują błąd z Instalatorem Windows.

[picasso]

Java, Skype i Adobe Reader wykazują błąd z Instalatorem Windows.

 

Jaki konkretnie błąd się pokazuje? Przepisz go 1:1.

[sum1]

Po wyłączeniu Outposta zainstalowałem Javę i Adobe Readera, ale Skype na koniec wyświetlił mi coś takiego:

 

Cannot create the directory 'C:\WINDOWS\repair\default'. A file with this name already exists. Please rename or remove the file and click retry, or click Cancel to exit.

 

Dałem Cancel i jakoś dokończył instalację.

Ogólnie to myślę nad zmianą antywirusa i firewalla. Istnieje jakieś połączenie godne polecenia? (chyba że to już zakrawa o offtop)

Posiadałem już AVG, Avasta, Sygate'a i ZoneAlarm.

[picasso]

Cannot create the directory 'C:\WINDOWS\repair\default'. A file with this name already exists. Please rename or remove the file and click retry, or click Cancel to exit.

 

Dałem Cancel i jakoś dokończył instalację.

 

To dziwny błąd. Nie wiem co ma tu wspólnego instalator Skype z folderem fabrycznego rejestru Windows XP (C:\WINDOWS\repair). Nie potrafię tego dopasować.

 

 

Ogólnie to myślę nad zmianą antywirusa i firewalla. Istnieje jakieś połączenie godne polecenia? (chyba że to już zakrawa o offtop)

Posiadałem już AVG, Avasta, Sygate'a i ZoneAlarm.

 

Offtop - dlaczego? Pytania takie wchodzą w pełni w zakres tematu. Na temat tego co tu było: o Sygate zapomnij (tak przestarzały produkt, że zabezpieczenia to iluzja), zaś ZoneAlarm nieszczególnie polecam, jeśli to była darmowa okrojona wersja. Polecane przeze mnie zapory darmowe zapory: Online Armor Free, COMODO Firewall, PrivateFirewall. Aktualna kombinacja Avira + Outpost Security Suite 7.1:

- Avira w wersji darmowej nie ma np. osłony Web, a raczej: ceną aktywacji tej funkcji jest pozwolenie na instalację śmiecia Ask Toolbar. To już Avast daje za darmo więcej funkcji.

- Outpost Security Suite 7.1, o ile sobie przypominam, to podczas instalacji nie można wykluczyć komponentu antywirusowego (który zdaje mi się być słabszym elementem zestawu), a to tworzy dubel funkcyjny z w/w. Czy składnik antywirusowy jest u Ciebie czynny?

 

Poza tym, możesz przeglądnąć sekcję oprogramowanie zabezpieczające, może z dyskusji / testów pozyskasz jakieś dodatkowe wnioski: KLIK.

 

 

 

.

[sum1]

Tak, tamte firewalle miałem lata temu. Po prostu napisałem, co sprawdzałem już wcześniej.

Outpost posiada pakiet anti-malware i jest u mnie włączony, ale bardziej irytują mnie jego ciągłe zapytania i blokowania zaufanych aplikacji, a nie chcę ustawiać allow most lub allow all (przepuszcza wtedy dużo, a i tak blokuje np. aktualizacje). Wybiorę sobie coś z poleconych przez Ciebie, a antywirusa poszukam w podanym dziale.

 

Dziękuję jeszcze raz za profesjonalną pomoc i rady.