Problem z ustawieniami folderów i spowolnione przeszukiwanie dysku - trojany

[Baku]

Witam,

 

Ostatnio zauważyłem, że podczas otwierania pliku np programem VirtualDub pojawia się dziwne opóźnienie w dostępie do zawartości HDD.

 

w msconfig zauważyłem taki wpis:

rundll32.exe "C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\scert.dll",Wiz_Validate

 

Mój firewall odnotował zaś, że proces explorer.exe próbuje łączyć się z siecią na porcie 16471 (nie jestem pewny czy dobrze zapamiętałem numer), ale próbę taką zablokował.

 

 

Usunąłem go i przystąpiłem do skanowanie Malwarebytes Anti-Malware. Znalazł on następujące wirusy (sorry za zdjęcie nie zapisałem logów):

 

 

Nie wiem czemu w logach tego nie ma, ale wirus został też znaleziony w:

C:\WINDOWS\assembly\GAC\Desktop.ini

 

Po ich wyeliminowaniu i restarcie systemu infekcja nie wróciła. Explorer.exe również nie próbuje już korzystać z internetu

 

 

Dodatkowo wywaliłem cały ten dziwny folder {2ef9cc36-0e78-cf6a-fd40-070fc7e174a5} w którym był wirus. Był on widoczny jako ukryty.

 

Dodatkowo w msconfig a dokładniej w zakładce win.ini mam coś takiego:

 

 

Próbowałem to wyłączać, ale wciąż wraca. Sprawdziłem kilka innych komputerów z XP i nic takiego na nich nie ma. Czy to coś niebezpiecznego?

 

 

 

Problem po walce z wirusem:

 

Niestety po usunięciu infekcji pojawił się dość osobliwy problem.

 

Nie mogę w żaden sposób zapanować nad ustawieniami wyświetlania folderów. System nie zapamiętuje sposobu w jaki mam ułożone foldery (np. na dysku C według nazw, na D według rozmiarów ipt) ani auto-rozmieszczania. Najbardziej problem ten irytuje na pulpicie. Wystarczy kliknąć odśwież i wszystkie ustawienia są tracone.

 

Postępowałem według tych wskazówek:

http://support.microsoft.com/kb/813711

 

Niestety problem pozostał. Macie może pomysł jak to naprawić? Czy winny jest jakiś wirus czy też coś w systemie się wysypało?

 

 

Skanowałem system także programami (skanowania pełne):

 

Malwarebytes Anti-Malware 1.60.0.61 (ponownie)

Dr.WEB CureIt! 6.00.16.01270

Kaspersky Virus Removal Tool 2011 11.0.0.1245

Spybot Search & Destroy 1.6.2.46

Kaspersky Rescue Disk

Kaspersky Antivirus 2010

 

 

Nic więcej nie zostało znalezione.

 

 

Korzystam z Windows XP Professional z SP3, który był nieaktualizowany jakiś czas. Teraz wszystko zaktualizowałem. Na co dzień używam Kaspersky Anti-virus 2010 oraz Sunbelt Personal Firewall 4.6.1861

 

 

Bardzo proszę o sprawdzenie logów z OTL oraz Gmer w celu dalszej analizy problemu.

Gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Nie wiem czemu w logach tego nie ma, ale wirus został też znaleziony w:

C:\WINDOWS\assembly\GAC\Desktop.ini

 

Dodatkowo wywaliłem cały ten dziwny folder {2ef9cc36-0e78-cf6a-fd40-070fc7e174a5} w którym był wirus. Był on widoczny jako ukryty.

 

Infekcja ZeroAccess. Podjęte tu działania to może być za mało, gdyż nie widzę w skanerach żadnych wyników odpowiadających zapisom w rejestrze korespondującym do usuwanych obiektów. Ponadto, jest pewne, że nie wszystkie manipulacje ZeroAccess zostały wyeliminowane, trojan naruszył Winsock:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found

 

W związku z tym, że wyniki ze skanerów sugerują ten nowy wariant ZeroAccess atakujący klasy CLSID w rejestrze, a brak oznak usuwania czegokolwiek z rejestru, poproszę o pełną kopię rejestru do wglądu, ręcznie przeszukam. Kopię rejestru zrobisz za pomocą RegBack, wynikowy folder zapakuj do ZIP i shostuj gdzieś przesyłając mi na PW link do paczki.

 

 

 

.

[picasso]

Kopia rejestru otrzymana. Zgodnie z przypuszczeniem, są modyfikacje ZeroAccess, tzn. dodany sfałszowany klucz {42aedc87-2188-41fd-b9a3-0c966feabec1}:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
"ThreadingModel"="Both"
@="C:\\Documents and Settings\\Łukasz\\Ustawienia lokalne\\Dane aplikacji\\{2ef9cc36-0e78-cf6a-fd40-070fc7e174a5}\\n."

 

Oraz kompletny brak klasy systemowej {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="C:\\WINDOWS\\system32\\wbem\\wbemess.dll"

 

 

---

1. Skasuj z dysku ten podejrzany ukryty plik:

 

[2012-05-30 17:30:39 | 000,000,132 | -HS- | M] () -- C:\WINDOWS\1617582drv.spi

 

Nie widzę punktu ładowania tego czegoś, brak takiej usługi, są jedynie dopasowane szczątki usługowe w gałęzi Enum oraz numeryczne twory:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1617582DRV

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_32820535

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_34153658

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_54867891

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_76171433

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_80295294

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_89097404

 

By usunąć te klucze bez babrania się w uprawnieniach, załaduj edytor rejestru na uprawnieniu konta SYSTEM, np. za pomocą Process Hacker.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="C:\\WINDOWS\\system32\\wbem\\wbemess.dll"
"ThreadingModel"="Both"
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Start > Uruchom > cmd i wpisz polecenie netsh winsock reset, zatwierdź restart komputera.

 

4. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) i wyraźnie wypowiedz się czy widzisz pożądane zmiany / jakąś poprawę.

 

 

 

PS. Plik C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\CloseOK.bat jest OK, Twoja robota?

 

 

 

.

[Baku]

Wszystko zrobione według instrukcji. Dołączam nowy log z OTL.

 

CloseOk.bat to moja robota. Takie zabezpieczenie do jednego z programów na wypadek jego nagłego zamknięcia (dodaje wpis do rejestru, który oszukuje program i mówi mu, że zamkniecie było prawidłowe)

 

Ustawienia folderów działają poprawnie! Tak jak pisałem spowolniony odczyt z dysku załatwił Malwarebyte.

 

W tej chwili nie widzę żadnych objawów infekcji. Jednym słowem - rewelacja! Wielkie dzięki za pomoc. Jestem pod ogromnym wrażeniem Twojej wiedzy.

 

Martwi mnie tylko, że żaden antywirus/skaner nic nie wykrył. Czy jest w ogóle sens prewencyjnie przeskanować system jeszcze raz? Jeśli tak to czym? Chciałbym sie na 100% upewnić, że żadne świństwo gdzieś jeszcze nie pozostało.

 

PS. Czy wiesz co to za wpis NetBrowser w win.ini? Nic nie mogę na ten temat znaleźć w sieci. Można go całkiem wywalić?

newOTL.Txt

[picasso]

Log z OTL poświadcza pomyślny reset Winsock. Zostały wykończenia (z pominięciem czyszczenia Przywracania systemu = wg OTL Extras jest wyłączone), czyli:

 

1. Czyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner.

 

2. Drobne aktualizacje: KLIK. Z Twojej listy zainstalowanych (wersji Adobe Playerów nie mogę potwierdzić, sprawdź czy masz najnowsze):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu" = Gadu-Gadu 7.7

 

GG7 też tu zakreślam ze względu na niepożądane cechy: brak pełnej obsługi własnego nowego protokołu + niski poziom bezpieczeństwa (brak szyfrowania połączeń). Jeśli szukasz dobrej alternatywy z dobrą obsługą GG, to proponuję WTW. Opis znajdziesz w moim artykule Darmowe komunikatory.

 

3. Prewencyjna wymiana haseł logowania w serwisach.

 

4. Drobna uwaga spoza tematu. W Twoim logu widzę kontrolkę Microsoft Update (szerszy wariant Windows Update):

 

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1316186180734" (MUWebControl Class)

 

Microsoft Update może powodować dyskoordynację systemową objawioną jako obciążenie svchost.exe od Automatycznych aktualizacji. Gdybyś doświadczył kiedyś czegoś w ten deseń, należy pozbyć się Microsoft Update wg tych kroków: KLIK.

 

 

Martwi mnie tylko, że żaden antywirus/skaner nic nie wykrył. Czy jest w ogóle sens prewencyjnie przeskanować system jeszcze raz? Jeśli tak to czym? Chciałbym sie na 100% upewnić, że żadne świństwo gdzieś jeszcze nie pozostało.

 

Detekcji CLSID od tego wariantu ZeroAccess nie ma chyba na teraz żaden skaner, skanery ograniczają się do łowienia elementów tworzonych na dysku i na tym koniec zadania. A usunięta klasa systemowa też nie jest w obszarze zainteresowań skanerów, bo to nie jest już "infekcja" lecz modyfikacja systemu na innym poziomie.

Sądzę, że już jest w porządku. Dużo skanów prowadziłeś, z małym zgrzytem Spybot Search & Destroy: ten delikwent to stara konstrukcja i mało pomocny przy aktualnych wysmakowanych infekcjach, do deinstalacji.

 

 

PS. Czy wiesz co to za wpis NetBrowser w win.ini? Nic nie mogę na ten temat znaleźć w sieci. Można go całkiem wywalić?

 

Sprawdziłam na kilku systemach Windows XP i domyślnie w win.ini nic takiego nie ma. I też nie mogę znaleźć żadnej dokumentacji na temat tego wejścia. Ale waham się, by określić to jako szkodliwe... Na Google wyszukałam kilka wklejonych win.ini (niektóre tematy bardzo stare sprzed kilku lat, gdy to się nie śniło o omawianych tu infekcjach), które jednak dysponują tym wejściem [NetBrowser] wyglądającym tak jak u Ciebie. Czy na pewno tego wejścia nie było wcześniej przed infekcją? Prewencyjnie: w msconfig "doptaszkuj" odznaczone wejścia tej sekcji i zatwierdź, otwórz w Notatniku plik C:\Windows\win.ini i wytnij z niego cały blok [NetBrowser]. Jeśli po restarcie systemu wróci to do pliku, jest w systemie coś co tego "wymaga", wydedukowanie tego może nie być proste.

 

 

 

 

.

[Baku]

Kroki 1, 2 i 3 zrobione. Przywracanie systemu mam zawsze wyłączone.

 

Sprawę GG muszę przemyśleć. Zostawiłem sobie na później także Open Office - pojawiły się zupełnie nowe dystrybucje - sprawdzę która najlepsza.

 

Adobe playery aktualizowałem wczoraj.

 

 

Krok 4

 

Nie mam w IE takiego dodatku jak MuWebControl Class. Powinienem przejść do dalszych czynności, bo plik MuWebControl Class jest obecny w C:\Windows\Downloaded Program Files

 

 

 

Jeśli chodzi o NetBrowser to po odznaczaniu wpisów nie pojawiały się one na nowo po restarcie, ale dopiero po pewnym czasie (zawsze z nowym numerem ClassID). Zrobiłem tak jak radziłaś. Sprawdzę czy coś się zmieniło.

 

Wpis ten na 99% był tam wcześniej, bo kiedyś myślałem nad tym co to za ustrojstwo.

[picasso]

Nie mam w IE takiego daodatku jak MuWebControl Class. Powinienem przejść do dalszych czynności, bo plik MuWebControl Class jest obecny w C:\Windows\Downloaded Program Files

 

Po prostu przejdź do dalszych punktów.

 

 

Wpis ten na 99% był tam wcześniej, bo kiedyś myślałem nad tym co to za ustrojstwo.

 

Na chwilę obecną nie jestem w stanie udzielić lepszej odpowiedzi. Z autopsji wpis mi nieznany, na wszystkich moich XP absent.

 

 

 

.

[Baku]

Zrobione. Sprawdziłem OTL - kontrolki już nie ma

 

Jeśli uda mi się ustalić skąd pochodzi NetBrowser dam nać (no chyba, że już nie wróci po ostatnich zabiegach)

 

 

Jeszcze raz bardzo dziękuję za fachowe porady i okazaną pomoc. Gdyby nie Ty niechybnie czekałaby mnie reinstalacja Windowsa.

Edytowane 1 Lipca 2012 przez picasso
1.07.2012 - O NetBrowser głucho, temat uznaję za zakończony i zamykam. //picasso