Skocz do zawartości

Trojan.Siggen3 Trojan.Inject2 i inne + zainfekowany acpi.sys + BSODy


Rekomendowane odpowiedzi

Przeskanowałem kompa kuzyna przy pomocy DrWeb CureIt i znalazł kilka wirusów między innymi w folderze urzytkownika, plikach tymczasowych, koszu, folderze przywracania i w pliku acpi.sys (ten ostatni został wyleczony a część znalezionych plików usunięta). Raportu nie dołącze bo nie mam BSOD niestety był szybszy niż ja z zapisaniem loga z CureIt :) Poniżej załączam wymagane logi. Odnośnie tematu BSODów to sprawdziłem narazie pamięć memtestem.

 

Results of screen317's Security Check version 0.99.42

Windows XP Service Pack 3 x86

Internet Explorer 6 Out of date!

``````````````Antivirus/Firewall Check:``````````````

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

CCleaner

Java 6 Update 33 Java version out of Date!

Adobe Flash Player 11.3.300.262

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox 10.0.2 Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

``````

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Oprócz infekcji system ten jest zaśmiecony sponsoringami i to też będziesz usuwał.

 

1. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE / MediaBar / Ashampoo PO Toolbar

 

2. Zastosuj AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //search.bearshare.com//sidebar.html?src=ssb&appid=0&systemid=2
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?st=1&crg=2.1001.75000&barid={0EF16304-824D-4676-9689-2A1129E99331}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\URLSearchHook: {5714e6d7-246d-4f1c-aa4d-2f401fe6cb0a} - SOFTWARE\Classes\CLSID\{5714e6d7-246d-4f1c-aa4d-2f401fe6cb0a}\InprocServer32 File not found
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http ://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=7cbb0c8a0000000000000011d8197565
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{1227CAC8-B580-47CD-954A-71555EA75E85}: "URL" = http: //search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http ://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=301b09e6-f0f2-4532-afef-f821382b034e&apn_sauid=9B2B05C8-0DA8-4562-AA95-78F79C9BB4B7
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm035YYPL&ptb=imZzcaJBj53OfQ6kXCd9Cw&psa=&ind=2010081908&ptnrS=GRxdm035YYPL&si=&st=sb&n=77cf6a74&searchfor={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = http: //eu.ask.com/web?l=dis&o=APN10384&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^ABJ&apn_uid=5272537156304734&p2=^ABJ^YYYYYY^YY^PL&q={searchTerms}
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs&a=1ex65NJiW1a
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}
[2011-03-11 15:24:16 | 000,000,000 | ---D | M] (Komputerswiat.pl Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{bb0e677b-1224-4b1f-bafb-d771d658b563}(2)
[2012-04-24 07:15:08 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
[2012-06-20 14:42:11 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}(2)
[2012-04-09 23:08:16 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab}
[2011-11-28 00:57:58 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2011-03-23 21:06:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\engine@conduit.com
[2011-11-16 14:32:46 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\ffxtlbr@babylon.com
[2012-04-09 15:06:20 | 000,002,274 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml
[2012-02-28 17:33:45 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-04-24 07:09:30 | 000,002,503 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O4 - HKLM..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe File not found
O4 - HKLM..\Run: [hpqSRMon]  File not found
O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\flash.exe (eW4zX)
O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found
O4 - HKU\S-1-5-21-527237240-179605362-1801674531-1003..\Run: [OrangeNote] "C:\Program Files\OrangeNote\OrangeNote.exe" File not found
O4 - HKU\S-1-5-21-527237240-179605362-1801674531-1003..\Run: [stickIt] C:\Program Files\StickIt\StickIt3.exe File not found
O8 - Extra context menu item: &Search - http: //edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000341&p=GRxdm035YYPL&si=&a=imZzcaJBj53OfQ6kXCd9Cw&n=2010081908 File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
[2012-06-22 16:40:18 | 000,000,860 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\{50060938-9A19-48fa-BFE2-95D8761050DD}.lnk
[2012-06-30 16:59:43 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\SLOW-PCfighter-user-Startup.job
[2012-06-30 16:59:43 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\systems.job
[2012-06-30 16:59:43 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job
[2011-01-10 23:46:20 | 000,005,009 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\surkpqid.bdr
[2012-03-20 16:53:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\529C50570000A21B00013B420CDF108C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-527237240-179605362-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{A078C0B4-5052-46AA-88DE-8DAA9E9F3526}"
 
:Services
ADILOADER
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Odnośnik do komentarza

Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści:

 

:Files
C:\Program Files\Ashampoo_PO
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Temp\XTMP1MC3VE
C:\Program Files\Common Files\Microsoft Shared\Triedit\{50060938-9A19-48fa-BFE2-95D8761050DD}.sys
 
:Services
NMIndexingService
{50060938-9A19-48fa-BFE2-95D8761050DD}
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}]
[HKEY_USERS\S-1-5-21-527237240-179605362-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}"=-
 
:OTL
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Nowy log z OTL do oceny. Oceń też stan systemu na ten moment i ewentualne problemy.

Odnośnik do komentarza

To co wróciło to jakieś obiekty tymczasowe w Temp. Usuwałem kosmetycznie (to nie jest infekcja) tylko nie wiem co to generuje, może jakieś oprogramowanie. Jeśli wróciło to może sugerować że jest to potrzebne.

No masz rację, sprawdziłem i to są pliki od programu ManyCam.

 

 

TDSSKiller nic nie wykrył.

 

Temat można zamknąć. Wymieniłem taśmę dysku i BSODy ustały. Dzięki za pomoc :)

Odnośnik do komentarza
Temat można zamknąć. Wymieniłem taśmę dysku i BSODy ustały.

 

1. Drobny skrypt poprawkowy do OTL (jest jeszcze folder infekcji na dysku, wcale się nie usunął poprzednim skryptem):

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\529C50570000A21B00013B420CDF108C
 
:OTL
O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@vividas.com/npVividasPlayer: C:\Program Files\Vividas\Player\npVividasPlayer.dll File not found
FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer10: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer10: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
[2009-10-28 16:50:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
[2010-05-24 21:49:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Fighters
[2010-02-28 15:17:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\G DATA

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. W GrantPerms wklej co poniżej i klik w Unlock.

 

C:\WINDOWS\system32\drivers\etc\hosts

 

Następnie wykonaj reset pliku HOSTS do postaci domyślnej (aktualnie złe atrybuty i zawartość uwzględniająca protokół IPv6, który nie wygląda na obecny). Posłuż się automatem Fix-it z KB972034.

 

3. Porządki po narzędziach: w AdwCleaner Uninstall + w OTL Sprzątanie + przez SHIFT+DEL skasuj C:\Documents and Settings\user\DoctorWeb

 

4. Odinstaluj Spelling Dictionaries Support For Adobe Reader 9 (brak głównej aplikacji w systemie, ale ten komponent to właśnie powód odczytu "out of date" w Security Check). Zaktualizuj Firefox oraz Internet Explorer. Tu zresztą coś się działo z Internet Explorer, w nagłówku IE6 ale na dysku jest folder deinstalatora IE8, a Dziennik zdarzeń dręczy błędy relatywne do pozostałości IE8 w rejestrze:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

 

[2012-06-19 20:05:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8

 

Error - 30-cze-2012 10:59:40 | Computer Name = HOMEPC | Source = Userenv | ID = 1041

Description = System Windows nie może wykonać kwerendy wpisu rejestru DllName dla

aplikacji {7B849a69-220F-451E-B3FE-2CB811AF94AE}, która nie zostanie załadowana.

Prawdopodobną przyczyną jest błąd rejestracji.

 

Error - 30-cze-2012 10:59:40 | Computer Name = HOMEPC | Source = Userenv | ID = 1041

Description = System Windows nie może wykonać kwerendy wpisu rejestru DllName dla

aplikacji {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}, która nie zostanie załadowana.

Prawdopodobną przyczyną jest błąd rejestracji.

 

5. W Dzienniku zdarzeń powiela się też błąd:

 

Error - 30-cze-2012 11:02:16 | Computer Name = HOMEPC | Source = Service Control Manager | ID = 7022

Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

Start > Uruchom > services.msc, usłudze HP CUE DeviceDiscovery przestaw Typ uruchomienia na Wyłączona.

 

6. Czyszczenie folderów Przywracania systemu: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...