Infekcja, skrót zamiast fold. na penie

Post17 mar 2012, 18:22

Infekcja, skrót zamiast fold. na penie

Przeniosłem syf z pendriva na komputer. Nod32 i Malware wykrywają, ale nie są w stanie usunąć. Użyłem wszyskich wskazanych na forum programów diagnostycznych (logi w załącznikach). Objawy: skróty zamiast folderów na pendrive, procesy: explorer.exe i ekrn.exe obciążają mocno procesor (musiałem spróbować je wyłączyć bo procesor się strasznie grzał, naturalnie sam się włączył ekrn.exe, ale explorer.exe jest wyłączony), nie wszystkie strony wyświetlają mi się na operze przy pierwszym kliknięciu (dopiero 5 odświeżenie wyświetla stronę). Dodam jeszcze, że filmy w necie się tną, a wcześniej się nie cieły w ogóle. Po tych wszystkich testach nie mogę odtwarzać muzyki, czymkolwiek i jakkolwiek, obojętnie czym próbuję, dźwięk się tnie, idzie dalej ale przycina. Proszę o pilną pomoc.

Widzę, że załączniki coś nie bardzo działają, poprawiłem:

1) OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

2) RSIT
Dostępne tylko dla zarejestrowanych użytkowników

3) Silent Runners
Dostępne tylko dla zarejestrowanych użytkowników

4) GMER
Dostępne tylko dla zarejestrowanych użytkowników

5) MBRCheck.exe
Dostępne tylko dla zarejestrowanych użytkowników

6) TDSS Killer:
Dostępne tylko dla zarejestrowanych użytkowników

Czy naprawdę nikt z forumowiczów nie jest w stanie mi pomóc?

Logi z usbfix:
Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Post17 mar 2012, 18:37

Popraw linki, bo żaden nie działa.

Post17 mar 2012, 18:44

Już są ok.

Post17 mar 2012, 19:16

Podczas tej operacji mają być podpięte wszystkie urządzenia na których robiłeś skany USBFixem.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
[2010-04-28 11:53:46 | 000,030,720 | ---- | C] () -- C:\WINDOWS2\6816White12.dat
[2010-04-28 11:53:46 | 000,000,004 | ---- | C] () -- C:\WINDOWS2\6816Error.dat
[2010-04-28 11:53:41 | 000,030,720 | ---- | C] () -- C:\WINDOWS2\6816Dark12.dat
[2010-04-28 11:53:38 | 000,000,006 | ---- | C] () -- C:\WINDOWS2\6816Exposure.dat
[2010-04-28 11:53:38 | 000,000,003 | ---- | C] () -- C:\WINDOWS2\6816Offset.dat
[2010-04-28 11:53:38 | 000,000,003 | ---- | C] () -- C:\WINDOWS2\6816Gain.dat
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O4 - Startup: C:\Documents and Settings\Antoni\Menu Start\Programy\Autostart\Putty1(3)1.lnk = C:\Program Files\putty1(2)1.exe (Simon Tatham)
O4 - HKLM..\RunOnce: [] File not found
[2012-01-06 10:07:11 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-02-10 14:49:58 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Documents and Settings\Antoni\Dane aplikacji\Mozilla\Firefox\Profiles\mjcp44mf.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=101067&mntrId=40f01a1a000000000000000fb07665ed&q="
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ata54kw9)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a6uf9n36)
MOD - [2012-03-16 19:23:53 | 000,192,512 | ---- | M] () -- C:\Documents and Settings\Antoni\Ustawienia lokalne\temp\sfamcc00001.dll
MOD - [2012-03-16 19:23:52 | 000,172,032 | ---- | M] () -- C:\Documents and Settings\Antoni\Ustawienia lokalne\temp\sfareca00001.dll
[2011-11-19 09:55:52 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Dane aplikacji\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2010-10-12 17:46:21 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\{437292BE-95BD-4B12-B699-6D217A03ACAF}
[2010-10-14 07:08:07 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2010-10-13 19:37:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\{ECC164E0-3133-4C70-A831-F08DB2940F70}

:Files
C:\Documents and Settings\Antoni\Ustawienia lokalne\temp\sfamcc00001.dll
C:\Documents and Settings\Antoni\Ustawienia lokalne\temp\sfareca00001.dll
RECYCLER /alldrives
C:\Documents and Settings\Antoni\Dane aplikacji\3CC2.exe
C:\Documents and Settings\Antoni\Dane aplikacji\Gcgmgs.exe
RECORD.lnk /alldrives
RECORD /alldrives

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Raport z usuwania pokaż.

2. Do deinstalacji: ICQToolBar

3. W Dostępne tylko dla zarejestrowanych użytkowników z opcji DELETE. Wyświetl raport.

4. Uruchom USBFix i użyj opcji DELETION. Wklej raport.

5. Tworzysz nowe logi z OTL + logi z GMERa.
Pokazujesz końcowo:
- raport z usuwania OTL'em
- raport z usuwania AdwCleanerem
- raport z usuwania USBFixem
- nowe logi z OTL
- raport z GMERa

Post18 mar 2012, 10:03

OTL się wiesz przy wykonywaniu skryptu. 5h i nic

, 2 razy musiał wykonać twardy restart, przy 3 i 4 ten sam efekt.

Zrzut ekranu z włączonych procesów po wyłączeniu OTL i włączeniu total commandera.

Dostępne tylko dla zarejestrowanych użytkowników

Nie wiem, czy to ma znaczenie, ale do logów był podłączony tylko jeden pendrive. A potem sobie przypomniałem, że jeszcze jeden mam zainfekowany i go podpiąłem do "Deletion", tak, że 2 były podpięte już do "Deletion". Drugi pen z identycznymi objawami i identycznym problemem.

Post18 mar 2012, 14:05

Found ! I:\RECORD.lnk
Found ! C:\Documents and Settings\Antoni\Dane aplikacji\3CC2.exe
Found ! H:\Recycler\desktop.ini
Found ! H:\RECYCLER\e621ca05.exe
Found ! I:\Recycler\desktop.ini
Found ! I:\RECYCLER\e621ca05.exe

Podepnij wszystkie pamięci przenośne, jakie posiadasz i użyj USBFix`a -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm z opcji Deletion. Następnie zaprezentuj log z jego pracy.

"Free Window Registry Repair" = Free Window Registry Repair
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware wersja 1.60.1.1000
"SpyEraser_is1" = Uniblue SpyEraser
"Trojan Remover_is1" = Trojan Remover 6.8.1
"Trojancheck_is1" = Trojancheck 6

Odinstaluj to wszystko, gdyż większość z tego to szmelc, nie licząc Malwarebytes`a, który to jest jednak zainstalowany pod okresem testowym, co jest bezsensowne, bo gryzie się z antywirusem.

O4 - HKLM..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe (Hewlett-Packard )
O4 - HKLM..\RunServices: [RegisterDropHandler] C:\Program Files\TextBridge Pro 8.0\Bin\RegisterDropHandler.exe ()
O4 - Startup: C:\Documents and Settings\Antoni\Menu Start\Programy\Autostart\Opera.lnk = C:\Program Files\Opera\opera.exe (Opera Software)
O4 - Startup: C:\Documents and Settings\Antoni\Menu Start\Programy\Autostart\Putty1(3)1.lnk = C:\Program Files\putty1(2)1.exe (Simon Tatham)
"CTFMON.EXE" = "C:\WINDOWS2\system32\ctfmon.exe" [MS]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\[...]]

To zbędniki w autostarcie. Szkoda pamięci. Uwzględnię je w poniższym skrypcie.

C:\Documents and Settings\Antoni\Pulpit\[...]

Posprzątaj pulpit

.

Widzę, że załączniki coś nie bardzo działają, poprawiłem.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

SRV - [2004-08-04 13:00:00 | 000,003,584 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS2\System32\regedt32.exe -- (.EsetTrialReset)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ata54kw9)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a6uf9n36)
IE - HKU\S-1-5-21-1644491937-1202660629-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1644491937-1202660629-725345543-1004\..\URLSearchHook: - No CLSID value found
IE - HKU\S-1-5-21-1644491937-1202660629-725345543-1004\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}:6.0.27
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=101067&mntrId=40f01a1a000000000000000fb07665ed&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-02-10 14:49:58 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Documents and Settings\Antoni\Dane aplikacji\Mozilla\Firefox\Profiles\mjcp44mf.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010-07-14 11:09:32 | 000,000,000 | ---D | M] (Veoh Video Compass) -- C:\Documents and Settings\Antoni\Dane aplikacji\Mozilla\Firefox\Profiles\mjcp44mf.default\extensions\searchrecs@veoh.com
[2012-01-06 10:07:11 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\RunOnce: [] File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
@Alternate Data Stream - 155 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0CE7F3C9
@Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:63238B95
@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CB0AACC9
@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:39413AC3

:Files
C:\Documents and Settings\Antoni\Ustawienia lokalne\temp
C:\Documents and Settings\Antoni\Pulpit\RSIT.exe
C:\Documents and Settings\Antoni\Pulpit\MBRCheck.exe
C:\Program Files\trend micro
C:\rsit
C:\Documents and Settings\Antoni\Dane aplikacji\3CC2.exe
C:\WINDOWS2\temp
C:\Documents and Settings\Antoni\Pulpit\usbdeview.zip
C:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Program Files\Ask.com
C:\Documents and Settings\All Users\Dane aplikacji\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
C:\Documents and Settings\All Users\Dane aplikacji\{437292BE-95BD-4B12-B699-6D217A03ACAF}
C:\Documents and Settings\All Users\Dane aplikacji\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
C:\Documents and Settings\All Users\Dane aplikacji\{ECC164E0-3133-4C70-A831-F08DB2940F70}
C:\Documents and Settings\Antoni\Menu Start\Programy\Autostart\Opera.lnk
C:\Documents and Settings\Antoni\Menu Start\Programy\Autostart\Putty1(3)1.lnk

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"eabconfg.cpl"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"RegisterDropHandler"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATnotes.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\B Register C:]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreeCall]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantAccess]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightMail]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Media Finder]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\POP Peeper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegisterDropHandler]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StickMeUp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WD Spindown Utility]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^20Dollars2Surf.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Antoni^Menu Start^Programy^Autostart^miniNotes.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Antoni^Menu Start^Programy^Autostart^Mozilla Firefox.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Antoni^Menu Start^Programy^Autostart^Stickies.lnk]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41. Podaj raport z Niego, a następnie nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.

Post18 mar 2012, 18:54

Combofix zawiesiło się, skan miał trwać 10minut, ale po 70 minutach jeszcze nie był gotowy. W dodatku zegarek systemowy zamarł. Skan z OTL:

wklej.eu - wklej kod, paste code, paste syntax
Dostępne tylko dla zarejestrowanych użytkowników

Jeśli mam sformatować dysk to dacie znać, bo póki co to mój lap za szybko nie chodzi , a ja już drugi dzień tu siedzę, i już chyba z 8 twardych restów robiłem, nie mówiąc już o waszym wysiłku, za co bardzo dziękuję. Byle tylko syf nie przeszedłe na dysk zewnętrzny.

-- 18 mar 2012, 18:54 --

Na każdym z penów jest folder Recycler, mam go usunąć wraz z zawartością? Czy skróty też mogę? Czy peny mogę już wsadzić do innego kompa, bez ryzyka, że zarażę?

Post18 mar 2012, 19:08

Na każdym z penów jest folder Recycler, mam go usunąć wraz z zawartością? Czy skróty też mogę? Czy peny mogę już wsadzić do innego kompa, bez ryzyka, że zarażę?

Recycler = Kosz . Nie widzę żebyś podał log z USBFix.

Skan z OTL

Nie widzę logu z usuwania, oraz nowych logów. Jest tylko Extras.txt, a brakuje OTL.txt.

Combofix zawiesiło się, skan miał trwać 10minut, ale po 70 minutach jeszcze nie był gotowy.

W takim razie Go sobie odpuść.

Reasumacja.

Uzupełnij braki, abym mógł kontynuować leczenie.

Post18 mar 2012, 19:45

USB

Dostępne tylko dla zarejestrowanych użytkowników

OTL
Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

-- 18 mar 2012, 19:45 --

OTL log z usuwania:

Dostępne tylko dla zarejestrowanych użytkowników

Post18 mar 2012, 20:49

Logi.

Zagramy tu trochę inaczej. Postępuj wedle punktów.

1. Wyczyść punkty przywracania -> Dostępne tylko dla zarejestrowanych użytkowników
2. Pobierz Dr.Web CureIt -> Dostępne tylko dla zarejestrowanych użytkowników -> Zapisz Go pod losową nazwą i rozszerzeniem (np. -> aefve414.com). Wykonuj Nim pełne skanowania dotąd dopóki nic nie będzie znajdywał. Lecz, co się da, a resztę usuwaj.
3. Podaj raport z OTL -> http://hotfix.pl/articles.php?article_id=143 i TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm

Linkujemy do portalu HF lub linków producentów

Post19 mar 2012, 16:42

Przywracanie wyczyszczone.

Dr.Web -> szybkie skanowanie, wykrył jeden plik (gcmgs.exe - usunięty), przy ponownym skanowaniu szybkim się zawiesił -> twardy restart. Nie wiem czy ma sens wykonywać pełne, boję się o dysk, w tak krótkim czasie tyle twardych restartów?

OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

-- 19 mar 2012, 07:59 --

Dostępne tylko dla zarejestrowanych użytkowników

Peny zdrowe? Coś mam z nimi jeszcze robić? Mogę odpiać?

-- 19 mar 2012, 11:24 --

-- 19 mar 2012, 11:25 --

Pendrive poszły pod linuxa i zostały usunięte zainfekowane pliki. Nie podłączam pod XP, co dalej mam zrobić?

-- 19 mar 2012, 13:23 --

co mam podać, jakie logi, chodzi już o sam system, który jest zainfekowany?

-- 19 mar 2012, 16:41 --

explorer jest dalej mocno obciążony i procesor pracuje na maxa obciążenia Co mogę jeszcze zrobić? muzyka i wszystko co jest związane się tnie, słyszę pogłos (wątpie, że to co nie tak ze sterownikami), procesor jakby nie dawał rady tego obsłużyć, bo coś go obciąża (skacze cały czas między 50 a 4% pomimo, że mam wszystko pozamykanie

-- 19 mar 2012, 16:42 --

nawet myszka mi się wiesza, stawia opór jak przesuwam