logi po usunięciu trojanów, w tym Trojan.IRCBot

Post18 mar 2012, 00:10

Dostałam komputer do oczyszczenia z wirusów, wykryło kilka trojanów w skanowaniu dr web rescue cd oraz kaspersky rescue cd i je usunęło. Proszę o sprawdzenie czy komputer już jest czysty.

LOGI:
DDS: Dostępne tylko dla zarejestrowanych użytkowników
ATTACH: Dostępne tylko dla zarejestrowanych użytkowników

OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników

GMER: Dostępne tylko dla zarejestrowanych użytkowników

Post18 mar 2012, 03:07

Kilka infekcji było/jest.

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2012-03-13 13:31:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\sekretariat\Menu Start\Programy\Smart Fortress 2012
[2012-03-13 13:28:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\529C53270547E07B0140E1490CDF108C
[2012-03-17 21:36:04 | 000,000,332 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job
[2012-03-17 21:36:04 | 000,000,330 | ---- | M] () -- C:\WINDOWS\tasks\systems.job
[2012-03-13 09:39:12 | 000,031,232 | -HS- | M] () -- C:\Documents and Settings\sekretariat\8b691e7c-5689.exe
[2012-03-13 09:38:26 | 000,182,788 | ---- | M] () -- C:\WINDOWS\System32\c_7265170.nls
O37 - HKU\S-1-5-21-1708537768-963894560-1801674531-1004\...exe [@ = exefile] -- Reg Error: Key error. File not found
O33 - MountPoints2\{5e60a8f2-02c2-11dc-af7b-0013d415b712}\Shell\Auto\command - "" = F:\RavMonE.exe e
O33 - MountPoints2\{5e60a8f2-02c2-11dc-af7b-0013d415b712}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\sekretariat\Dane aplikacji\rmhzb.exe) - File not found
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.4.0_03)
O4 - HKU\S-1-5-21-1708537768-963894560-1801674531-1004..\Run: [lex@hand] L:\LEXHTBAR.exe File not found
O4 - HKU\S-1-5-21-1708537768-963894560-1801674531-1004..\Run: [Windows Update Server] C:\Documents and Settings\sekretariat\8b691e7c-5689.exe ()
O4 - Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\OpenOffice.org 1.1.4.lnk = File not found
O4 - HKLM..\Run: [] File not found
MOD - [2012-03-13 09:39:12 | 000,031,232 | -HS- | M] () -- C:\Documents and Settings\sekretariat\Ustawienia lokalne\Temp\341fdef2-5689.tmp

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
[HKEY_USERS\S-1-5-21-1708537768-963894560-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Smart Fortress 2012"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

2) Daj log z MBRCheck >http://www.hotfix.pl/wykrywanie-rootkitow-w-sektorze-mbr-mbrcheck-exe-a340.htm

3) Daj log z TDSSKiller >http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm

F.

Post18 mar 2012, 08:44

Witam, dodam kilka info jakie są związane z tym komputerem. To komputer znajomej, która nas poprosiła o pomoc. Komputer w ogóle się nie uruchamiał, nawet w trybie awaryjnym, po blokowane były pliki EXE. Płyta Kasperskiego sporo usuwała co pozwoliło nam uruchomić tryb awaryjny i zastosować naprawę skojarzeń plików EXE. To co najczęściej się pojawiało to Trojan.IRCBot czyli jak dobrze kojarzę downloader innych szkodników. Możemy podejrzewać, że był on ściągnięty z Facebooka ale tego nie wiem. Jeśli znasz źródło tego szkodnika to podaj proszę, aby trochę przytrzeć nosa znajomej co by nie chodziła po dziwnych stronach.

Aha, musimy bardzo uważać na dokumenty na tym komputerze bo tam jest cały biznes.

Post18 mar 2012, 13:16

dziękuję za sprawdzenie, oto nowe logi:

log ze skryptu: Dostępne tylko dla zarejestrowanych użytkowników

ponowny skan:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
extras: Dostępne tylko dla zarejestrowanych użytkowników

MBRCheck Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników

Post18 mar 2012, 13:43

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"HijackThis" = HijackThis 2.0.2

To przestarzałe oprogramowanie. Spybot - Search & Destroy to już próchno z nieaktualizowanym silnikiem, a HijackThis jest wyparty przez OTL. Zalecam usunięcie tego oprogramowania.

O4 - HKLM..\Run: [Cobian Backup 8] C:\Program Files\Cobian Backup 8\Cobian.exe (Luis Cobian)
O4 - HKLM..\Run: [ToolBoxFX] C:\Program Files\hp\ToolBoxFX\bin\HPTLBXFX.exe (HP)

Można śmiało wyrzucić z autostartu. Szkoda pamięci. Uwzględnię to w poniższym skrypcie.

O33 - MountPoints2\{5e60a8f2-02c2-11dc-af7b-0013d415b712}\Shell\Auto\command - "" = F:\RavMonE.exe e
O33 - MountPoints2\{5e60a8f2-02c2-11dc-af7b-0013d415b712}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

To zapiska mapowania wariantu infekcji pendrive`owej RJump, jeśli się nie mylę. Należy ze wszystkimi podłączonymi pamięciami przenośnymi użyć USBFix`a -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm z opcji Deletion. Po wykonaniu zaprezentuj log/logi z jego pracy.

[2012-03-17 00:16:10 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

Proponuję się pozbyć - szkoda miejsca.

dziękuję za sprawdzenie, oto nowe logi:

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1708537768-963894560-1801674531-1004\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Neostrada TP\SearchPageURL.dll ()
IE - HKU\S-1-5-21-1708537768-963894560-1801674531-1004\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1708537768-963894560-1801674531-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
@Alternate Data Stream - 106 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2

:Files
C:\Documents and Settings\All Users\Dane aplikacji\529C53270547E07B0140E1490CDF108C
C:\84439d7aa5e72cedee6ab015ce
C:\8f38f07dbf953020a092508c40b276e1
C:\WINDOWS\tasks\SA.DAT
C:\REMOVE_THIS_FILE.livecd.swap
C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir
C:\Documents and Settings\All Users\Dane aplikacji\SSScanAppDataDir
C:\Documents and Settings\All Users\Dane aplikacji\TEMP

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Cobian Backup 8"=-
"ToolBoxFX"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\sekretariat\Ustawienia lokalne\Temporary Internet Files\Content.IE5\P639TQCA\incredimail_install[1].exe"=-
"C:\Documents and Settings\sekretariat\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHE7S9Q3\incredimail_install[1].exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post18 mar 2012, 17:58

Cobian.exe musi być ponieważ robi on kopie zapasowe zawartości dysku jest to komputer firmowy, podobnie nie ma co wyrzucać programu HP do drukarki

te linijki usunęłam ze skryptu

Kod: Zaznacz cały

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Cobian Backup 8"=-
"ToolBoxFX"=-

wyniki skryptu: Dostępne tylko dla zarejestrowanych użytkowników

otl: Dostępne tylko dla zarejestrowanych użytkowników
extras: Dostępne tylko dla zarejestrowanych użytkowników

usbfix: Dostępne tylko dla zarejestrowanych użytkowników

Post19 mar 2012, 18:48

Cobian.exe musi być ponieważ robi on kopie zapasowe zawartości dysku jest to komputer firmowy, podobnie nie ma co wyrzucać programu HP do drukarki

Można to uruchamiać ręcznie, no ale OK.

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"HijackThis" = HijackThis 2.0.2

SpyBot`a zastąpimy czymś lepszym, natomiast HijackThis zawarty jest w OTL. Odinstaluj to oprogramowanie.

logi

Po wykonaniu powyższego kroku uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

:Files
C:\WINDOWS\tasks\SA.DAT
C:\Program Files\Spybot - Search & Destroy

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Skype\Phone\Skype.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1"=-
"HijackThis"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java(TM) 7 Update 2

Odinstaluj i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników

"{AAF70000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 7.0 Professional Edition
"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE
"Foxit Reader_is1" = Foxit Reader 5.0

Odinstaluj i zainstaluj najnowszą wersję -> Adobe reader

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

Zaktualizuj Firefox`a do najnowszej wersji (Firefox -> Pomoc -> Sprawdź dostępność aktualizacji...).

Kroki końcowe.

Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.

----------------------------------------------------
Hotfix posiada swój download także proszę linkować do niego, gdyż wszystkie wymienione programy znajdują się w naszej pobieralni!
me@djohnsc