Problem z wirusami #2

[Manierisme]

Witam. Moje posty "na dzień dobry" mogłyby zabrzmieć podobnie jak dwie wiadomości ziomala11 (Temat: "Problem z wirusami"), czyli:

"ZłapałAm jakiegoś wirusa który zablokował mi antyvira,muli neta i wyświetla jakieś fałszywe strony w przeglądarce.PrzeskanowałAm system skanerem online ESET (...).Czy ktoś może mi pomóc?"

*Także mam na myśli: Win32/Sirefef.CH trojan (System operacyjny)

"MIAŁAM Avasta (...) BYŁ zablokowany.SkanowałAm Eset skaner online bo to tylko taką stronę udało mi się otworzyć"

Temat podobny, ale jak wiadomo, rozwiązania mogą być inne. Dodaję, żem żółtodziób jeżeli chodzi o sprawy techniczne, więc proszę o pomoc i o pewną cierpliwość Przestraszyłam się wcześniej nawet słowa "log".

Dodaję logi:
Dostępne tylko dla zarejestrowanych użytkowników (DDS)
Dostępne tylko dla zarejestrowanych użytkowników (Attach)
Dostępne tylko dla zarejestrowanych użytkowników (OTL)
Dostępne tylko dla zarejestrowanych użytkowników (Extras)

Więcej nie zamieszczam, poczekam na sugestie.

[kominekl]

Win32/Sirefef.CH trojan
MOD - [2008-01-21 03:24:02 | 000,223,232 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - %SystemRoot%\System32\winrnr.dll File not found
File not found -- C:\Windows\System32\

Jest tu paskudna infekcja rootkit ZeroAccess.

1. Odinstaluj -> Ask Toolbar, Conduit Engine, uTorrentBar Toolbar i "popraw" deinstalacje Avast`a tym -> Dostępne tylko dla zarejestrowanych użytkowników.
2. Uruchom Kaspersky TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm i przedstaw, co on widzi. Jeśli cokolwiek wykryje, przyznaj akcję Delete lub tam, gdzie się będzie dało Cure. Log zaprezentuj.

[Manierisme]

Ask Toolbar, Conduit Engine, uTorrentBar Toolbar- odinstalowane
Deinstalacja Avast'a- poprawiona
Wyniki z Kaspersky TDSSKiller (nic nie kasowałam): Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Pobierz i uruchom zgodnie z wytycznymi ComboFix -> http://www.hotfix.pl/articles.php?article_id=41. Narzędzie powinno zwrócić już na początku uruchomienia (choć nie musi), że wyczuwa ZeroAccess.

[Manierisme]

ComboFix wyświetlił informację, że powinnam przed skanowaniem wyłączyć dwa programy, które mogą przeszkadzać:
antivirus: PC-f67f7b92452a73bc7d
antispyware: avast! Antivirus
Nie mogę ich odnaleźć. *W tym programie do deinstalowania pewnie źle zrobiłam, bo zostawiłam pierwszy rodzaj avasta, który był na liście i, nie mogąc znaleźć odpowiedniego folderu z Program Files (wyszukiwarka programów też nic nie wykazała), zostawiłam okno dotyczące folderów puste, po czym kliknęłam "Uninstall".

[kominekl]

Zobacz, czy w trybie awaryjnym też jest ten komunikat, a jeśli tak to po prostu przejdź dalej do skanowania głównego. Jak coś to "popraw" deinstalację Avast`a tym -> Dostępne tylko dla zarejestrowanych użytkowników.

[Manierisme]

Racja, program był wyczulony na ZeroAccess.
A wyniki skanowania w ComboFix są takie: Dostępne tylko dla zarejestrowanych użytkowników

W momencie kiedy klikam na ikonę Internet Explorer, bądź chcę się dostać do Panelu Sterowania wyświetla mi się w obu przypadkach: "Wykonano próbę niedozwolonej operacji na kluczu rejestru, który został oznaczony do usunięcia"...
(Piszę z innego komputera)

[kominekl]

Wykonano próbę niedozwolonej operacji na kluczu rejestru, który został oznaczony do usunięcia

To częste zjawisko w przypadku Combofix`a. Restart pomaga.

A wyniki skanowania w ComboFix są takie: Dostępne tylko dla zarejestrowanych użytkowników

Można usuwać dalej Combofix`em, ale użyjemy do tego OTL`a. Jednak przed tym chciałbym zobaczyć nowe logi z Niego. Podaj nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.

[Manierisme]

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Przepraszam, że się troszeczkę wtrącę:

c:\windows\$NtUninstallKB57984$ . . . . nie udało się usunąć

Wątpię, by OTL potrafił to usunąć, tym bardziej, że OTL nawet tego nie potrafi dostrzec.
ComboFix tego nie mógł usunąć, bo obiekt jest zablokowany.
Trzeba najpierw usunąć blokadę:
Uruchom Dostępne tylko dla zarejestrowanych użytkowników i w oknie wklej:

c:\windows\$NtUninstallKB57984$

Zastosuj opcję Unlock.
Zrestartuj komputer.

Dalsze usuwanie poda oczywiście prowadzący temat @kominekl

F.
.

[kominekl]

Przepraszam, że się troszeczkę wtrącę:

c:\windows\$NtUninstallKB57984$ . . . . nie udało się usunąć

Wątpię, by OTL potrafił to usunąć, tym bardziej, że OTL nawet tego nie potrafi dostrzec. ComboFix tego nie mógł usunąć, bo obiekt jest zablokowany. Trzeba najpierw usunąć blokadę: Uruchom Dostępne tylko dla zarejestrowanych użytkowników i w oknie wklej:

c:\windows\$NtUninstallKB57984$

Zastosuj opcję -> Unlock, a następnie zrestartuj komputer.

Nic się nie stało . Mój poprzedni post mógł mylnie wskazywać na to, że to przeoczyłem. Reakcje OTL nie do końca można przewidzieć, dlatego też ją sprawdzimy. Co do niemożności usuwania tego Combofix`em to fakt. To jest taka sama sytuacja, jak z zablokowanymi kluczami SPTD. Zgadzam się, co do potrzeby zdjęcia blokady GrantPerms`em. Manierisme wykonaj to.

Następnie odinstaluj -> 4shared Toolbar i VeohPlugin.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

SRV - File not found [Auto | Stopped] -- -- (UleadBurningHelper)
SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService)
SRV - File not found [On_Demand | Stopped] -- -- (McSysmon)
SRV - File not found [Unknown | Stopped] -- -- (McShield)
SRV - File not found [Auto | Stopped] -- -- (LightScribeService)
SRV - File not found [Auto | Stopped] -- -- (gusvc)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O15 - HKU\S-1-5-21-4191195376-3407722352-3102381388-1000\..Trusted Domains: mks.com.pl ([www] https in Zaufane witryny)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} Dostępne tylko dla zarejestrowanych użytkowników (Microsoft Office Template and Media Control)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (MksSkanerOnline Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} Dostępne tylko dla zarejestrowanych użytkowników (OnlineScanner Control)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_03)
O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} Dostępne tylko dla zarejestrowanych użytkowników (CAScanner Control)
@Alternate Data Stream - 64 bytes -> C:\Users\Lidia\Desktop\GODS&MONSTERS.avi:TOC.WMV
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:FA5F15C4
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:Files
C:\Users\Lidia\AppData\Local\temp
C:\Program Files\Google\Update
C:\$RECYCLE.BIN
C:\Windows\temp
C:\Users\Lidia\AppData\Local\2e4a3335
C:\Windows\tasks\*.job
C:\Users\Lidia\AppData\Roaming\wklnhst.dat
C:\Users\Lidia\AppData\Roaming\ArcaBit
C:\Users\Lidia\AppData\Roaming\ArcaVirMicroScan
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth Manager.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
c:\windows\$NtUninstallKB57984$
c:\users\Default\AppData\Local\temp
c:\users\Lidia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
netsh winsock reset /C

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"00TCrdMain"=-
"Desktop SMS"=-
"HSON"=-
"NeroFilterCheck"=-
"RtHDVCpl"=-
"SmoothView"=-
"StartCCC"=-
"SunJavaUpdateSched"=-
"toolbar_eula_launcher"=-
"topi"=-
"TPwrMain"=-
"UnlockerAssistant"=-
"Adobe Reader Speed Launcher"=-
"GrooveMonitor"=-
[HKEY_USERS\S-1-5-21-4191195376-3407722352-3102381388-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
"GameXN (news)"=-
"GameXN (update)"=-
"WindowsWelcomeCenter"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=-
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
"GameXN (update)"=-
"GameXN (news)"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00E7B009-B920-4AB0-98B2-296FFAE932CD}"=-
"{03291E8F-8F2F-4370-93C2-C3DA707CBD7B}"=-
"{0331B691-8406-4417-A222-1B467DE5F0B6}"=-
"{0D1925CF-6D77-483F-ABC1-74321BF92013}"=-
"{0E39F971-4E49-42B7-B9EA-C1FB0D4AAB14}"=-
"{5F03988D-4A55-4594-A36C-E3DAD8C412F2}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ESET Online Scanner]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Manierisme]

Zatrzymałam się na etapie usuwania 4shared Toolbar i VeohPlugin. Usunęłam (rzekomo, bo nie wiem czy gdzieś jeszcze po nim ślad nie został) Veoh Video Compass. Ani zwykła wyszukiwarka komputerowa, ani Glary Untilities nie wychwytuje 4shared Toolbar. Na oficjalnej stronie piszą, żeby wyszukać nazwę 4shared.com toolbar z listy programów w panelu sterowania i odinstalować. Nie było jej. Już wcześniej chciałam usunąć wyżej wspomniany badziew i np. Babylon Search (!). Sprytnie się wgryzają.

*Znalazłam sama 4shared Toolbar w Program Files, ale wyświetla się wiadomość, że nie mogę odinstalować ze względu na zależność z Internet Explorer. Weszłam na zarządzanie dodatkami i jest już NIBY wyłączony... Bo informacja ta sama przy wyrzucaniu.
*A Babylon (też znalazłam sama), zgniłek jeden, siedzi w AppData\Local\Babylon, AppData\LocalLow\BabylonToolbar, AppData\Roaming\Babylon... Ale nie wiem czy samo sprzątnięcie folderów załatwi sprawę.

[kominekl]

Z folderów do wywalki to -> AppData\LocalLow\BabylonToolbar. Resztę usunę "logistycznie". Przejdź dalej.

[Manierisme]

Log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników
Logi ze skanowania: Dostępne tylko dla zarejestrowanych użytkowników (OTL)
Dostępne tylko dla zarejestrowanych użytkowników (Extras)

[kominekl]

W Notatniku wklej:

Folder::
c:\windows\$NtUninstallKB57984$

Plik -> zapisz, jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe.


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

Przeciągnij i upuść plik -> CFScript.txt na ikonkę ComboFix.exe. Powinno rozpocząć się usuwanie, po którym daj log na forum.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O3 - HKLM\..\Toolbar: (4shared Toolbar) - {95080B13-AA71-4EE8-B951-7E98221E1ED5} - C:\Program Files\4shared Toolbar\4sharedbar.dll (New IT Solutions Ltd)
O8 - Extra context menu item: &4shared Search - C:\Program Files\4shared Toolbar\4sharedbar.dll (New IT Solutions Ltd)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found

:Files
C:\Program Files\4shared Toolbar
C:\Users\Lidia\AppData\Local\Temp
C:\Windows\temp
C:\$RECYCLE.BIN
C:\Windows\ERDNT
C:\Qoobox
C:\ComboFix

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A03F32BA-83F1-46A1-B55D-660CE0C2E605}"=-
"{F5C4D426-3086-4237-8194-527F5082CD62}"=-
"TCP Query User{355FD0B6-B988-4701-8C45-5468339F4F96}C:\program files\veoh networks\veohwebplayer\veohwebplayer.exe"=-
"UDP Query User{42AA9BED-85AD-4A8C-B2FF-B1BCC1FAABFE}C:\program files\veoh networks\veohwebplayer\veohwebplayer.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.