Trojan w pliku csrss.exe

Post10 sie 2010, 06:43

Mam pewien problem. Od kilku dni wyskakuje mi informacja o trojanie w pliku csrss.exe jednak znajduje się on w systemie32 i nie wiem jak sobie z nim poradzić i co mogło być przyczyną zainfekowania.
Oto logi:
Attach -> Dostępne tylko dla zarejestrowanych użytkowników
DDA -> Dostępne tylko dla zarejestrowanych użytkowników
OTL -> Dostępne tylko dla zarejestrowanych użytkowników
Kilka razy skanowałam programem OTL, ale ani razu nie wyskoczył mi dokument Extras.txt, mam próbować dalej czy nie jest on tak bardzo potrzebny?

Post10 sie 2010, 07:38

Daj logi z DDS+OTL+GMER zgodnie z regulaminem działu bezpieczeństwo.

Strona WWW · Post10 sie 2010, 12:28

wklej w OTL i naciśnij wykonaj skrypt:

:Processes
killallprocesses

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll ()
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: csrcs = C:\WINDOWS\system32\csrcs.exe ()
O9 - Extra Button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.489.0\ShopperReports.dll File not found
O9 - Extra Button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.489.0\ShopperReports.dll File not found
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O20 - HKLM Winlogon: Shell - (csrcs.exe) - C:\WINDOWS\System32\csrcs.exe ()
O33 - MountPoints2\{2848f6d6-9ae1-11df-a8ba-001f3ad2f2c7}\Shell\AutoRun\command - "" = F:\iyyjvi.exe -- File not found
O33 - MountPoints2\{2848f6d6-9ae1-11df-a8ba-001f3ad2f2c7}\Shell\explore\Command - "" = F:\iyyjvi.exe -- File not found
O33 - MountPoints2\{2848f6d6-9ae1-11df-a8ba-001f3ad2f2c7}\Shell\open\Command - "" = F:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\AutoRun\command - "" = G:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\explore\Command - "" = G:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\open\Command - "" = G:\iyyjvi.exe -- File not found
O33 - MountPoints2\{f0265698-8c3c-11df-a882-001f3ad2f2c7}\Shell\AutoRun\command - "" = F:\p3vwxx.exe -- File not found
O33 - MountPoints2\{f0265698-8c3c-11df-a882-001f3ad2f2c7}\Shell\open\Command - "" = F:\p3vwxx.exe -- File not found
@Alternate Data Stream - 133 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
[2010-08-09 11:32:34 | 000,001,607 | RHS- | C] () -- C:\WINDOWS\System32\autorun.i
[2010-08-09 11:32:34 | 000,000,804 | RHS- | C] () -- C:\WINDOWS\System32\autorun.in

:Files
C:\Program Files\DAEMON Tools Toolbar
C:\khy
C:\khx

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[start explorer]
[Reboot]

Dajesz log z usuwania i nowy log z OTL

Post10 sie 2010, 16:22

Mam nadzieję, że o to chodziło:
To wyskoczyło po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
A to po ponownym zeskanowaniu: Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post10 sie 2010, 16:34

wklej w OTL i nacisnij wykonaj skrypt:

:OTL
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185
[2010-07-29 13:04:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\extensions\DTToolbar@toolbarnet.com
[2010-04-15 18:23:31 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\ask.xml
[2010-08-03 07:39:05 | 000,002,425 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\askcom.xml
[2010-07-29 13:04:47 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\daemon-search.xml
O8 - Extra context menu item: Download all by FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O8 - Extra context menu item: Download by FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: Ściągnij przy poomocy FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O15 - HKCU\..Trusted Domains: kuaiche.com ([software] http in Zaufane witryny)

:Commands
[emptytemp]

następnie naciśnij w OTL sprzątanie, przeskanuj dodatkowo system programem malwarebytes, oraz przeczyść komputer programem ccleaner

Post10 sie 2010, 18:34

Ok, zrobiłam wszystko tak jak napisałeś.
Mam teraz coś tu wstawić, żebyś mógł sprawdzić czy już jest dobrze?

Post10 sie 2010, 19:07

C:\Program Files\QuestDns\questdns.exe

Czy to Twój program?

Jeśli nie instalowałaś tego Reklamiarza świadomie, to zrobisz to:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
MOD - [2010-08-02 17:43:52 | 000,581,632 | ---- | M] () -- C:\Program Files\QuestDns\questdns.dll
SRV - [2010-08-02 17:42:32 | 000,057,608 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\QuestDns\questdns111.exe -- (QuestDns Service)
[2010-08-02 22:11:31 | 000,000,000 | ---D | M] (QuestDns) -- C:\Program Files\Mozilla Firefox\extensions\{C91E1C68-B60A-4C9F-B53B-AAAEF0E7EF97}
O2 - BHO: (ShopperReports) - {100EB1FD-D03E-47fd-81F3-EE91287F9465} - C:\Program Files\ShopperReports3\bin\3.0.489.0\ShopperReports.dll File not found
[2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
[2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\BearShareWebSearch.xml
[2010-03-24 16:12:32 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\conduit.xml
[2010-08-02 22:10:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Eruruu\Dane aplikacji\ShopperReports3

:Files
C:\Documents and Settings\All Users\Dane aplikacji\QuestDns\questdns111.exe
C:\Program Files\QuestDns\questdns.exe
C:\Documents and Settings\All Users\Dane aplikacji\QuestDns
C:\Program Files\QuestDns
C:\Program Files\ShopperReports3

:Commands
[emptytemp]
[clearallrestorepoints]

Kliknij w Wykonaj Script. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

Strona WWW · Post10 sie 2010, 19:08

nie usuwałem, ponieważ nie byłem pewnyco to jest

Post10 sie 2010, 20:08

To tak, po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
I po ponownym skanowaniu -> Dostępne tylko dla zarejestrowanych użytkowników
Tym razem wyskoczył mi ten dokument Extras.txt, więc też go wkleiłam -> Dostępne tylko dla zarejestrowanych użytkowników

Post10 sie 2010, 20:36

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O33 - MountPoints2\{b7b51918-4a4f-11df-a74d-001f3ad2f2c7}\Shell\AutoRun\command - "" = G:\seUNRh.ExE -- File not found
O33 - MountPoints2\{b7b51918-4a4f-11df-a74d-001f3ad2f2c7}\Shell\opEn\cOMmAnD - "" = G:\sEuNRh.exE -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\AutoRun\command - "" = H:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\explore\Command - "" = H:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\open\Command - "" = H:\iyyjvi.exe -- File not found
[2010-08-02 22:26:32 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"QuestDns"=-
"ShopperReportsSA"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Ponieważ w logu widać ślady infekcji pendrivowej, więc użyj USBFix >Dostępne tylko dla zarejestrowanych użytkowników
Kliknij w nim na przycisk DELETION.
Daj raport, który się pokaże.

F.

Post11 sie 2010, 06:53

A więc:
UsbFix -> Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
I po ponownym skanowaniu -> Dostępne tylko dla zarejestrowanych użytkowników

Post11 sie 2010, 12:22

A więc jednak USBFix miał co usuwać.

http://fr.msn.com/

Czy to sama ustawiłaś jako stronę startową?
Podejrzewam, że nie sama, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - HKLM\software\mozilla\Firefox\extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.489.0\firefox\firefoxtoolbar\extensions

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.stronastartowa.com/"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.stronastartowa.com/"

:Commands
[emptytemp]

Kliknij w Wykonaj Script.
Dałem tu inną stronę startową, ale oczywiście potem możesz sobie zmienić na dowolną.

W USBFix kliknij na przycisk UNINSTALL.

F.

Post11 sie 2010, 14:26

Jeden post został usunięty, ale już wcześniej zrobiła to co było tam napisane i nie wiem czy potrzebnie :oops:

Ale mimo to wkleję te logi:

Malwarebytes -> Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post11 sie 2010, 14:32

usunęło się więc powinno być czysto

Post11 sie 2010, 17:53

Jak to dobrze, że jest coś takiego jak forum...
Mam nadzieję, że gdy w przyszłości będę miała podobny problem (odpukać), również uzyskam fachową pomoc

A tym czasem, bardzo Wam dziękuję! :jupi: