empacher
(Zebrowskil)
31 Marzec 2012 15:59
#1
Witam. Mam podobny problem do kolegi - Antivirus Protection 2012. Proszę o pomoc…
OTL:
http://wklej.to/PXVsI
http://wklej.to/DjhQf
http://wklej.to/JjIVJ
Zawsze zakładaj własny temat w dziale Bezpieczeństwo. Zasady działu. Podpięcia lądują w śmietniku. Ze względu na rodzaj infekcji temat wydzielam. Dodatkowo ładujesz jakieś skrypty w ogóle nie przeznaczone dla Ciebie.
Proszę pobrać i użyć combofixa. Instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Uruchom program dwuklikiem, jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum.
empacher
(Zebrowskil)
31 Marzec 2012 18:08
#3
Sytuacja jest taka, że ściągam Combofixa, odpalam dwuklikiem i on jakby rozpakowuje ale później nic się nie dzieje - program się nie uruchamia (wyłączyłem ochrony, odinstalowałem wirtualne dyski - zgodnie ze wskazówkami)…
A to co dałem wcześniej to na podstawie tego co czytałem w innych postach - raport z OTL przed usuwaniem, dwa następne po restarcie i wciśnięciu “skanuj”.
Dobra będziemy usuwać po kawałku. Najpierw fałszywy antywirus itp.
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL MOD - [2012-03-31 12:59:35 | 000,118,784 | RHS- | M] () – C:\WINDOWS\system32\mgking0.dll MOD - [2012-03-31 12:59:33 | 000,085,504 | RHS- | M] () – C:\WINDOWS\system32\vbsdfe0.dll MOD - [2012-03-31 12:59:33 | 000,084,992 | RHS- | M] () – C:\WINDOWS\system32\gasretyw0.dll O4 - HKCU…\Run: [22f5rpurcwk3] C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (HyterSec protsoftware) O4 - HKCU…\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (HyterSec protsoftware) O4 - HKCU…\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (HyterSec protsoftware) O4 - HKCU…\Run: [api32] C:\DOCUME~1\JA\USTAWI~1\Temp\apiqq.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\JA\USTAWI~1\Temp\herss.exe File not found O4 - HKCU…\Run: [ChomikBox] C:\Program Files\ChomikBox\ChomikBox.exe File not found O4 - HKCU…\Run: [dso32] C:\DOCUME~1\JA\USTAWI~1\Temp\dsoqq.exe File not found O4 - HKCU…\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe () O4 - HKCU…\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O4 - HKCU…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O4 - HKCU…\Run: [nod32] C:\DOCUME~1\JA\USTAWI~1\Temp\nodqq.exe File not found O4 - HKCU…\Run: [RMF FM Miasto Muzyki] File not found O4 - HKCU…\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe () O28 - HKLM ShellExecuteHooks: {B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} - C:\WINDOWS\system32\softqq0.dll () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main0.dll () O28 - HKLM ShellExecuteHooks: {BD344AF4-67AB-4E19-A630-7435587D320B} - C:\WINDOWS\system32\ahndoor0.dll () O32 - AutoRun File - [2012-03-31 13:06:07 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2012-03-31 13:06:08 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2012-03-31 13:06:08 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] [2010-11-30 21:05:49 | 000,123,392 | RHS- | C] () – C:\WINDOWS\System32\arking1.dll [2010-11-29 13:07:16 | 000,168,960 | RHS- | C] () – C:\WINDOWS\System32\arking.exe [2010-11-29 13:07:16 | 000,115,798 | RHS- | C] () – C:\WINDOWS\System32\arking0.dll [2010-11-26 15:57:33 | 000,118,784 | RHS- | C] () – C:\WINDOWS\System32\mgking1.dll [2010-11-24 12:30:29 | 000,182,272 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe [2010-11-24 12:30:29 | 000,118,784 | RHS- | C] () – C:\WINDOWS\System32\mgking0.dll [2012-03-21 16:34:45 | 000,182,272 | RHS- | C] () – C:\w9.exe [2012-03-20 19:01:26 | 000,112,128 | RHS- | C] () – C:\12gn6id2.exe [2012-03-27 19:14:03 | 002,203,470 | RHS- | C] () – C:\m9ma.exe [2012-03-30 20:00:37 | 000,000,000 | —D | C] – C:\Documents and Settings\JA\Menu Start\Programy\Antivirus Protection 2012 [2012-03-30 20:00:37 | 000,000,000 | —D | C] – C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection 2012 :Files C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection 2012 D:\w9.exe D:\12gn6id2.exe D:\m9ma.exe E:\w9.exe E:\12gn6id2.exe E:\m9ma.exe :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie pobierz ponownie Combofixa (to konieczne gdyż ta kopia którą masz pewno została już uszkodzona) wejdź w tryb awaryjny windows i spróbuj uruchomić dwuklikiem. Jak się uda i narzędzie skończy pracę pokaż raport na forum
empacher
(Zebrowskil)
1 Kwiecień 2012 14:24
#5
Log z usuwania OTL poniżej, natomiast tym razem po rozpakowaniu Combofixa (w trybie awaryjnym) pojawił się komunikat: Warning!! Do not run ComboFix in Compatibility Mode. Doing so may damage the machine.
http://wklej.to/cjLK9
W takim razie proszę o raport Gmera instrukcja http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
oraz nowy raport OTL Uruchom OTL klikasz Skanuj pokaż nowy raport na forum
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL O4 - HKCU…\Run: [22f5rpurcwk3] C:\Documents and Settings\JA\Ustawienia lokalne\Temp\11071234.exe (Joirefers secusoft) O4 - HKCU…\Run: [Antivirus Protection] C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection\AntivirusProtection2012.exe (Joirefers secusoft) O4 - HKCU…\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection\securityhelper.exe (Joirefers secusoft) O4 - HKCU…\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection\securitymanager.exe (Joirefers secusoft) [2012-04-01 19:22:12 | 000,000,000 | —D | C] – C:\Documents and Settings\JA\Menu Start\Programy\Antivirus Protection [2012-04-01 19:22:11 | 000,000,000 | —D | C] – C:\Documents and Settings\JA\Dane aplikacji\Antivirus Protection :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Teraz rootkit zeroaccess
Proszę użyć Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz Skip i zaprezentuj raport na forum
Przygotuj sobie dodatkowo płytkę OTLPe będziemy usuwać z zewnątrz instrukcja http://www.fixitpc.pl/topic/4414-diagno … h-windows/
empacher
(Zebrowskil)
2 Kwiecień 2012 14:21
#9
Log z usuwania:
http://wklej.to/B6Rtu
A co do rootkit zeroaccess to nie do końca rozumiem… Miałem to gdzieś wkleić ?
Skan z Kasperskiego poniżej.
http://wklej.to/Ipe99
A co do płytki OTLPe to też się pojawia problem bo w moim komputerze nie działa CD…
Uruchom ponownie Kasperskiego jak znajdzie
Wybierasz opcje Cure
Jak znajdzie
wybierasz Skip
Jak znajdzie
Wybierasz Delete
Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego
Klikasz Unlock Jak narzędzie skończy pracę
Pobierz ponownie OTL
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL SRV - [2004-08-03 23:44:28 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] – C:\WINDOWS\system32\logonsvcid.dll – (wdelmgr20) :Files netsh winsock reset /C fsutil reparsepoint delete C:\WINDOWS$NtUninstallKB21836$ /C C:\WINDOWS$NtUninstallKB21836$ C:\WINDOWS\System32\dds_log_ad13.cmd :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL wklej do niego
klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Dobrze pomału do przodu. Odinstaluj BabylonToolbar Panel sterowania - Dodaj usuń programy
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL [2012-01-08 23:06:39 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\8w8ot6ji.default\extensions\ffxtlbr@babylon.com [2012-03-23 11:48:17 | 000,002,203 | ---- | M] () – C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\8w8ot6ji.default\searchplugins\MyStart Search.xml [2010-10-08 16:31:38 | 000,001,580 | ---- | M] () – C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\8w8ot6ji.default\searchplugins\web-search.xml O4 - HKLM…\Run: [intelAgent] C:\WINDOWS\Temp\temp68.exe File not found O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main0.dll File not found [2012-04-02 17:19:47 | 000,000,000 | —D | C] – C:\TDSSKiller_Quarantine [2012-03-31 19:51:18 | 000,000,000 | --SD | C] – C:\32788R22FWJFW [2012-03-26 12:44:20 | 000,000,000 | -HSD | C] – C:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\9ae8305b [2012-04-01 15:47:49 | 000,085,504 | RHS- | M] () – C:\WINDOWS\System32\vbsdfe0.dll [2012-04-01 15:47:49 | 000,084,992 | RHS- | M] () – C:\WINDOWS\System32\gasretyw0.dll [2012-04-01 19:22:12 | 000,001,934 | ---- | C] () – C:\Documents and Settings\JA\Menu Start\Programy\Antivirus Protection.lnk [2012-04-01 19:22:12 | 000,001,928 | ---- | C] () – C:\Documents and Settings\JA\Pulpit\Antivirus Protection.lnk :Files netsh winsock reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Wykonaj pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak coś wykryje nic nie usuwaj tylko pokaż raport z wykrytych infekcji na forum. jak nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189
Nie zresetowano winsock
Spróbujemy tak Start - Uruchom - wpisujesz cmd i Enter W linii komend wpisz
netsh winsock reset i Enter Po tym restart systemu
Po restarcie uruchom ponownie OTL klikasz Skanuj dla potwierdzenia pokaż nowy raport na forum. Jeśli się nie uda będziemy tworzyć fixa
empacher
(Zebrowskil)
2 Kwiecień 2012 19:44
#15
Co do KVRT niestety wyskakuje jakiś błąd podczas próby skanowania. Sugeruje restart systemu lub skan w trybie awaryjnym (restartu oczywiście próbowałem - nic nie daje).
A co do winsock`a pojawia się komunikat, że nie rozpoznaje komendy ‘netsh’, więc chyba też nic z tego, ale na wszelki wypadek log ze skanu poniżej:
http://wklej.to/5EJDi
Proszę wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html (zainstaluj wersje darmową nie testową) Pokaż raport niego na forum.
Cały folder C:\ _OTL usuń z dysku przez Shift+ Del jak się nie będzie dało pisz
Proszę usunąć wszystko co znalazł Malwarebytes
Fix rejestru przygotuje jak będę miał dostęp do XP. Wtedy przejdziemy do końcowych kroków, ale na teraz Czy ten błąd po komendzie w cmd to
Proszę sprawdzić czy masz na dysku plik netsh.exe C:\windows\system32\netsh.exe Jeśli go nie ma to pozostaje ten sposób na reset Winsock poprzez usunięcie kluczy z rejestru http://support.microsoft.com/kb/811259/en-us Windows XP without Service Pack 2 instructions Restart komputera. Wykonaj jednak wcześniej kopię zapasową rejestru.
Następnie pokaż nowy raport OTL
empacher
(Zebrowskil)
3 Kwiecień 2012 12:03
#19
Pliku netsh.exe nie było. Zrobiłem wszystko zgodnie ze wskazówkami i chyba się udało…
http://wklej.to/J711Q
Tak jest dobrze.
Usuniemy Kasperskiego pozostałości po użytych narzędziach itp
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL DRV - [2012-04-02 17:24:05 | 000,475,736 | ---- | M] (Kaspersky Lab) [File_System | System | Running] – C:\WINDOWS\system32\drivers\9585199drv.sys – (9585199drv) DRV - [2012-04-02 17:24:05 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\70168600.sys – (70168600) DRV - [2012-04-02 17:24:05 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\23816844.sys – (23816844) DRV - [2012-04-02 17:24:05 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\06445946.sys – (06445946) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=08900f19000000000000001d7d069775&tlver=1.4.19.19&affID=17160 IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=08900f19000000000000001d7d069775 IE - HKCU…\SearchScopes{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: “URL” = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=08900f19000000000000001d7d069775&tlver=1.4.19.19&affID=17160 IE - HKCU…\SearchScopes{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: “URL” = http://mystart.incredibar.com/mb115/?search={searchTerms}&loc=IB_DS&a=6R8nGrv2n7&i=26 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=toolbar2&q= ” [2012-04-02 21:34:14 | 000,475,736 | ---- | C] (Kaspersky Lab) – C:\WINDOWS\System32\drivers\9585199drv.sys [2012-04-02 21:34:13 | 000,133,208 | ---- | C] (Kaspersky Lab ZAO) – C:\WINDOWS\System32\drivers\70168600.sys [2012-04-02 21:27:22 | 000,133,208 | ---- | C] (Kaspersky Lab ZAO) – C:\WINDOWS\System32\drivers\23816844.sys [2012-04-02 21:22:58 | 000,133,208 | ---- | C] (Kaspersky Lab ZAO) – C:\WINDOWS\System32\drivers\06445946.sys :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Documents and Settings\JA\Pulpit\tdsskiller.exe C:\Documents and Settings\JA\Pulpit\setup_11.0.0.1245.x01_2012_04_02_17_24.exe C:\Documents and Settings\JA\Dane aplikacji\D41E14.dat C:\Documents and Settings\JA\Pulpit\56m8vn1l.exe C:\Documents and Settings\JA\Pulpit\GrantPerms.zip :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum.
Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną. Malwarebytes sobie zostaw. Możesz usunąć wszystko co jest w kwarantannie tego programu
Obowiązkowo do poczytania i zastosowania http://www.fixitpc.pl/topic/56-zabezpie … zenosnych/
Użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515 ](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co uznasz za stosowne
Z mojej strony to wszystko. Ponieważ był tutaj rootkit zeroaccess proszę zmienić wszystkie hasła logowania.