Bekon
(Bekon)
24 Październik 2009 13:51
#1
Witam problem jak w temacie, wczoraj miałem 211 infekcji na komputerze zredukowałem je do około 40 z czego te wpisy to sprawa 2 infekcji możne…
najgorzej wygląda folder o nazwie 3721 w c:\program files\ … (infekcja to helper.dll) opis o\usuwania znalazłem tutaj jednak nie poskutkował, proszę o szybka pomoc.
opis problemu tutaj:
http://www.mac-net.com/296485.page
powiązany temat:
http://www.searchengines.pl/Rootkity-made-in-China-t87318.html a wiec to rootkit
Proszę Wszystkich co mieli z nim do czynienia o pomoc, antywirusy nie działają nie potrafią naprawić, tylko wykrywają infekcje.
To wirus który spowalnia system i pobiera inne z chińskich stron. To ja czekam
Proszę o odpowiedz co dalej jakie logi i co usunąć
Pozdrawiam
jessica
(jessica)
25 Październik 2009 21:17
#2
A niby co my tu mamy oceniać, jeśli nie dałeś żadnych logów?
jessi
Bekon
(Bekon)
25 Październik 2009 22:13
#3
Tak nie dałem bo nie wiedziałem jaki program będzie odpowiedni HJD podobno potrafi wszytko popsuć, przeskanowałem komputer Gmer’ em specjalista od root kitów wysłałem również logi do twórcy programu chiński wirus jest straszny i trudny do usunięcia. Nie miałem ukrytych serwisów ale wirus nadal jest nawet po częściowym usuwaniu plików wszytko wraca po restarcie, przywracanie systemu wyłączone.
Log z Gmer’a
http://wklej.org/id/185812/
jeśli ma być inny proszę pisać i dziękuje za odzew, Jessica
jessica
(jessica)
25 Październik 2009 22:22
#4
Ja tu nie widzę żadnego Rootkita.
Jeśli dalej uważasz, że masz Rootkita, to dasz komplet logów:
>OTL
>>SRENG
(Po uruchomieniu kliknij “SmartScan”, zaznacz “Verify…”, kliknij “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
>>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>
jessi
Bekon
(Bekon)
26 Październik 2009 05:25
#5
Cześć
Poniżej logi z programików
OTL > http://wklej.org/id/185992/
SREG > http://wklej.org/id/185993/
GMER PROCESY ALL > http://wklej.org/id/185995/
Proszę jest wszytko, Jessi ale ja śmieci z mojego 1 postu pierwszy link mam ten folder i nie mogę go usunąć, pliki albo krzyczą o braku dostępu a jak osunę przed załadowaniem WinXP to i tak za chwile się przywracają. To podobno jakieś reklamowe ale strasznie uciążliwe i spowalniają system, rund32.dll jest 2 razy a explorer.exe czasem pobiera 70 % procesora, jak próbuje, zamknąć proces to zero reakcji uruchomię explorer,a exe od nowa to mam 2 procesy takie same (w widoku opcje folderów ustawione ze ma być jeden nie osobno. W C: program files mam folder 3721 a w nim rożne dll.
screen > http://wstaw.org/p/6af2/
Opis problemu z 1 posta
http://www.mac-net.com/296485.page
To na razie tyle Jessi, to ja czekam na odzew i dziękuje za pomoc.
jessica
(jessica)
26 Październik 2009 06:45
#6
Trzeba przyznać, że ten chiński (a właściwie honghoński) Rootkit jest dobrze rozbudowany.
Przy okazji daję do usuwania trochę pustych, bezplikowych kluczy.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Z GMER, ten usługowy, też daj.
Z SRENG też daj.
Zobacz, czy to jest system32a2.sys , czy może system32*0a2.sys (gwiazdka dodana przeze mnie, by po drodze nie nastąpiło przekłamanie)
jessi
Bekon
(Bekon)
27 Październik 2009 04:18
#7
Cześć Jessi!
Dobrze zaraz zrobię mówiłem wcześniej ze mam kontakt z twórca Gmera poprosił o takie logi wiec może zechcesz zerknąć.
te które tu daje są przed czyszczeniem OTL
ten z zaznaczonymi opcjami file version info + Only non MS > http://wklej.org/id/186914/
drugi tylko ze zaznaczone samo Only non MS oczywiście Gmer > http://wklej.org/id/186916/
EDIT Po Twoim FIX’ie Jessi
Oto jakiś błąd OTL po restarcie screen > http://wstaw.org/p/6bbf/ teraz jest tak przy każdorazowym uruchomieniu programu ponowne pobranie i podmiana nic nie dały…
ale log zrobiłem bo program się uruchomił > http://wklej.org/id/186927/
Log z Usługami GMER > http://wklej.org/id/186931/ program nie wykrył modyfikacji w systemie…
ale patrz pozycja 77 w logu
SRENG LOG > http://wklej.org/id/186935/
Zobacz, czy to jest system32a2.sys , czy może system32*0a2.sys (gwiazdka dodana przeze mnie, by po drodze nie nastąpiło przekłamanie)
Żadnego z nich nie znalazłem WinXP krzyczy że ścieżka nie jest poprawna…
Oki Jessi Twój ruch (formata nie mam zamiaru robić).
jessica
(jessica)
27 Październik 2009 09:35
#8
Jeśli pomaga Ci GMER, to trzymaj się Jego, po co Ci jeszcze pomoc od nas.
>Gmer >>> zakładka CMD i zaznacz w niej opcję REGEDIT a do okna wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D157330A-9EF3-49F8-9A67-4141AC41ADD4}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 8.0"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CnsMin"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GhostStartTrayApp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"helper.dll"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Component Manager"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PWRISOVM.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33BBE430-0E42-4F12-B075-8D21ACB10DCB}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38928D50-8A48-44C2-945F-D2F23F771410}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{406F94F0-504F-4A40-8DFD-58B0666ABEBD}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4EAF-8143-8C619470B13D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{507F9113-CD77-4866-BA92-0E86DA3D0B97}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59BC54A2-56B3-44A0-93E5-432D58746E26}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D73EE86-05F1-49ED-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{62EED7C6-9F02-42F9-B634-98E2899E147B}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6354ABE6-05F1-49ED-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{92780B25-18CC-41C8-B9BE-3C9C571A8263}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2E2DD38-D088-4134-82B7-F2BA38496583}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ECF2E268-F28C-48D2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B231-DA4B-4DAF-81E4-DFEE4931A4AA}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB5F1910-F110-11D2-BB9E-00C04F795683}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]
Kliknąć na Uruchom.
Potem:
znów >gmer.exe
Rozwiń>>>zakładka CMD >>tym razem zaznacz CMD —w górne czarne pole wklej to:
Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.
Logi z OTL, SRENG, GMER (usługowy).
jessi
Bekon
(Bekon)
27 Październik 2009 16:17
#9
Hej i znowu męczę
Tak ten Pan sprawdza jak na razie logi i prosi o nowe, jednak co 2 głowy to nie jedna no i temat zostanie na forum, może ktoś skorzysta a poza tym łatwiej tu niż na e mail
Jesii teraz tak:
Klucze do rejestru wprowadzone Gmer dodał poprawnie jednak nie skasował nic z Twojego 2 kodu.
Przy próbie kasowania usług gmer -del service pisze ze parametr nie poprawny klikam OK i tak do końca aż dochodzę do “file”
Kasowanie plików tez jednak nie wychodzi ponieważ parametr gmer -del file jest ok, ale Gmer informuje ze nie można ich odnaleźć no i jesteśmy w kropce.
ponieważ skoro zmieniły się same wpisy w rejestrze a nic nie usunęło na razie nie robiłem kolejnych logów, wolałem poinformować co się dzieje, aha no i restart Komputera był oczywiście poprawnie z Gmer
jessica
(jessica)
27 Październik 2009 16:33
#10
Zmieniłam trochę script: przy jednym service dalam cudzysłów, bo nazwa klikuwyrazowa, poza tym zmieniłam skrótowe nazwy folderów na ich pełne nazwy.
Nie wiem, czy to wystarczy, być może GMER zmienił zupełnie komendy, a ja nic o tej zmianie nie wiem.
Jeśli to się też nie uda, to ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\cns.dat
C:\WINDOWS\System32\cns.exe
C:\WINDOWS\System32\cns.dll
C:\WINDOWS\System32\drivers\CnsMinKP.sys
C:\WINDOWS\System32\drivers\lcrckcoa.sys
C:\Program Files\3721\helper.DLL
C:\WINDOWS\Downloaded Program Files\cnshook.dll
C:\Program Files\3721\autolive.dll
C:\WINDOWS\Downloaded Program Files\CnsMinIO.dll
C:\WINDOWS\Downloaded Program Files\cnsio.dll
C:\WINDOWS\Downloaded Program Files\CnsMinEx.dll
C:\Program Files\3721\notifier.dll
C:\Program Files\3721\alLiveEx.dll
C:\WINDOWS\System32\Selur.enc
C:\WINDOWS\ycns.dat
Folders to delete:
C:\Program Files\AskSearch
C:\Program Files\AskBarDis
C:\Program Files\3721
C:\WINDOWS\System32\3721
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | CnsMin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | helper.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {D157330A-9EF3-49F8-9A67-4141AC41ADD4}
Drivers to delete:
kasdsa
CnsMinKP
R2A
"Viewpoint Manager Service"
ASKService
ASKUpgrade
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Logi daj bez względu na to, czy usuwanie się uda, czy nie - trzeba zobaczyć, czy w ogóle coś się zmieniło.
jessi
M_i_r
(Mirfi2)
27 Październik 2009 17:27
#11
Spróbuj Reanimatora -> http://www.greatis.com/appdata/d/Window … emoval.htm
Po zainstalowaniu i wybraniu Scan for viruses , pliki do usunięcia zaznaczasz Czerwonym listkiem .Po wykonaniu skanu klikasz na Fix Problems .
Bekon
(Bekon)
28 Październik 2009 04:07
#12
Jestem!
Dziękuje Jessie, wiesz chyba się udało Avenger sobie poradził dużo plików nie znalazł, ale przeniósł, folder 3721 i usunięte pliki (patrz LOG) do folderu c:\Avenger.
Komp widocznie przyspieszył, na początku miałem jakąś odmowę dostępu, ale skrypt zadziałał.
Oto log Avenger *.txt > http://wklej.org/id/187928/
4 pomyślnie usunięte składniki, pozycja na wklejce nr. 123, 124,125,168 . pozostałych plików nie znalazł, mam nadzieje ze ich nie ma
Logi z OTL, SRENG, GMER (usługowy) poniżej
OTL > http://wklej.org/id/187942/
SRENG > http://wklej.org/id/187949/
GMER (usługowy) > http://wklej.org/id/187950/ ,
z tego co zauważyłem po tym wirusie zostały klucze w rejestrze oczywiście (no file) błędne, Jessie jaki program użyć do czyszczenia Rejestru i defragmentacji? może być CCleaner? i jaki 2? Erunt?.. Oki sprawdź logi i czekam na opinie eksperta za wszystko z góry dziękuję.
jessica
(jessica)
28 Październik 2009 08:59
#13
Tak, jest czysto.
W logach są jeszcze co prawda widoczne pozostałości po “Ask”, ale to już możesz usuwać przy pomocy wspomnianego przez Ciebie CCleanera…
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
W OTL kliknij na przycisk “CleanUp” - to go usunie.
jessi
Bekon
(Bekon)
28 Październik 2009 12:16
#14