Ukash Policja wątpliwości po usunięciu przez ComboFix

Abrimaal · 18 Czerwiec 2013 20:57

Pojawił się nagle podczas przeglądania netu, wyłączył się Firefox i przestał działać Windows Explorer, po czym komputer zawiesił się wyświetlając “policyjny” ekran. Natychmiast odłączyłem go od netu i uruchomiłem w awaryjnym z wiersza poleceń.

Microsoft Security Essentials po wielogodzinnym pełnym skanie znalazł i usunął:

Exploit: Java/CVE-2013-2423

Exploit: Java/CVE-2013-0431

Adware: Win32/OpenCandy - plik 18GB (!), który usunąłem ręcznie.

Pozostały jednak wpisy w rejestrze uruchamiające rootkit, ComboFix ściągnięty z innego komputera poradził sobie.

Odinstalował mi jednak także edytor www Pajączek, program był dość stary i często się wieszał.

Odinstalował się też E-mule, którego nie używałem już kilka lat.

Te dwa programy (i tylko te) znajdowały się w utworzonym przeze mnie podfolderze C:\Program Files\www\

Czy folder był zainfekowany Czy może nie powinien nazywać się “www”?

Teraz przechodzę do sedna. Znalazłem informację, że Ukash i podobne rootkit rozprzestrzeniają się przez otwarzacze Flash.

Czy istnieje jakieś oprogramowanie, które sprawdza player Flash (na stronie w sieci) i plik przed jego uruchomieniem?

Czy pobrane z sieci i zapisane na dysku pliki w formacie .flv i .swf mogą być zainfekowane lub po włączeniu ściągnąć jakiegoś virusa?

IPSEN · 19 Czerwiec 2013 06:35

Bez logów nikt Ci nie pomoże -http://forum.dobreprogramy.pl/analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html na przyszłość nie używaj sam combofxa bez zgody specjalistów

Abrimaal · 19 Czerwiec 2013 19:05

ComboFix używałem nie po raz pierwszy, przed tą decyzją przeczytałem z różnych stron w sieci, m.in. tego forum, że są tylko dwie możliwości usunięcia wpisów w rejestrze, które zmodyfikowały boot systemu.

Albo saperska robota z kluczami winlogon, zapisywanie kopii każdej modyfikacji rejestru i sprawdzanie czy ruszy, albo ComboFix. To drugie wydało się bezpieczniejsze.

Jeśli chodzi o log utworzony przez ComboFix, jest tutaj.

IPSEN · 19 Czerwiec 2013 21:22

Na tym forum obowiązkowe logi to OTL i Extras http://forum.dobreprogramy.pl/analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

Abrimaal · 22 Czerwiec 2013 03:18

Znów zaatakował, tak samo jak tydzień temu, w piątek wieczorem. Czytałem forum, na nim była reklama we Flash. Firefox zamknął się.

MS Security Essentials wyświetlił informację o wykryciu podejrzanego pliku ‘dlugiciagznakow.exe’ w Users\User\AppData\

Pojawiło się okno: Wybierz urządzenie przechwytywania video - i zawiesił się. Ekranu “policja” nie zdążył wyświetlić, odłączyłem net gdy tylko mignęła przeglądarka.

Tym razem antyvirus znalazł i usunął: Trojan: Win32/Urausy.C w folderze

C:\Qoobox\Quarantine\C\Users\User\AppData\Roaming\Skype.dat.vir (wygląda to na pozostałość po poprzednim użyciu ComboFix).

Logi OTL i Extras: http://wklej.to/oyJhZ http://wklej.to/5tp0c

Wpis “ŇôŔÖŐ˝»ú” = ŇôŔÖŐ˝»ú Ó˛ĹĚ°ć" to jakaś gra, która miała instalator w innym alfabecie, dawno instalowana, raczej nieszkodliwa.

Czyszczenie przez OTL nie pomogło. Komputer dalej jest zablokowany.

Acorus · 22 Czerwiec 2013 07:58

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Auto | Stopped] – C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe – (PCToolsSSDMonitorSvc) SRV - File not found [On_Demand | Stopped] – C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe – (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] – C:\compufuck.exe.aaa7392c\catchme.sys – (catchme) O4 - HKU\S-1-5-21-1384147248-2019399881-336317277-1000…\Run: [Facebook Update] C:\Users\User\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O20 - HKU\S-1-5-21-1384147248-2019399881-336317277-1000 Winlogon: Shell - (C:\Users\User\AppData\Roaming\skype.dat) - C:\Users\User\AppData\Roaming\skype.dat () O37 - HKU\S-1-5-21-1384147248-2019399881-336317277-1000…com [@ = ComFile] – Reg Error: Key error. File not found [2013-06-21 23:31:04 | 000,000,004 | ---- | M] () – C:\Users\User\AppData\Roaming\skype.ini [2012-01-11 15:16:52 | 000,094,208 | ---- | C] () – C:\Users\User\AppData\Roaming\skype.dat :Commands [emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Abrimaal · 22 Czerwiec 2013 15:52

Raport po wykonaniu skryptu: http://wklej.to/xkbFm

Komputer odblokowany, działa w normalnym trybie.

Wyniki skanowania OTL: http://wklej.to/YZIFS Extras: http://wklej.to/pCBz6

Jeszcze do netu nie podłączam. Czy warto zmienić IP? Znając mój IP pewnie znów będzie atakował.

Nie wiem, czy wystarcza zresetować Livebox, czy trzeba użyć czegoś w rodzaju IP Changer. Nigdy go nie używałem.

Jeśli programy, które mam zainstalowane do ochrony rejestru CCleaner i Wise Registry Cleaner poprzednio nic nie wykryły,

czy jest sens trzymać je na dysku?

I czy istnieje jakaś aplikacja do monitorowania playerów flash w przeglądarce?

Acorus · 22 Czerwiec 2013 17:48

Teraz reszta.Odinstaluj pdfforge Toolbar v1.0,ESET Online Scanner v3,V9 Homepage Uninstaller.Użyj AdwCleaner http://general-changelog-team.fr/fr/dow … adwcleaner z funkcji Usuń(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowy OTL.txt

Abrimaal · 22 Czerwiec 2013 23:01

Wymienione 3 aplikacje odinstalowałem, AdwCleaner znalazł jeszcze kilka:

Raporty przed http://wklej.to/cFmK4 i po usuwaniu http://wklej.to/xafw5

Log OTL: http://wklej.to/UeXjX

Nie wiem skąd wziął się w systemie BingBar i kilka innych wpisów np. TuneUp Software. Nic takiego nie instalowałem.

Niepokoi mnie też aktywność Skype (jest połączony z Facebook, ale komputer odłączony od netu).

Przed skanem proces Skype zużywał do 50% mocy procesora, a i teraz potrafi podskoczyć do kilkunastu %.

Screenshot:

Acorus · 23 Czerwiec 2013 08:08

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKU.DEFAULT…\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18…\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1384147248-2019399881-336317277-1000…\SearchScopes{53D2A8F5-0B90-445B-9694-C126B195FF58}: “URL” = http://search.avg.com/route/?d=4cb3c5d4 … =chrome&q={searchTerms}&lng={language}&iy=&ychte=us IE - HKU\S-1-5-21-1384147248-2019399881-336317277-1000…\SearchScopes{C2BC8855-EA37-11DE-8A39-0800200C9A66}: “URL” = http://www.mystart101.com/web/{searchTerms}/1 FF - prefs.js…browser.search.defaultenginename: “AVG Secure Search” FF - prefs.js…browser.search.order.1: “v9” O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} http://gfx2.hotmail.com/mail/w3/resourc … dpl-pl.cab (Reg Error: Key error.) O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/s … DEXAXO.cab (Reg Error: Key error.) [2010-03-08 21:07:03 | 000,000,000 | —D | M] – C:\Users\User\AppData\Roaming\Babylon [2012-11-09 03:06:07 | 000,000,000 | —D | M] – C:\Users\User\AppData\Roaming\EurekaLog @Alternate Data Stream - 285 bytes -> C:\ProgramData\TEMP:CD30FA91 @Alternate Data Stream - 160 bytes -> C:\ProgramData\sdpsenv.dat:naughtypirates @Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:0B4227B4 @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:C5CE2DF6 @Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:A518B662 @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1 :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

W AdwCleaner użyj opcji Usuń.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

Abrimaal · 23 Czerwiec 2013 19:04

Po wykonaniu skryptu OTL: http://wklej.to/H0BbG sprzątanie - OK.
AdwCleaner raport po szukaniu: http://wklej.to/NgQFd po usuwaniu: http://wklej.to/7N7L7
Malwarebytes - szybki skan bez aktualizacji (baza danych z 4 kwietnia 2013), tamten komputer jest nadal odłączony od netu

(pytałem wcześniej o zmianę IP).

Mogę zainstalować go na komputerze, z którego teraz piszę, zaktualizować i przenieść pliki (tylko które?)

Tymczasowy raport: http://wklej.to/ak1r1

Wyniki Security Check: http://wklej.to/EEnX5 - Firefox, Java i Adobe Reader zaktualizuję po podłączeniu do sieci.

dodane 2013-06-24

Komputer podłączony do netu, programy zaktualizowane.

Malwarebytes pełny skan - nie znaleziono zagrożeń.

Security Check - ok.

Wyłączyłem uruchamianie Skype, gdyż nadal usługa pobiera do 50% CPU.

Windows Defender jest wyłączony i nie chce się włączyć.

Jeśli podczas dwóch ataków MS Security Essentials zidentyfikował rootkit jako “podejrzane pliki” i nie potrafił ich usunąć,

to może zainstalować zamiast niego rekomendowany na forum Comodo i Malwarebytes Anti Rootkit (choć to jeszcze beta)?