Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus 'Internet Security' - prośba o sprawdzenie log'a.

25 Lut 2012 18:27 1857 16
  • Poziom 12  
    Witam

    Mam kompa z Win XP. W systemie pojawil sie wirus w postaci programu podszywajacego sie pod ochrone windowsa. Nie moge uruchomic jakiegokolwiek programu, antywir nie daje sobie z nim rady. Pojawia sie jedynie informacje, ze gdy przeleje kase na konto to bede mial dostep do systemu. Wykonałem skan OTLem z poziomu trybu awaryjnego, gdyz inaczej sie nie da. W zalaczniku zapodalem log z OTLa. Prosze o sprawdzenie loga, oraz zapodanie skryptu; chcialbym uniknac reinstalacji softu. Z gory dziekuje.
  • Pomocny post
    Spec od komputerów
    Odinstaluj:
    Google Toolbar for Internet Explorer
    Java(TM) 6 Update 21, do aktualizacji -> www.java.com
    Ask Toolbar
    SweetIM Toolbar for Internet Explorer 4.2
    SweetIM for Messenger 3.6
    Adobe Reader 9.5.0 - Polish, zmien na Foxit
    Babylon toolbar on IE
    Conduit Engine
    DAEMON Tools Toolbar
    Facemoods Toolbar
    IncrediMail MediaBar 2 Toolbar
    Bonjour


    Wykonaj skrypt w OTL:

    :OTL
    IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
    IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
    FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search"
    FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
    FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
    [2011-11-13 09:38:39 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\vr9flcvf.default\extensions\ffxtlbr@Facemoods.com
    [2011-10-02 13:57:15 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\vr9flcvf.default\extensions\toolbar@ask.com
    [2011-09-13 11:24:32 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\vr9flcvf.default\searchplugins\askcom.xml
    [2011-09-19 09:08:11 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\vr9flcvf.default\searchplugins\SweetIM Search.xml
    [2011-11-13 09:38:40 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
    O2 - BHO: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)
    O2 - BHO: (SearchCore for Browsers) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (CrossRider) - {A876E312-7D08-401a-B7A6-FAFC5DC2F292} - C:\Program Files\CrossriderWebApps\Crossrider.dll ()
    O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
    O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
    O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)
    O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
    O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
    O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\SearchCore for Browsers\SearchCore for Browsers\datamngrUI.exe (Bandoo Media, inc)
    O4 - HKLM..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)
    O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
    O4 - HKCU..\Run: [CrossRiderPlugin] C:\Program Files\CrossriderWebApps\Crossrider.exe (Crossrider)
    O4 - HKCU..\Run: [Internet Security] C:\Documents and Settings\All Users\Dane aplikacji\isecurity.exe ()
    O4 - HKCU..\Run: [jaekaah] C:\Documents and Settings\Administrator\jaekaah.exe File not found
    O4 - HKCU..\Run: [MediaGet2] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\MediaGet2\mediaget.exe --minimized File not found
    O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\faa6mm6yy.exe ()
    O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\yy6kk6ww6.exe ()
    O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
    O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
    O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll ()
    O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\SEARCH~1\datamngr.dll) - C:\Program Files\SearchCore for Browsers\SearchCore for Browsers\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\Program Files\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll (Bandoo Media, inc)
    O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Administrator\deh3ubd.exe) - C:\Documents and Settings\Administrator\deh3ubd.exe ()
    [2012-02-25 13:18:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E0004BB106A4C70F30CDF108C
    [2012-02-25 15:04:36 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd
    [2012-02-25 13:57:00 | 000,000,236 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
    [2012-02-25 13:19:55 | 000,000,000 | -HS- | C] () -- C:\WINDOWS\System32\dds_trash_log.cmd
    [2012-02-25 13:19:35 | 000,851,968 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\isecurity.exe
    [2012-02-25 13:18:09 | 000,090,624 | RHS- | C] () -- C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\yy6kk6ww6.exe
    [2012-02-25 13:18:07 | 000,090,624 | RHS- | C] () -- C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\faa6mm6yy.exe
    [2012-02-25 13:17:47 | 000,133,632 | RHS- | C] () -- C:\Documents and Settings\Administrator\deh3ubd.exe
    [2011-04-26 22:01:04 | 000,000,943 | -HS- | C] () -- C:\Program Files\folder.htt
    @Alternate Data Stream - 12 bytes -> C:\WINDOWS\system32:{4B9A1497-0817-47C4-9612-D5A1C53ACF57}
    @Alternate Data Stream - 101 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:50DD4118


    Po wykonaniu zrob skan przy pomocy mbam oraz cureit i daj nowy log z OTL.
  • Poziom 12  
    W systemie nie ma już złośliwego softu, wszystko smiga na lajcie. Wielkie dzięki za pomoc. W załączniku zamieszczam log z OTLa.
  • Spec od komputerów
    System nadal jest zainfekowany. Daj log z combofix oraz log z AntiZeroAccess.
  • Spec od komputerów
    Wykonaj CFScript.txt z combofix:

    File::
    c:\windows\system32\dds_trash_log.cmd

    Folder::
    c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\IncrediMail_MediaBar_2
    c:\windows\$NtUninstallKB31255$

    Po wykonaniu daj log, ktory sie utworzy.
  • Spec od komputerów
    Rootkit dalej jest. Do tego jest to inna infekcja niz ta z pierwszego postu.

    Daj log z TDSSKiller, uzyj combofix w trybie awaryjnym i daj log, do tego nowy log z OTL.
  • Poziom 12  
    Zrobilem co trzeba. Jednak teraz komputer włącza się wolno, nie działa siec, po uruchomieniu systemu trzeba czekac pare minut, aby pojawil sie interfejs oraz nie dzialaja niektore programy w tym avast i wywala jakies bugi z ''MotoHelper'a''. Przywracanie systemu cos pomoze? W zalaczniku zassalem logi z programow.
  • Spec od komputerów
    Wykonaj taki skrypt w OTL:

    :OTL
    SRV - File not found [Auto | Stopped] -- -- (UNDPX2A)
    SRV - File not found [Auto | Stopped] -- -- (ssfs0509)
    SRV - File not found [Auto | Stopped] -- -- (SetupSys)
    SRV - File not found [Auto | Stopped] -- -- (Cam5603D)

    Po wykonaniu daj nowy log. Uruchom ponownie komputer i daj nowy log z combofix.
  • Poziom 12  
    Dalej system sie wali. Po wykonaniu tych czynnosci dalem pzrywracanie systemu, gdyz nie moglbym nawet korzystac z sieci. Logi:
  • Pomocny post
    Spec od komputerów
    Ten rootkit infekuje pliki systemowe, wiec nic dziwnego.

    Skoro uzyles przywracania to teraz daj nowy log z OTL oraz nowy log z Combofix wykonany po resecie.
  • Poziom 12  
    Własnie system wali sie po ComboFixie, więc szkoda mi jeszcze raz go odpalać. Kiedys i tak będę musiał postawic system od nowa, ale na razie śmiga. Zamieszczam log z OTLa:
  • Poziom 12  
    Da sie jeszcze cos zrobić? Ja swój cel osiągnąłem, tzn. mogę normalnie korzystać z komputera :) .
  • Pomocny post
    Spec od komputerów
    Bez uzycia combofix raczej nie.
  • Poziom 12  
    A więc problem uwazam za rozwiązany. Wielkie dzięki za pomoc :) .