prawdopodobna infekcja - proszę o sprawdzenie logów

[lcx0r]

Objawy zainfekowania:
Nieznane procesy tmp*******.exe określające się jako MyFTP
Losowo wywalają się aplikacje - OpenOffice, przeglądarki, gry - od 2 do 5 minut i crash (bez komunikatu)
Ogólne zwolnienie działania komputera

Wykonywane działania:
Regularne pobieranie aktualizacji, zapora windows,
generalnie nie ściągam keygenów, zipów z porno i innych plików, gdzie może być zaszyty jakiś syf

Logi:
Scan result of Farbar Recovery Scan Tool -

[Aby zobaczyć linki, zarejestruj się tutaj]

Additional scan result of Farbar Recovery Scan Tool -

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL logfile -

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL Extras logfile -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Jawna infekcja

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

( ) C:\Users\Madzia\AppData\Local\Temp\tmp2b9148c0.exe
( ) C:\Users\Madzia\AppData\Local\Temp\tmp2859cd5f.exe
( ) C:\Users\Madzia\AppData\Local\Temp\tmpc2da4109.exe
( ) C:\Users\Madzia\AppData\Local\Temp\tmp946629c8.exe
( ) C:\Users\Madzia\AppData\Local\Temp\tmp8a113b0a.exe
() C:\Users\Madzia\AppData\Local\Temp\tmp6a0a28e5.exe
() C:\Users\Madzia\AppData\Local\Temp\tmp6c3accfa.exe
() C:\Users\Madzia\AppData\Local\Temp\tmpb7f0d3da.exe
() C:\Users\Madzia\AppData\Local\Temp\tmp783146d7.exe
() C:\Users\Madzia\AppData\Local\Temp\tmpfb080f4c.exe
() C:\Users\Madzia\AppData\Local\Temp\tmp9e5fc4c3.exe
() C:\Users\Madzia\AppData\Local\Temp\tmp0b94015a.exe
() C:\Users\Madzia\AppData\Local\Temp\tmpd2c71031.exe
(Geza Kovacs) C:\Users\Madzia\Desktop\unetbootin-windows-585.exe
() C:\Users\Madzia\AppData\Local\Temp\tmpab32ad57.exe
() C:\Users\Madzia\AppData\Local\Temp\tmp68fdfd0a.exe
(Microsoft Corporation) C:\Windows\system32\cmd.exe
() C:\Users\Madzia\AppData\Local\Temp\tmpc3804a8f.exe
HKU\.DEFAULT\...\Winlogon: [Shell] Explorer.exe [2926592 2009-04-11] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-19\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-19\...\Winlogon: [Shell] Explorer.exe [2926592 2009-04-11] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-20\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-20\...\Winlogon: [Shell] Explorer.exe [2926592 2009-04-11] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-2670695082-216109056-444006974-1000\...\Run: [itgya.exe] - C:\Users\Madzia\AppData\Roaming\Qacus\itgya.exe
HKU\S-1-5-21-2670695082-216109056-444006974-1000\...\Policies\Explorer: [NoInstrumentation] 1
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -No File
Toolbar: HKCU - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.8.3.6\coIEPlg.dll (Symantec Corporation)
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab
CHR Plugin: (Java Deployment Toolkit 6.0.310.5) - C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll No File
CHR Plugin: (Vividas Player Plugin) - C:\Program Files\Vividas\Player\npVividasPlayer.dll No File
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx [2012-01-17]
S3 adusbser; system32\DRIVERS\adusbser.sys [X]
S2 ASMMAP; \??\C:\Program Files\ATKGFNEX\ASMMAP.sys [X]
U3 catchme; \??\C:\Users\Madzia\AppData\Local\Temp\catchme.sys [X]
S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20101219.003\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20101219.003\NAVEX15.SYS [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
U3 PROCEXP151; \??\C:\Windows\system32\Drivers\PROCEXP151.SYS [X]
U2 srservice;
S3 SYMFW; \SystemRoot\System32\Drivers\NIS\1008000.029\SYMFW.SYS [X]
S3 SYMNDISV; \SystemRoot\System32\Drivers\NIS\1008000.029\SYMNDISV.SYS [X]
S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X]
U3 mbr; \??\C:\ComboFix\mbr.sys [X]
C:\ComboFix.txt
C:\Qoobox
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\NIRCMD.exe
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Windows\erdnt
C:\Users\Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Users\Madzia\Desktop\unetbootin-windows-585.exe
C:\3157111dfe6b2cecd6d7
C:\Users\Madzia\AppData\Local\BenchUpdater
C:\Program Files\predm
C:\Users\Madzia\AppData\Local\Mobogenie
C:\Program Files\Mobogenie
C:\Users\Madzia\Documents\Mobogenie
C:\Users\Madzia\AppData\Local\genienext
C:\Users\Madzia\daemonprocess.txt
C:\Windows\msdownld.tmp
C:\Users\Madzia\hash.dat
C:\Users\Public\picasa3-setup.exe
C:\Users\Public\putty.exe
C:\Users\Madzia\AppData\Local\Temp\tmp0b94015a.exe
C:\Users\Madzia\AppData\Local\Temp\tmp2859cd5f.exe
C:\Users\Madzia\AppData\Local\Temp\tmp2b9148c0.exe
C:\Users\Madzia\AppData\Local\Temp\tmp68fdfd0a.exe
C:\Users\Madzia\AppData\Local\Temp\tmp6a0a28e5.exe
C:\Users\Madzia\AppData\Local\Temp\tmp6c3accfa.exe
C:\Users\Madzia\AppData\Local\Temp\tmp783146d7.exe
C:\Users\Madzia\AppData\Local\Temp\tmp8a113b0a.exe
C:\Users\Madzia\AppData\Local\Temp\tmp946629c8.exe
C:\Users\Madzia\AppData\Local\Temp\tmp9e5fc4c3.exe
C:\Users\Madzia\AppData\Local\Temp\tmpab32ad57.exe
C:\Users\Madzia\AppData\Local\Temp\tmpb7f0d3da.exe
C:\Users\Madzia\AppData\Local\Temp\tmpc2da4109.exe
C:\Users\Madzia\AppData\Local\Temp\tmpc3804a8f.exe
C:\Users\Madzia\AppData\Local\Temp\tmpd2c71031.exe
C:\Users\Madzia\AppData\Local\Temp\tmpfb080f4c.exe
Task: {0146F9BD-27FF-4ECC-852E-760FE1BC13A5} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2670695082-216109056-444006974-1000UA => C:\Users\Madzia\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-24] (Google Inc.)
Task: {1C92FD3C-5B82-4212-B302-899AC10938A8} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-25] (Google Inc.)
Task: {AE2DA87F-2094-43DF-ACC2-499D7C3A0126} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2670695082-216109056-444006974-1000Core => C:\Users\Madzia\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-24] (Google Inc.)
Task: {DEC8705C-EE9C-4875-A284-22C82B55328B} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-25] (Google Inc.)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2670695082-216109056-444006974-1000Core.job => C:\Users\Madzia\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2670695082-216109056-444006974-1000UA.job => C:\Users\Madzia\AppData\Local\Google\Update\GoogleUpdate.exe
CMD: netsh advfirewall reset

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

DAEMON Tools Toolbar

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.

Ściągnij program Malwarebytes Anti-Malware

[Aby zobaczyć linki, zarejestruj się tutaj]

Zainstaluj,uruchom,zaktualizuj bazy i kliknij skanuj,następnie przedstaw raport.


Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[lcx0r]

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Fix result of Farbar Recovery Tool-

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstaluj:

DAEMON Tools Toolbar

Zrobione.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

AdwCleaner v3.020 -

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij program TDSSKiller
uruchom kliknij w Change paramters, zaznacz wszystko klik ok i następnie Start Scan

Po wszystkim przedstaw raport po skanowaniu, ale nie przenoś niczego do kwarantanny i nie usuwaj.

TDSSK nie oferował raportu, zrobiłem printscreena -

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij program Malwarebytes Anti-Malware

[Aby zobaczyć linki, zarejestruj się tutaj]

Zainstaluj,uruchom,zaktualizuj bazy i kliknij skanuj,następnie przedstaw raport.

Malwarebytes Anti-Malware -

[Aby zobaczyć linki, zarejestruj się tutaj]

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Results of screen317''s Security Check -

[Aby zobaczyć linki, zarejestruj się tutaj]

Chwilę (2-5 minut) po restarcie pojawia mi się takie okno:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Komunikatem na razie się nie przejmuj jest to pewnie z aplikacji asusowskiej.

Raport z tdsskillera miał być podany z opcji raport a nie zrzut z okna.

[Aby zobaczyć linki, zarejestruj się tutaj]

Zrób nowe logi FRST + OTL

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw na forum.

[lcx0r]

Raport z tdsskillera miał być podany z opcji raport a nie zrzut z okna.

Czy mam go powtórzyć?

Zrób nowe logi FRST + OTL

OTL logfile -

[Aby zobaczyć linki, zarejestruj się tutaj]

Scan result of Farbar Recovery Scan Tool -

[Aby zobaczyć linki, zarejestruj się tutaj]

Ściągnij
Autoruns
Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting i przedstaw na forum.

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Komenda resetu reguł firewalla nie powiodła się przez przypadek musiałeś dodać literę d na koniec.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKU\S-1-5-21-2670695082-216109056-444006974-1000\...\Run: [itgya.exe] - C:\Users\Madzia\AppData\Roaming\Qacus\itgya.exe
SearchScopes: HKLM - DefaultScope value is missing.
S3 NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20101219.003\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20101219.003\NAVEX15.SYS [X]
S3 SYMFW; \SystemRoot\System32\Drivers\NIS\1008000.029\SYMFW.SYS [X]
S3 SYMNDISV; \SystemRoot\System32\Drivers\NIS\1008000.029\SYMNDISV.SYS [X]
C:\Users\Madzia\AppData\Local\PUTTY.RND
C:\Users\Madzia\AppData\Local\Temp\Quarantine.exe
C:\Users\Madzia\.android
C:\Users\Madzia\AppData\Local\cache
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

ASUS Live Update
Norton Internet Security (HKLM\...\NIS) (Version: 16.8.3.6 - Symantec Corporation) Wersja stara jak świat.

Zainstaluj BaiduAV 2014

[Aby zobaczyć linki, zarejestruj się tutaj]

lub 360 Internet Security

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSSKillera powtórz.

[lcx0r]

Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Fix result of Farbar Recovery Tool -

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstaluj:

ASUS Live Update
Norton Internet Security (HKLM\...\NIS) (Version: 16.8.3.6 - Symantec Corporation) Wersja stara jak świat.

Zrobione

Zainstaluj BaiduAV 2014lub 360 Internet Security

Który mniej obciąża system?
W sumie to pierwszy raz zdarza mi się infekcja, od 20 lat klikam w komputery (a od 15 w internety) i jak do tej pory nie zdarzyło mi się nic złapać.
Ta infekcja to ''zasługa'' mojej szanownej Mamy, która musiała sobie pocztę sprawdzić i zdjęcia od koleżanki obejrzeć .

TDSSKillera powtórz.

TDSS rootkit removing tool sprzed fixa -

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSS rootkit removing tool po fixie -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Tak te programy są może mniej znane u nas ale są dość dobre i lekkie,mogą co niektórzy to potwierdzić,jak i można przeglądnąć odpowiednie działy.

TDSSKiller wykrył jedynie niepodpisane prawidłowe pliki,nie należy ich usuwać.


Results of screen317''s Security Check version 0.99.79
Windows Vista Service Pack 2 x86 (UAC is enabled)
Internet Explorer 8 Out of date!
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Norton Internet Security
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
Java™ 6 Update 22
Java™ 6 Update 39
Java version out of Date!
Adobe Flash Player 12.0.0.70
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox (26.0)
Google Chrome 32.0.1700.107
Google Chrome 33.0.1750.117
Google Chrome plugins...
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes Anti-Malware mbam.exe
Malwarebytes'' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:%
````````````````````End of Log``````````````````````

Zaktualizuj programy oznaczone na czerwono.

Jave najnowszą można pobrać stąd

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli zainstalujesz już programy zabezpieczające daj znać to dokończymy resztę.

[lcx0r]

Internet Explorer - zaktualizowany
Java - zaktualizowana
Adobe Reader - zaktualizowany

Baidu zainstalowane.

Jestem zwarty i gotowy do dalszego działania!

[tachion]

W adwcleaner klik odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

I to by było na tyle

[lcx0r]

adecleaner zrobiony.

Delfix kliknięty.

TFC nie działa. Poza tym Baidu pluje się, że jest trojanem ;-)

Wyskakuje komunikat: System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.

---

Dodano: 03 mar 2014, 0:32

Ok, TFC załapał, wszystko wywalone i śmiga :-)

Dzięki wielkie mr. tachion !