Avira, 'wieczny' wirus

[Tyszek91]

Witam. Mam następujący problem (a raczej moja dziewczyna xd) - wirus, który nie chce się usunąć i przywraca się. Avira nie wykrywa nic podczas skanowania.

http://yfrog.com/1xbeztytuupsj

Daje Remove i nic.. po paru godz. ciągle wyskakuje ten komunikat (wir)..\

Co z tym zrobić?

Przeniosłem temat do odpowiedniego działu.-org

[Sevard]

Ściągnij na pulpit OTL i uruchom go. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie i kliknij skanuj. Zostaną wygenerowane dwa logi. Obydwa daj jako załączniki do następnego posta, albo umieść na wklej.org i daj linki.

[Tyszek91]

Sory za pomylke dzialu..

Logi:

OTL.Txt

http://wklej.org/id/388189/

Extras.Txt

http://wklej.org/id/388190/

[Sevard]

Widać wyraźne ślady infekcji. Przydatny będzie jeszcze log z GMERa. Zrób co następuje.

1. Ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów (opcja Disable).

2. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

Log z GMERa wrzuć na forum. Najlepiej jako załącznik do posta, albo na wklej.org i daj linki na forum.

[Tyszek91]

Infekcji? A dokladniej? Jakie moga byc przyczyny/ skutki..

1. Zrobilem. O co chodzi z tym programem?

2. Niestety probowalem 3 razy ale za 1 skanem tym programem podczas skanowania wyskoczyl niebieski ekran i, że z systemem cos sie dzieje i komputer sie zresetowal, za drugim razem skan jak i komp sie zawiesil, resetowalem, no i za 3 razem tak jak za 1 niebieski ekran + res.

Nie wiem o co chodzi i co zrobic..

[Sevard]

1. Chodzi o to, że sterowniki emulujące napędy zakłócają pracę programów wykrywających rootkity (np. GMER, czy RootRepeal) i dlatego trzeba je wyłączyć.

2. Spróbuj wygenerować log w trybie awaryjnym. Jeśli się uda, to go wklej na forum, jeśli nie, to czytaj dalej.

Jeśli GMER nie zadziała w trybie awaryjnym, to:

1. Ściągnij program RootRepeal.

2. Uruchom go. Przejdź do karty Report i kliknij opcję Scan.

3. W oknie, które się pojawi zaznacz wszystkie opcje.

4. W następnym oknie zaznacz tylko dysk systemowy.

5. Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie.

6. Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log.

Wygenerowany log wrzuć na forum.

Jeśli chodzi o infekcję, to nie wygląda to na nic szczególnie groźnego, ale mogły się jeszcze zagnieździć jakieś rootkity, które należy unieszkodliwić w pierwszej kolejności.

[Tyszek91]

1. Nie udało się.

2. RootRepeal

http://wklej.org/id/388426/

[Sevard]

Dobra, nie widać rootkitów, czyli można spokojnie usuwać to, co było znalezione wcześniej. Poza tym wyczyści się system ze śmieci, które zostały po odinstalowaniu paru rzeczy.

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

RECYCLER /alldrives

autorun.inf /alldrives

C:\Documents and Settings\MAREK\Ustawienia lokalne\Temp\lredbooo.sys

Recycled.exe /alldrives

xs6kpr0.exe /alldrives

d9c.bat /alldrives

uo10sn.cmd /alldrives

em8tqm.cmd /alldrives

ysep1.exe /alldrives


:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS -- (WFIOCTL)

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\wf88vcap.sys -- (WF23880)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\irstusb.sys -- (STIrUsb)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\k750obex.sys -- (k750obex)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\k750mgmt.sys -- (k750mgmt)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\k750mdm.sys -- (k750mdm)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\k750mdfl.sys -- (k750mdfl)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\DRIVERS\irda.sys -- (irda)

DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)

DRV - [2001-07-16 21:36:33 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\MAREK\Ustawienia lokalne\Temp\lredbooo.sys -- (lredbooo)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gagugo.pl/

IE - HKCU\..\URLSearchHook: {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL File not found

IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Livebox\SearchURLHook\SearchPageURL.dll File not found

FF - prefs.js..browser.startup.homepage: "http://www.googlc.pl/"

FF - user.js..browser.startup.homepage: "http://www.googlc.pl/"

O2 - BHO: (Ask Search Assistant BHO) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL File not found

O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found

O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found

O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe File not found

O4 - HKCU..\Run: []  File not found

O4 - HKCU..\Run: [amva] C:\WINDOWS\System32\amvo.exe File not found

O4 - HKCU..\Run: [AQQ] C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe File not found

O4 - HKCU..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe File not found

O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\ASIA\USTAWI~1\Temp\herss.exe File not found

O4 - HKCU..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe File not found

O4 - HKLM..\RunOnce: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI File not found

O4 - Startup: C:\Documents and Settings\ASIA\Menu Start\Programy\Autostart\ˇˇˇˇˇˇ.lnk = C:\WINDOWS\System32\XP-822E720E.EXE File not found

O9 - Extra Button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} -  File not found

O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\EWA\Menu Start\Programy\IMVU\Run IMVU.lnk File not found

O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\System32\e8main1.dll File not found

O33 - MountPoints2\{0f68e162-a563-11df-9d4d-000c766e0715}\Shell - "" = AutoRun

O33 - MountPoints2\{0f68e162-a563-11df-9d4d-000c766e0715}\Shell\1\Command - "" = H:\Recycled.exe -- File not found

O33 - MountPoints2\{0f68e162-a563-11df-9d4d-000c766e0715}\Shell\2\Command - "" = H:\Recycled.exe -- File not found

O33 - MountPoints2\{290b9c8a-25f8-11de-9a91-000c766e0715}\Shell\AutoRun\command - "" = xs6kpr0.exe

O33 - MountPoints2\{290b9c8a-25f8-11de-9a91-000c766e0715}\Shell\open\Command - "" = xs6kpr0.exe

O33 - MountPoints2\{631d90f2-5e7c-11de-9b2c-000c766e0715}\Shell\AutoRun\command - "" = H:\d9c.bat -- File not found

O33 - MountPoints2\{631d90f2-5e7c-11de-9b2c-000c766e0715}\Shell\open\Command - "" = H:\d9c.bat -- File not found

O33 - MountPoints2\{76955b68-63ec-11de-9b3a-000c766e0715}\Shell\AutoRun\command - "" = H:\uo10sn.cmd -- File not found

O33 - MountPoints2\{76955b68-63ec-11de-9b3a-000c766e0715}\Shell\open\Command - "" = H:\uo10sn.cmd -- File not found

O33 - MountPoints2\{b728425c-5425-11dd-9794-000c766e0715}\Shell - "" = AutoRun

O33 - MountPoints2\{c75db68e-4c9d-11dc-b3e8-000c766e0715}\Shell\AutoRun\command - "" = H:\em8tqm.cmd -- File not found

O33 - MountPoints2\{c75db68e-4c9d-11dc-b3e8-000c766e0715}\Shell\open\Command - "" = H:\em8tqm.cmd -- File not found

O33 - MountPoints2\{f9422e3c-3e1d-11de-9ad7-000c766e0715}\Shell\AutoRun\command - "" = H:\ysep1.exe -- File not found

O33 - MountPoints2\{f9422e3c-3e1d-11de-9ad7-000c766e0715}\Shell\open\Command - "" = H:\ysep1.exe -- File not found

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:48FEA089

@Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:07241935

@Alternate Data Stream - 120 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:43982D5E

@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:3C5ABDC7

@Alternate Data Stream - 117 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:98DFF516

@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0AC32449

@Alternate Data Stream - 108 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:90865A6D

@Alternate Data Stream - 107 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:FDDD8917

@Alternate Data Stream - 106 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B845F669

@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:27D1368B

@Alternate Data Stream - 103 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:848CC150


:Commands

[emptyflash]

[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log.

Log otrzymany po wykonaniu powyższego skryptu wrzuć na forum. Poza tym wrzuć nowe logi z OTL wygenerowane w ten sam sposób jak za pierwszym razem.

[Tyszek91]

1. To ze skryptu:

http://wklej.org/id/388632/

2. Logi po skrypcie

http://wklej.org/id/388640/

http://wklej.org/id/388642/

Chyba lepiej co?

[Sevard]

No dobra wygląda to zdecydowanie lepiej.

1. Uruchom OTL i kliknij opcję Sprzątanie. Usunie to pozostałości po działaniu OTL.

2. Uruchom program Defogger i ponownie włącz emulację (opcja Enable).

Napisz jak obecnie działa system? Czy coś dziwnego jeszcze wyskakuje?

[3m2oo5]

Może się przydać ...

1. Remove the registry entries hidden by TR.Drop.Agent.ahdz (Free online spyware scan)

If you notice that the programs on your computer are running abnormally, please check the following entries in the Registry, and directly delete the spyware-related registry entries if found.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce

HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run

HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion

Explorer/ShellFolders Startup="C:\windows/start menu/programs\startup

2. It is possibly a way to load the "TR.Drop.Agent.ahdz" malicious programs, by hiding within the system WIN.INI file and the strings "run=" and "load=", so this must be carefully checked.

3. Clean up IE Temporary File folder where the original carrier of spyware threats is likely stored.

źródło:http://www.spydig.com/spyware-info/TR-Drop-Agent-ahdz.html

edit: jeżeli potrzebujesz wskazówki, co należy rozumieć poprzez spyware-related registry entries zajrzyj TU.

a także (prawdopodobna droga infekcji - pendrive):

Run free flash disinfector (don't put your USB in until it tell you)

http://www.precisesecurity.com/tools-resou...sh-disinfector/

[Tyszek91]

No dobra wygląda to zdecydowanie lepiej.

1. Uruchom OTL i kliknij opcję Sprzątanie. Usunie to pozostałości po działaniu OTL.

Zrobione.

2. Uruchom program Defogger i ponownie włącz emulację (opcja Enable).

Chodzilo o re-enable ? Bo to zrobilem.

Napisz jak obecnie działa system? Czy coś dziwnego jeszcze wyskakuje?

Hm, a wiec tak po pierwsze co i najwazniejsze to to, ze info z Aviry o tym wirusie wyskoczylo znowu (1 post), a wiec jest nadal.

A tak to nic innego nie zaobserwowalem. To co teraz?

[3m2oo5]

Przeczytaj instrukcję, którą podałem i spróbuj wykonać ją krok po kroku. Jest to "recepta" na tego wirusa.

[Tyszek91]

@3m2oo5

1. Zrobilem skan jakims Spydig ale zeby usunac to co ponizej kazali mi sie zarejestrowac, no i placic -.-)

Link:

http://img375.imageshack.us/i/skanl.jpg/

btw. Czemu Avira tego nie usunela przy skanowaniu? Jest zaktulizowana ;P

Nie wiem czy z tymi rejestrami mam sie bawić czy nie..

2. Za bardzo nie wiem o co chodzi, btw. chyba bez 1.) tego nie wykonam.

3. Done

4. Co do tych pendrivów, to bardzo mozliwe.. xd

Flash Disinfector, done

Edit:

Zrobilem teraz skana Avira i az 51 wirow :o

Report:

http://wklej.org/id/388804/

Wszystkie w tym System Volume Information ;|

[Sevard]

System Volume Information to punkty przywracania systemu. To nie są aktywne infekcje i nie należy się nimi zbytnio przejmować. Antywirusy mają problemy z usuwaniem wirusów, które się tam znajdują, bo nie mają odpowiednich uprawnień. Tym z pewnych przyczyn należy zająć się na końcu.

Zaktualizuj Internet Explorera (nawet jeśli go nie używasz) oraz Javę do najnowszych wersji, bo widzę, że masz stare i dziurawe wersje.

Jeśli aktualizacje się powiodą, to wyłącz i ponownie włącz przywracanie systemu na wszystkich dyskach (zresetuje to punkty przywracania), a następnie utwórz nowy punkt przywracania. Jeśli się nie powiodą, to napisz co nie wyszło.

Na koniec możesz jeszcze wykonać pełne skanowanie systemu programami Malwarebytes' Anti- Malware oraz Dr.Web CureIt!. Jeśli coś znajdą, to napisz, ale nie powinno już być aktywnych infekcji.

[Tyszek91]

Aktualizacja zrobione, tylko nie bardzo to rozumiem:

"Jeśli aktualizacje się powiodą, to wyłącz i ponownie włącz przywracanie systemu na wszystkich dyskach (zresetuje to punkty przywracania), a następnie utwórz nowy punkt przywracania. Jeśli się nie powiodą, to napisz co nie wyszło."

Moglbys to dokladnie opisac co, gdzie jak bo nie chce czegos zchrzanic ;P

Skany: Malwarebytes' Anti- Malware oraz Dr.Web CureIt! zrobie

[Sevard]

Tu masz wyjaśnione jak dostać się do odpowiednich opcji.

Malwarebytes' oraz Dr.Web znalazły coś?

[Tyszek91]

Ok zrobie pozniej te przywracanie systemu..

Malwarebytes' Anti- Malware

36 zagrozen :s

Log:

http://wklej.org/id/388991/

Log po usunieciu:

http://wklej.org/id/388997/

Tym Dr.Web zrobic tez zrobic?

[Sevard]

Tempy były czyszczone przez OTL, więc ponowna infekcja nastąpiła już po ostatnim logu. Zresztą widać to po logach z OTL, bo porównując je z Malwarebytes' brakuje w nich wpisów dotyczących infekcji. Tak na oko infekcja z pendrive'a, więc mam pytanie, w jaki dokładnie sposób użyłeś Flash Disinfectora? Tzn. najpierw uruchomiłeś program, a potem dopiero podłączyłeś pendrive, czy na odwrót?

Zabawę niestety trzeba zacząć od początku. Poproszę nowe logi z OTL (w OTL zaznacz jeszcze opcję Skanuj wszystkich użytkowników, poza tymi opcjami, które były wcześniej zaznaczone) i RootRepeal.

Malwarebytes' wykrył między innymi fałszywe oprogramowanie antyspyware, więc będzie to trzeba dokładniej sprawdzić. Część rzeczy to nie są aktywne infekcje, a po prostu zarażone pliki na dysku.

@3m2oo5 Wszystko o czym pisałeś zostało usunięte skryptem, proszę więc nie wcinaj się więcej, gdy ktoś walczy ze szkodnikami przy pomocy logów, bo wtedy każda zmiana w systemie w międzyczasie może się skończyć źle.

[3m2oo5]

Przecież siedzę cicho. Obserwuje jedynie. bo jestem ciekaw rozwiązania

[Tyszek91]

więc mam pytanie, w jaki dokładnie sposób użyłeś Flash Disinfectora? Tzn. najpierw uruchomiłeś program, a potem dopiero podłączyłeś pendrive, czy na odwrót?

Pierw wlozylm pendrive..

Zabawę niestety trzeba zacząć od początku. Poproszę nowe logi z OTL (w OTL zaznacz jeszcze opcję Skanuj wszystkich użytkowników, poza tymi opcjami, które były wcześniej zaznaczone) i RootRepeal.

OTL:

Extras.txt

http://wklej.org/id/389073/

OTL.txt

http://wklej.org/id/389074/

RootRepeal:

http://wklej.org/id/389080/

Malwarebytes' wykrył między innymi fałszywe oprogramowanie antyspyware, więc będzie to trzeba dokładniej sprawdzić. Część rzeczy to nie są aktywne infekcje, a po prostu zarażone pliki na dysku.

Tzn. ?

Edit:

2 razy mi wyskoczylo cos takiego wiec pytam co to znowu?;|

http://img545.imageshack.us/i/blocked.jpg/

[Sevard]

Pierw wlozylm pendrive..

I to sporo tłumaczy. 3m2oo5 napisał czego użyć, ale nie napisał jak. Najpierw należy uruchomić Flash Disinfectora i dopiero wtedy, gdy program na to zezwoli podłączyć pendrive.

Malwarebytes' wykrył między innymi fałszywe oprogramowanie antyspyware, więc będzie to trzeba dokładniej sprawdzić. Część rzeczy to nie są aktywne infekcje, a po prostu zarażone pliki na dysku.

Tzn. ?

Tzn. że były pliki na dysku, które są zarażone, ale które nie zainfekowały systemu. A jeśli chodzi o oprogramowanie szpiegowskie, to zobaczymy, czy to coś groźnego.

A właśnie, część rzeczy, które wykrył Malwarebytes' niekoniecznie musi oznaczać infekcje, część rzeczy również nie musi być groźna. To zależy, ale lepiej te rzeczy usunąć i nie mieć potem problemów.

[edit]

@edit Wywal ten plik w kosmos. Teraz już mam pewność, że to świeża infekcja z pendrive'a.

[Tyszek91]

Nowe logi z OTL i RootRepeal sa wyzej.

No to co teraz mam zrobic?

[Sevard]

Większość rzeczy usunął Malwarebytes' zostało tylko parę rzeczy.

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

RECYCLER /alldrives

autorun.inf /alldrives


:Commands

[clearallrestorepoints]

[emptyflash]

[emptytemp]

[CreateRestorePoint]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log.

Log otrzymany po wykonaniu powyższego skryptu wrzuć na forum. Poza tym wrzuć nowe logi z OTL wygenerowane w ten sam sposób jak za pierwszym razem.

[Tyszek91]

Log ze skryptu:

http://wklej.org/id/389094/

Nowy log z OTLa:

Extras.Txt

http://wklej.org/id/389097/

OTL.Txt

http://wklej.org/id/389098/