FB vir tvařící se jako aktualizace flashplayer

[Danstahr]

Spusťte znovu OTL, do okna dole vložte následující skript, nahoře stiskněte nejprve talčítko Nekontrolovat a poté Prohledat. Výstupní log sem vložte.

Kód: Vybrat vše

type c:\boot.ini >> test.txt /c

Kasperskyho odinstalujte a proskenujte PC AVPToolem (http://www.viry.cz/forum/viewtopic.php?f=29&t=58179).

[standysman]

OTL logfile created on: 22.8.2011 23:16:27 - Run 3
OTL by OldTimer - Version 3.2.26.5 Folder = H:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000405 | Country: Česká republika | Language: CSY | Date Format: d.M.yyyy

3,37 Gb Total Physical Memory | 0,87 Gb Available Physical Memory | 25,77% Memory free
5,16 Gb Paging File | 2,84 Gb Available in Paging File | 55,01% Paging File free
Paging file location(s): G:\pagefile.sys 2020 2034 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 19,54 Gb Total Space | 2,17 Gb Free Space | 11,10% Space Free | Partition Type: NTFS
Drive D: | 54,98 Gb Total Space | 3,23 Gb Free Space | 5,87% Space Free | Partition Type: NTFS
Drive G: | 2,00 Gb Total Space | 0,03 Gb Free Space | 1,56% Space Free | Partition Type: NTFS
Drive H: | 1002,05 Mb Total Space | 991,07 Mb Free Space | 98,90% Space Free | Partition Type: FAT32

Computer Name: STANDA | User Name: Standysman | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

========== Custom Scans ==========


< type c:\boot.ini >> test.txt /c >
[boot loader]
timeout=4
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

< End of report >

[standysman]

ty windows 0 pak dám dám pryč, měl jsem spuštěnou předtím opravnou konzoli od win xp a rozběhla se instalace sekundárního systému hlavní jsou klasický windows

[standysman]

přehlídl jsem ten scan, už na tom makam

[standysman]

Tak snad finální log:

Status: Quarantined (events: 1)
22.8.2011 23:55:59 Quarantined Trojan program Trojan-Spy.HTML.Fraud.gen Outlook\Osobní složky\Vrchol osobních složek\Nezdařené synchronizace\Konflikty\[From:Chase][Subject:Chase Bank customer service: enhanced online security measures.][Time:2008/11/10 23:34:33]/HTMLBody High
Status: Deleted (events: 2)
23.8.2011 0:47:43 Deleted Trojan program Trojan.Win32.Swisyn.bsgf H:\OTL.exe High
23.8.2011 0:47:43 Deleted Trojan program Trojan.Win32.AntiAV.odo H:\_OTM\MovedFiles\08222011_193842\C_WINDOWS\services32.exe High


měl jsem k počítači připojenu flashku takže ty dva soubory na H se asi nepočítají.

Počítač se tváří normálně, k internetu jsem ho zatím nepřipojoval. když teďka nemá ochranu.
Co tedy dále, Hotovo?

[standysman]

počítač teda funguje, jenom je nutné mít nesustále přes msonfig vypnutý safeboot, jinak zase skončí v nouzáku. A přihlašuje se bez úvodní obrazovky a s bez hesla.

[Danstahr]

Pozor! Tato utilita má velkou schopnost mazat a její použití je určeno výhradně členům týmu tohoto fóra. Svévolné použití může vést ke zboření a reinstalaci systému

Stáhněte ComboFix a uložte jej na Plochu.

Vypněte všechny rezidentní štíty antivirů a všechny programy běžící na pozadí.
Spusťte ComboFix s administrátorským oprávněním.
Potvrďte licenční podmínky a případně i instalaci konzoly pro zotavení
Během skenu nechte počítač naprosto v klidu.
Sken trvá zhruba 15 minut, ale doba se může lišit v závislosti na stavu systému
Po dokončení skenu se zobrazí log (pokud by se neotevřel, lze jej nalézt na systémovém disku jako ComboFix.txt), obsah logu vložte sem
ComboFixu si do dalšího pokynu nevšímejte

[standysman]

ComboFix 11-08-23.03 - Standysman 23.08.2011 16:47:03.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3447.668 [GMT 2:00]
Spuštěný z: d:\download\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\ehome\medctrro.exe
c:\windows\iun6002.exe
c:\windows\proc_list1.log
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-07-23 do 2011-08-23 )))))))))))))))))))))))))))))))
.
.
2011-08-22 21:40 . 2011-08-22 21:40 -------- d-----w- c:\program files\CleanUp!
2011-08-22 16:15 . 2011-08-22 16:15 -------- d--h--w- c:\documents and settings\Default User.WINDOWS.0
2011-08-22 16:15 . 2011-08-22 16:15 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0
2011-08-22 15:11 . 2011-08-22 15:11 -------- d-----w- c:\documents and settings\Standysman\Data aplikací\Malwarebytes
2011-08-22 15:10 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-22 15:10 . 2011-08-22 15:10 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-08-22 15:10 . 2011-08-22 15:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-22 15:10 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-22 14:32 . 2011-08-22 14:32 -------- d-----w- c:\program files\trend micro
2011-08-22 14:32 . 2011-08-22 14:32 -------- d-----w- C:\rsit
2011-08-22 11:32 . 2011-08-22 11:32 -------- d-----w- c:\documents and settings\Administrator
2011-08-22 10:55 . 2011-08-22 10:55 -------- d-----w- c:\documents and settings\LocalService\Nabídka Start
2011-08-11 08:40 . 2011-08-11 08:40 -------- d-----w- c:\documents and settings\Standysman\Local Settings\Data aplikací\PCHealth
2011-08-10 11:31 . 2011-06-24 14:10 139656 -c----w- c:\windows\system32\dllcache\rdpwd.sys
2011-08-10 11:30 . 2011-07-08 14:02 10496 -c----w- c:\windows\system32\dllcache\ndistapi.sys
2011-08-07 21:02 . 2011-08-07 21:02 -------- d-----w- c:\program files\SuperSpeed
2011-08-04 13:32 . 2011-08-04 13:32 -------- d-----w- c:\documents and settings\Standysman\Data aplikací\Software602
2011-08-04 13:27 . 2011-08-04 13:27 -------- d-----w- c:\documents and settings\Standysman\Data aplikací\pdf995
2011-08-04 13:20 . 2011-08-04 13:31 -------- d-----w- c:\documents and settings\All Users\Data aplikací\pdf995
2011-08-04 13:20 . 2011-08-04 13:31 59 ----a-w- c:\windows\wpd99.drv
2011-08-04 13:20 . 2011-08-04 13:29 51716 ----a-w- c:\windows\system32\pdf995mon.dll
2011-08-04 13:20 . 2011-08-04 13:29 249856 ----a-w- c:\windows\system32\pdfmona.dll
2011-08-04 13:20 . 2011-08-04 13:30 -------- d-----w- c:\program files\pdf995
2011-07-29 11:02 . 2006-01-17 20:00 14008 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\DOM.JS
2011-07-29 11:02 . 2006-01-17 20:00 14643 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\FPLIB.JS
2011-07-29 11:02 . 2006-01-17 20:00 12235 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\GETOBJ.JS
2011-07-29 11:02 . 2006-01-17 19:58 18866 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\PRELOAD.JS
2011-07-29 11:02 . 2006-01-17 19:58 18466 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\SETTEXT.JS
2011-07-29 11:02 . 2006-01-17 19:57 22188 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\STRINGS.JS
2011-07-29 11:02 . 2006-01-17 19:56 11964 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\_JMPMENU.JS
2011-07-29 11:02 . 2006-01-17 19:56 15579 ----a-w- c:\documents and settings\Standysman\Data aplikací\Microsoft\Expression\Web Designer\Behaviors\Actions\_PRELOAD.JS
2011-07-27 13:09 . 2011-07-27 13:09 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2011-07-27 13:09 . 2011-07-27 13:09 -------- d-----w- c:\program files\Microsoft.NET
2011-07-27 13:07 . 2011-07-27 13:09 -------- d-----w- c:\program files\Microsoft Expression
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-15 09:34 . 2011-05-26 09:09 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-15 13:29 . 2004-08-03 21:15 456320 ------w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2001-10-25 14:00 10496 ------w- c:\windows\system32\drivers\ndistapi.sys
2011-06-24 14:10 . 2011-03-11 13:32 139656 ------w- c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2004-08-17 13:49 916480 ----a-w- c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2004-08-17 13:49 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-06-23 18:31 . 2004-08-17 13:49 43520 ------w- c:\windows\system32\licmgr10.dll
2011-06-23 12:05 . 2004-08-17 13:44 385024 ------w- c:\windows\system32\html.iec
2011-06-20 17:44 . 2004-08-17 13:49 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2004-08-17 13:44 1858944 ------w- c:\windows\system32\win32k.sys
2011-06-28 20:33 . 2011-05-13 08:49 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-06-15 15141768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-20 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-20 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-20 137752]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"HPUsageTracking"="c:\program files\HP\HP UT\bin\hppusg.exe" [2006-06-14 36864]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-02 204800]
"Print2PDF Print Monitor"="c:\program files\Software602\Print2PDF\Print2PDF.exe" [2011-04-12 222776]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"c:\\Program Files\\Foxit Software\\PDF Editor\\PDFEdit.exe"=
"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Common Files\\soft602\\langserv.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\CyberLink\\PowerDVD11\\PowerDVD11.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD11\\PDVD11Serv.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD11\\Common\\MediaServer\\CLMSServer.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Hry\\ccgeneralszerohour\\game.dat"=
"c:\\Program Files\\Tunngle\\TnglCtrl.exe"=
"c:\\Program Files\\Tunngle\\Tunngle.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9100:TCP"= 9100:TCP:tiskarna
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 SscRdBus;Virtual bus device (SuperSpeed LLC);c:\windows\system32\drivers\SscRdBus.sys [18.6.2009 8:23 65944]
R0 SscRdCls;RAM Disk (SuperSpeed LLC);c:\windows\system32\drivers\SscRdCls.sys [16.11.2007 15:58 37504]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [11.3.2011 17:33 218688]
R2 {329F96B6-DF1E-4328-BFDA-39EA953C1312};Power Control [2011/05/28 23:57];c:\program files\CyberLink\PowerDVD11\Common\NavFilter\000.fcl [28.5.2011 23:56 77296]
R2 602XML Updater;602Updater;c:\program files\Common Files\soft602\602updsvc\602updsvc.exe [14.3.2011 10:59 84520]
R2 CLHNServiceForPowerDVD;CLHNServiceForPowerDVD;c:\program files\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe [28.5.2011 23:56 83240]
R2 CyberLink PowerDVD 11.0 Monitor Service;CyberLink PowerDVD 11.0 Monitor Service;c:\program files\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe [28.5.2011 23:56 70952]
R2 CyberLink PowerDVD 11.0 Service;CyberLink PowerDVD 11.0 Service;c:\program files\CyberLink\PowerDVD11\Common\MediaServer\CLMSServer.exe [28.5.2011 23:56 312616]
R2 ntk_PowerDVD;ntk_PowerDVD;c:\program files\CyberLink\PowerDVD11\Kernel\DMP\ntk_PowerDVD.sys [28.5.2011 23:56 71664]
R2 TunngleService;TunngleService;c:\program files\Tunngle\TnglCtrl.exe [21.7.2011 17:21 741624]
R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle);c:\windows\system32\drivers\tap0901t.sys [21.7.2011 17:21 27136]
S2 OMSCAN;OMSCAN;\Sysě --> \Sysě [?]
S3 BCM42XX;Broadcom iLine10(tm) Network Adapter Driver;c:\windows\system32\drivers\bcm42xx5.sys [11.3.2011 16:41 54271]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19.2.2010 13:37 517096]
S3 VCam_WDM;e2eSoft VCam;c:\windows\system32\drivers\VCam_WDM.sys [13.3.2011 21:30 104376]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: {703C152F-46F5-4C39-8DE5-D113F9BD4031} - hxxp://model.dhlive.net/_component/fmewebencoder/FMEWebEncoder_v1.1.0.7.CAB
FF - ProfilePath - c:\documents and settings\Standysman\Data aplikací\Mozilla\Firefox\Profiles\4sr6mibw.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-23 16:51
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\OMSCAN]
"ImagePath"="\Sys"
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\{329F96B6-DF1E-4328-BFDA-39EA953C1312}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD11\Common\NavFilter\000.fcl"
.
Celkový čas: 2011-08-23 16:52:35
ComboFix-quarantined-files.txt 2011-08-23 14:52
.
Před spuštěním: 2 990 407 680
Po spuštění: 2 946 252 800
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0E4732F3FF2599C84E66E6CF7B86B264

[Danstahr]

Logy vypadají čisté. PC stále v pořádku?

[standysman]

nerestartoval jsem, ale nespadlo to, má tedy restartovat?

[standysman]

po restartu to pořád běží normálně, je teda pořád vyplej ten safeboot, to jsem nezkoušel zapínat.

[Danstahr]

To je pochopitelné, zaplý safeboot znamená automatické načítání nouzového režimu. Kaspersky mě mile překvapil, že vir do ničeho nepustil. Po úklidu ho nainstalujte zpět.

A jdeme čistit :

Odinstalujte MBAM.

Stiskněte současně klávesy Win (mezi CTRL a ALT, logo Windows) + R, do okna napište combofix /uninstall a stiskněte ENTER.

Stáhněte T-Cleaner. Potvrzování se provádí stisknutím A.

Stáhněte OTC, Spusťte jej a stiskněte CleanUp! Bude následovat restart.

Stáhněte TFC, spusťte jej a dejte Start.

Stáhněte CCleaner, nainstalujte a spusťte.

• Na záložce Čistič stiskněte tlačítko Spustit Cleaner
• Po provedení přepněte na záložku Registry, stiskněte Hledej problémy a poté Opravit vybrané problémy. Opakujte, dokud nebude po hledání problémů seznam prázdný.

[standysman]

ten combofix mi přijde že se spíše nějak znova instaluje, provádí to zase tu kontrolu. to je správně?

[Danstahr]

Nechte jej pracovat, pokud by se neodinstaloval, zkusíme jiný způsob.

[standysman]

tak snad se odinstaloval, provedl jsem všechny zmíněné kroky a v registrech již není žádný problém.