Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.

#1
Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
Dzień dobry.
Posiadam system Win 7 Home Premium 32 Bit zabezpieczony McAfee AntiVirus Plus + Malwarebytes' Anti-Malware 1.46 jako skaner na żądanie.
Dziś w nocy złapałem śmiecia SecurityTool.
1. McAfee nie zareagował
2. Podjąlem próby usunięcia ręcznego ale upierdliwiec dość skutecznie w tym przeszkadzał.
3. Wszedłem w tryb awaryjny
4. Zastosowałem Malwarebytes' Anti-Malware, który usunął dziadostwo -> poniżej log
5. Po restarcie nie widzę aby system wykazywał jakieś nienormalne objawy

Mimo wszystko bardzo proszę doświadczonych forumowiczów o kontrolne sprawdzenie czy infekcja/infekcje zostały usunięte.
Poniżej załączam kontrolne logi Malwarebytes, HijackThis i Sillent.
Za pomoc z góry dziękuję.[attachment=29369][attachment=29370][attachment=29371][attachment=29373]
W związku z tym, że HitmanPro pokazuje mi jakiś ukryty sterownik, który ma być możliwym wariantem rootkita TDL3(aka Alureon), wklejam także loga z Catchme
 System operacyjny: windows_seven Przeglądarka: opera
#2
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
Infekcja zdaje się wyleczona. Daj logi (2) z OTL.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: ie8
#3
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
(14.08.2010, 17:02)broda99 napisał(a): Infekcja zdaje się wyleczona. Daj logi (2) z OTL.
Dzięki za zainteresowanie.
Załączam logi z OTL.

[attachment=29375][attachment=29376]
 System operacyjny: windows_seven Przeglądarka: opera
#4
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
Ślad infekcji z pendrive'a. Podepnij używane pen'y do PC, użyj Flash Desinf.

W OTL wklej:
Kod:
:processes
explorer.exe

:OTL
O33 - MountPoints2\{ff37eee5-18d0-11df-be1e-0024541b57b8}\Shell - "" = AutoRun
O33 - MountPoints2\{ff37eee5-18d0-11df-be1e-0024541b57b8}\Shell\AutoRun\command - "" = H:\AutoRun.exe -- File not found
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\AutoRun.exe -- File not found
O34 - HKLM BootExecute: (UDBDef C) -  File not found

:Command
[emptytemp]
[claerallrestorepoints]
[start explorer]
[reboot]
Kliknij RunFix (wykonaj skrypt).
Zacznie się usuwanie, system ma się zrestartować. Powstanie log - zapisz.

Co to za katalog: C:\Users\Kruszon\AppData\Roaming\.# ?

W SystemLook wklej:
Kod:
Filefind
AutoRun.exe
Kliknij Look. Pokaż, co wyskoczyło.

Uruchamiałeś jakiś program z Sysinterials - bez powodzenia:
Cytat:Usługa HMINMRLSMRAA jest oznaczona jako usługa interakcyjna. System
jest jednak skonfigurowany tak, aby nie zezwalać na usługi interakcyjne, dlatego
ta usługa może nie działać właściwie.
Co to było?

I jeszcze:
Cytat:Nie można wyodrębnić listy głównej innych firm z pliku cab automatycznej
aktualizacji z: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>,
wystąpił błąd: Wymagany certyfikat jest poza okresem ważności, co wynika z weryfikacji
bieżącego zegara systemowego lub sygnatury czasowej.
To się pojawiło teraz, czy...

Jeszcze raz zrestartuj kompa - daj nowe logi OTL.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: ie8
#5
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
Zacznę od tyłu:
1. "Nie można wyodrębnić listy głównej innych firm z pliku cab automatycznej..." itd. -> nie wiem co to jest ale w dzienniku Aplikacja widzę, że jest od 11.07.2010. Z laptopa korzysta także mój młodszy syn
2. "Uruchamiałeś jakiś program z Sysinterials - bez powodzenia:" -> tak próbowałem skany RootKitRevaler bo niepokoi mnie info o Rottkit podana przez Hitmana Pro i chciałem dać wyniki na forum.
3."Co to za katalog: C:\Users\Kruszon\AppData\Roaming\.# ?" -> kompletnie nie wiem co to jest
4. "Ślad infekcji z pendrive'a. Podepnij używane pen'y do PC, użyj Flash Desinf." -> nie uzywam Pendrive'a. Pewnie sprawka syna. Jak wróci zrobię jego dezynfekcję
5. Nowe logi zaraz podrzucę
Podaję logi OTL i SystemLook:.
Kurcze, nie wiem gdzie zapisał się log OTL wygenerowany tuż po wykonaniu skryptu -> były tam informacje o skasowaniu jakiś kluczy rejestru.
[attachment=29378][attachment=29379][attachment=29380]
 System operacyjny: windows_seven Przeglądarka: opera
#6
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
Lepiej, ale nie do końca. W OTL wklej:
Kod:
:Processes
explorer.exe

:OTL
SRV - [2010/08/14 16:40:28 | 000,453,504 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Kruszon\AppData\Local\Temp\HMINMRLSMRAA.exe -- (HMINMRLSMRAA)
SRV - [2010/08/14 16:35:16 | 000,428,928 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Kruszon\AppData\Local\Temp\KEX.exe -- (KEX)
SRV - [2010/08/14 16:31:04 | 000,519,040 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Kruszon\AppData\Local\Temp\WXBA.exe -- (WXBA)
SRV - [2010/08/14 16:28:40 | 000,416,640 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Kruszon\AppData\Local\Temp\YUTTNMSBN.exe -- (YUTTNMSBN)
SRV - [2010/08/14 16:19:21 | 000,367,488 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Kruszon\AppData\Local\Temp\WPXSOJ.exe -- (WPXSOJ)
SRV - [2010/08/14 16:15:36 | 000,338,816 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Kruszon\AppData\Local\Temp\XMJX.exe -- (XMJX)
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:A42A9F39
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:ABE89FFE

:commands
[Emptytemp]
[start explorer]
[Reboot]
Dalej jak poprzednio.

W SystemLook wklej (nie zauważyłem, ża poprzednio nie klepnął się ":"):
Kod:
:Filefind
autorun.exe
Look.
Daj logi.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: ie8
#7
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
OTL po wykonaniu skryptu:

[attachment=29382]

OTL - skan po restarcie:
[attachment=29383]
[attachment=29384]

SystemLook:
[attachment=29385]
 System operacyjny: windows_seven Przeglądarka: opera
#8
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
Jak dla mnie jest OK. Jeszcze mały retusz - sprawdź, czy w pliku hosts masz taki wpis, jak tu: http://support.microsoft.com/kb/972034. Jak nie zastosuj się do instrukcji (polecam ręczną edycję pliku - chodzi tylko o tą jedną (w zasadzie drugą) linijkę.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: ie8
#9
RE: Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.
(15.08.2010, 00:27)broda99 napisał(a): Jak dla mnie jest OK. Jeszcze mały retusz - sprawdź, czy w pliku hosts masz taki wpis, jak tu: http://support.microsoft.com/kb/972034. Jak nie zastosuj się do instrukcji (polecam ręczną edycję pliku - chodzi tylko o tą jedną (w zasadzie drugą) linijkę.

Super.
Sprawdziłem wpisy w pliku hosts: są w porządku.
Broda99 jeszcze raz dzięki wielkie za pomoc i poświęcony czas.
Pozdrawiam
 System operacyjny: windows_seven Przeglądarka: opera
Programy: Polecane / Nowe / Inne




Podobne wątki (Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Infekcja komputera rlls.dll Krzychowest 6 5565 31.10.2017, 15:48
Ostatni post: Krzychowest
  Infekcja Mail.ru na laptopie paulina33 6 7813 13.09.2016, 15:33
Ostatni post: paulina33
  Nietypowe zachowanie komputera - prawdopodobna infekcja toomex 2 3891 01.04.2016, 17:44
Ostatni post: toomex

Skocz do:


Wybrane wątki (Infekcja SecurityTool - proszę o sprawdzenie po dezynfekcji.)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Wirus blokuje adwcleaner, malvarebytes Blu255 0 4471 18.09.2018 23:53
Ostatni post: Blu255
Ściana Hasło po wpisaniu hasła do komputera - jak dodatkowo zabezpieczyć PC? KrzysztofGo 3 4577 18.09.2018 16:37
Ostatni post: Officer Crabtree
  Połączenie nie jest prywatne? Preac 7 5465 15.09.2018 23:29
Ostatni post: Officer Crabtree
  Problem z niechcianym yahoo grzesiekDG 4 5195 15.09.2018 13:50
Ostatni post: grzesiekDG
  Problem z usunięciem URL:Mal. MyMati 6 1213 10.09.2018 14:27
Ostatni post: MyMati
Cry Redirect lukigniew 26 13429 05.09.2018 21:19
Ostatni post: Illidan
  Wolniejsza praca komputera oraz dziwne foldery w regedit. malcza 4 5221 25.08.2018 13:59
Ostatni post: malcza
  Samoczynne otwieranie się stron Panda00 2 5473 14.08.2018 09:25
Ostatni post: Panda00
  Wirus blokuje programy typu adwcleaner, malwarebytes Bartexi 4 6065 10.08.2018 19:01
Ostatni post: Bartexi
  Przy włączeniu się win 8.1 uruchamia się win wow sys 64. emilka100 8 1253 09.08.2018 19:08
Ostatni post: emilka100
  Wolna praca komputera paw123456789 6 8448 05.08.2018 15:13
Ostatni post: paw123456789
  Witam i proszę o sprawdzenie logów FRST majeda 3 6219 04.08.2018 04:54
Ostatni post: chuoiit25
  Wpisywanie hasła bankowego,a ciasteczka z innych stron. wodoodporny 1 5424 30.07.2018 16:30
Ostatni post: morderca
  Robak uruchamia różne strony podczas uruchamiania systemu aqu32 4 1289 27.07.2018 09:14
Ostatni post: aqu32
Question Dziwny suwak w Google Chrome krzysiek3542 2 5621 19.07.2018 16:46
Ostatni post: krzysiek3542