Wtorkowa infekcja, reakcja AVG - możliwe resztki?

[Galactico]

Objawy zainfekowania:
29 stycznia AVG IS 2013 podczas korzystania z Internetu AVG IS wykrył program wykorzystujący lukę zabezpieczeń Styx Exploi Kit.AVG podjął jakieś tam działania i coś usunął. Jednak system po załadowaniu się zawiesza…

Wykonywane działania:
Żadne...

Logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Lukasz_root]

Według mnie log jest czysty. Nie ma żadnej infekcji. Ale ten dział należy do tachiona, nie pomagam tutaj, więc niech on się wypowie.

Chyba przyjęte przez nas miano Ciebie jako hipochondryka jest prawdą.

AVG IS wykrył program wykorzystujący lukę zabezpieczeń Styx Exploi Kit.

Nie podałeś źródła wykrycia. Mogło być to również zwykłe FP.

[defacto19]

Wklej do OTL :

Kod:

:OTL
IE - HKU\S-1-5-21-1596584087-480411513-844043613-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 173.213.108.114:3128
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..network.proxy.http: "93.152.175.1"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.type: 0
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1596584087-480411513-844043613-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [AntiLogger] "C:\Program Files (x86)\AntiLogger\AntiLogger.exe" /minimized File not found
O4 - HKU\.DEFAULT..\RunOnce: [panda4_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f File not found
O4 - HKU\.DEFAULT..\RunOnce: [panda4_0dn_XP] reg.exe delete "HKCU\Software\panda4_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn_XP] reg.exe delete "HKCU\Software\panda4_0dn" /f File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O20:[b]64bit:[/b] - Winlogon\Notify\avldr: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found

:Commands
[emptytemp]

Kliknij wykonaj skrypt . Zatwierdź restart komputera.

Po restarcie wykonaj ponownie skanowanie i pokaż nowy log OTL.Txt

[tachion]

No to piknie Iluminaci przez proxy mają dostęp to się nie dziwie że avg się odzywa<!-- s--> <!-- s-->

[Galactico]

No odetkało mi się... Usunąłem javę i ale też długo czekałem... Za chwilę dam nowy log.

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

Pozostałości po vipre, javie, pandzie...

[Lukasz_root]

Pozostałości po vipre, javie, pandzie...

Dokładnie. Tutaj nie było żadnej infekcji, tylko włączony serwer proxy i śmieci.

[Galactico]

Pozostałości po vipre, javie, pandzie...

Da się przez OTL usunąć?

[tachion]

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj,pokaż po tym działaniu raport

Kod:

:Processes
Killallprocesses

:OTL
DRV:[b]64bit:[/b] - [2011-04-05 16:35:20 | 000,253,528 | ---- | M] (Sunbelt Software, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\SbFw.sys -- (SbFw)
DRV:[b]64bit:[/b] - [2011-04-05 16:35:20 | 000,060,504 | ---- | M] (Sunbelt Software, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\sbhips.sys -- (sbhips)
DRV:[b]64bit:[/b] - [2011-02-08 08:14:20 | 000,084,568 | ---- | M] (Sunbelt Software, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SbFwIm.sys -- (SBFWIMCLMP)
DRV:[b]64bit:[/b] - [2011-02-08 08:14:20 | 000,084,568 | ---- | M] (Sunbelt Software, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\SbFwIm.sys -- (SBFWIMCL)
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin:File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin:File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\[email protected]: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
[2013-01-26 09:13:56 | 000,002,112 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\sfzmit2m.default\searchplugins\search.xml
O2:[b]64bit:[/b] - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2:[b]64bit:[/b] - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O16:[b]64bit:[/b] - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O20:[b]64bit:[/b] - Winlogon\Notify\avldr: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2012-09-28 19:37:13 | 000,000,000 | ---D | M] -- C:\Users\Kuba\AppData\Roaming\Panda Security

:Commands
[EMPTYJAVA]
[EMPTYTEMP]

[Galactico]

Raport:

Kod:

All processes killed
========== PROCESSES ==========
========== OTL ==========
Error: Unable to stop service SbFw!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SbFw deleted successfully.
C:\Windows\SysNative\drivers\SbFw.sys moved successfully.
Service sbhips stopped successfully!
Service sbhips deleted successfully!
C:\Windows\SysNative\drivers\sbhips.sys moved successfully.
Error: Unable to stop service SBFWIMCLMP!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SBFWIMCLMP deleted successfully.
C:\Windows\SysNative\drivers\SbFwIm.sys moved successfully.
Service SBFWIMCL stopped successfully!
Service SBFWIMCL deleted successfully!
File C:\Windows\SysNative\drivers\SbFwIm.sys not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin\ not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\[email protected] deleted successfully.
File C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird not found.
C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\sfzmit2m.default\searchplugins\search.xml moved successfully.
Starting removal of ActiveX control {233C1507-6A77-46A4-9443-F871F945D258}
C:\Windows\Downloaded Program Files\swdir.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{233C1507-6A77-46A4-9443-F871F945D258}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{233C1507-6A77-46A4-9443-F871F945D258}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{233C1507-6A77-46A4-9443-F871F945D258}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{233C1507-6A77-46A4-9443-F871F945D258}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
C:\Users\Kuba\AppData\Roaming\Panda Security\Panda Cloud Antivirus folder moved successfully.
C:\Users\Kuba\AppData\Roaming\Panda Security folder moved successfully.
========== COMMANDS ==========

[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: Kuba
->Java cache emptied: 0 bytes

User: Public

Total Java Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Kuba
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1545599 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 424225242 bytes
->Google Chrome cache emptied: 12620409 bytes
->Flash cache emptied: 2227 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 31736 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 418,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02012013_213452

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Po wykonaniu skryptu nie mam połączenia z internetem? Co jest?

[zord]

Wiedziałem że tak będzie nieprawidłowo odinstalowałeś wipre zostały sterowniki sieciowe i po ich usunięciu taki skutek.
W menadżerze urządzeń spróbuj odinstalować i zainstalować kartę sieciową.

[tachion]

He no sam chciał ale miałem to samo napisać,zrób tak jak pisze zord

Odinstaluj sterownik i uruchom kompa ponownie

[Galactico]

Wiedziałem że tak będzie nieprawidłowo odinstalowałeś wipre zostały sterowniki sieciowe i po ich usunięciu taki skutek.
W menadżerze urządzeń spróbuj odinstalować i zainstalować kartę sieciową.

Dokładnie jak to zrobić, bo nie widzę takiej opcji...

[zord]

Otwieranie Menedżera urządzeń

[Aby zobaczyć linki, zarejestruj się tutaj]

Znajdź karty sieciowe i je odinstaluj potem na górze kliknij akcja i skanuj w poszukiwaniu zmian sprzętu

[Galactico]

Otwieranie Menedżera urządzeń

[Aby zobaczyć linki, zarejestruj się tutaj]

Znajdź karty sieciowe i je odinstaluj potem na górze kliknij akcja i skanuj w poszukiwaniu zmian sprzętu

Okey.. Tyle to i ja się pokapowałęm, ale ja tam mam w tym drzewku kilka pozycji z taką zółtą tarczą"
Atheros Wireles Network
Broadcom NetLink
Karta wirtualnego miniportu
Wan miniport
Wan miniport
Wan miniport

[zord]

wywal wszystko system powinien zainstalować to ponownie

[Galactico]

A zaznaczyć to pole: "Usuń oprogramowanie sterownika dla tego urządzenia"?

[zord]

tak

[Galactico]

Odinstalowałem, kliknąłem akcja i skanuj w poszukiwaniu zmian sprzętu, zrestartowałem komputer i nic... dalej są z tą zółtą tarczą...

---

Dodano: 01 lut 2013, 23:09

Ale mi się pochrzaniło kompletnie.... tak, że musiałem przywracać system.... Przywróciłem do tego nieszczęsnego 29 stycznia. Więc proszę mi powiedzieć tak na spokojnie, czy w tym pierwszym logu nie było nic podejrzanego?

[tachion]

Nie ma infekcji same śmieci,ogólnie to byś musiał zainstalować vipre i poprawnie się jego pozbyć,jeśli nie chcesz żeby był w raz ze sterownikami które implementują własne filtry sieciowe,tutaj one zostały usunięte w skrypcie i dlatego taki problem był