FFooXX5 Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 witam mam od wczoraj taki problem normalnie się przeraziłem wyskakuje stronka z takim nagłówkiem logo FBI ATTENTION! widnieje na niej moje miasto IP i podgląd z kamerki, podany jest numer konta i żeby wpłacić 100 dolarów o co chodzi? czy zostałem namierzony przez FBI ale za co, czy to może wirus ta stronka wyskakuje jak jest połączenie z netem jak nie ma to nie wyskakuje. Proszę o pomoc. Pozdrawiam Panią picasso, która była mi kiedyś bardzo pomocna i licze na kolejną pomoc Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Objawy = trojan klasy "ransomware". I co to za dywagacje, przecież tu należy podać obowiązkowe logi (KLIK). Odnośnik do komentarza
FFooXX5 Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Objawy = trojan klasy "ransomware". I co to za dywagacje, przecież tu należy podać obowiązkowe logi (KLIK). OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Trojan "FBI" widoczny, ale on nie jest najgorszy, tu siedzi rootkit Necurs: SRV - [2012-06-22 18:33:18 | 000,066,488 | ---- | M] () [unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\51d3cfa2ac34a62a.sys -- (51d3cfa2ac34a62a) 1. W pierwszej kolejności musi być zdjęty rootkit. Zastosuj zgodnie z opisem ESET Necurs Remover. Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\to_r0tsef.pad C:\WINDOWS\System32\sycd5.dll :OTL O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKCU..\Run: [0i763f66bz] C:\Documents and Settings\FFooXX\0i763f66bz.exe (SmoothCandle) O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2. . Odnośnik do komentarza
FFooXX5 Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 wykonałem zgodnie z instrukcją. Po wykonaniu procedury ESET Necurs Remover po restarcie wyskoczył błąd (Wystąpił błąd podczas ładowania C:\DOCUME~1\FFooXX\USTAWI~1\Temp\fest0r_ot.exe Nie można odnaleźć określonego modułu) Strona z FBI już się nie pojawia więc coś tam zostało usunięte OTL.Txt 07152012_211650.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 W międzyczasie uruchamiałeś ComboFix, po co do diabła? Nie otrzymałeś takich instrukcji. Po wykonaniu procedury ESET Necurs Remover po restarcie wyskoczył błąd (Wystąpił błąd podczas ładowania C:\DOCUME~1\FFooXX\USTAWI~1\Temp\fest0r_ot.exe Nie można odnaleźć określonego modułu)Strona z FBI już się nie pojawia więc coś tam zostało usunięte Tu były aż dwie infekcje. ESET Necurs Remover usuwał rootkita Necurs, co nie ma związku z tymi planszami "FBI". Te plansze robił skrót ctfmon.lnk kierujący do pliku C:\Documents and Settings\FFooXX\Ustawienia lokalne\Temp\fest0r_ot.exe. Obie rzeczy były zaplanowane do usunięcia skryptem OTL. Pojawił się ten błąd przy starcie, gdyż OTL wyczyścił lokalizacje tymczasowe, ale skrót ctfmon.lnk nie został usunięty (tzn. OTL go kasował, ale on powrócił), nadal jest w logu: [2012-07-15 21:16:51 | 000,001,614 | ---- | M] () -- C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk Wymagane poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\FFooXX\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\51d3cfa2ac34a62a.sys -- (51d3cfa2ac34a62a) DRV - [2012-05-24 19:11:15 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\11871938.sys -- (11871938) [2012-07-15 21:16:51 | 000,001,614 | ---- | M] () -- C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk [2012-06-22 18:33:18 | 000,066,488 | ---- | M] () -- C:\WINDOWS\System32\drivers\51d3cfa2ac34a62a.sys.vir Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nie ma potrzeby robić nowego skanu. . Odnośnik do komentarza
FFooXX5 Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 wykonałem 07162012_062421.txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Skrypt jakoby nie widział tego pliku: C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk. Upewnij się, że na pewno go nie ma. Poza tym reszta wykonana. Przejdź do wykonania tych czynności: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\FFooXX\Pulpit\ComboFix.exe" /uninstall 2. W OTL uruchom Sprzątanie, które skasuje kwarantannę + OTL. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt oraz używany ESET Necurs Remover. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
FFooXX5 Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 pliku: C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk nie ma, sprawdziłem 1. Wykonane 2. Wykonane 3. Wykonane, niczego nie wykryło Jedyny problem teraz to że po każdym uruchomieniu kompa, po załadowaniu się systemu za chwile słychać potrójny sygnał systemowy Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Do wykonania istotne podstawowe aktualizacje: KLIK. Wykaz z Twojej listy zainstalowanych co wymaga interwencji / sprawdzenia: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java 7 Update 3"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF) ----> już jest najnowsza"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Google Chrome" = Google Chrome 19.0.1084.52 PS. I mam uwagę na temat Gadu-Gadu 10. Jest to program zainteresowany głównie w wyciskaniu zasobów systemowych i dręczeniu reklamami. Sugeruję wypróbowanie mniej rażących aplikacji z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy zlokalizowane w artykule Darmowe komunikatory. Jedyny problem teraz to że po każdym uruchomieniu kompa, po załadowaniu się systemu za chwile słychać potrójny sygnał systemowy Wątpię, by to było powiązane z infekcją (już usuniętą). Czy w Dzienniku zdarzeń jest może nagrany pasujący do zdarzenia błąd? I możesz przetestować czy dźwięku nie tworzy któryś z programów w starcie, tzn. Start > Uruchom > msconfig i w karcie Uruchamianie po kolei odznacz wpisy od programów + restart, aż wychwycisz który z nich generuje dźwięk. . Odnośnik do komentarza
FFooXX5 Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 ten sygnał powoduje TBPANEL ma zostać odznaczony czy jest jakiś inny sposób? Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Może pozostać odznaczony, ale ja kieruję w lepsze rozwiązanie, czyli całkowitą deinstalację tweakera Vtune 7.6. Powód: okropnie sfatygowany soft. Patrz na datowanie sterowników w logu, sprzed 5 lat: DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex) . Odnośnik do komentarza
FFooXX5 Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 wykonane, wszystko działa tak jak powinno, dziękuję bardzo za rzetelną i sprawną pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi