Ivanek85 Opublikowano 22 Lipca 2012 Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Witam Podczas surfowania po sieci wyskoczył mi ekran z informacją w j.ang od FBI z informacją naruszenia prawa, pobierania nielegalnych plików itp. Oprócz tego po prawej stronie widnieje okienko z obrazem live z wbudowanej w laptopa kamery , co więcej podane są adresy IP oraz nazwa firmy dostarczającej mi internet - - bardzo mnie to niepokoi. Po pojawieniu się ekranu całkowicie tracę kontrolę nad komputerem mogę go tylko go wyłączyć. Ekran pojawia się tylko wtedy gdy mam podłączony internet, gdy włączam komputer z odpiętym kablem od neta ekran się nie pojawia a komputer działa prawidłowo- tylko że nie mam internetu :/. Po podłączeniu kabla mija 5 s i wyskakuje wyżej opisany ekran - dramat. Komputer włączyłem w trybie awaryjnym z obsługą sieci - działa OK. W tym trybie też przygotowałem wszystkie potrzebne logi z OTL oraz GMER - zgodne z instrukcją na tym forum. Proszę o pomoc. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Są tu dwie infekcje, owa "blokada FBI" + GMER pokazuje obecność rootkita Rloader. Logi z OTL zostały zrobione z poziomu złego konta, wbudowanego w system Administratora a nie konta użytkownika: Computer Name: USER-4248E9EA3B | User Name: Administrator | Logged in as Administrator. To oznacza, że logi są różne, widzialny inny rejestr i inne foldery kont. To oznacza też, że skrót ctfmon.lnk infekcji FBI nie jest tu widzialny i załączę go "na czuja". 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. Zresetuj system. Z tego działania powstanie log na dysku C. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\wowyo.dat C:\Documents and Settings\All Users\Dane aplikacji\kp_0loor.pad C:\Documents and Settings\All Users\Dane aplikacji\07y0It.dat C:\Documents and Settings\user\Menu Start\Programy\Autostart\ctfmon.lnk :OTL IE - HKLM\..\SearchScopes\{06E8347A-B1F6-47A0-8463-5CB335307E4A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=3eb721c0-1cab-11e1-acee-001e333ff504&q={searchTerms}" IE - HKLM\..\SearchScopes\{228378E9-AAE8-46FE-A450-649902F4666B}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3eb721c0-1cab-11e1-acee-001e333ff504&q={searchTerms}" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3eb721c0-1cab-11e1-acee-001e333ff504&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={A3D29299-427F-4E9F-AA34-C2A51365B386}&q={searchTerms}&barid={A3D29299-427F-4E9F-AA34-C2A51365B386}" O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\Adobe Media Player.lnk = File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NuidFltr.dll -- (vet-filt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "53:UDP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. Loguj się na właściwe konto. 3. Kolejny krok to deinstalacje adware: - Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.0, SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.6, VshareComplete oraz vShare.tv plugin 1.3 (nośnik adware). - Otwórz Google Chrome, wejdź do Opcji i w Rozszerzeniach odmontuj: SweetIM for Facebook, vshare, VshareComplete. 4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz GMER. Dołącz też logi z usuwania: TDSSKiller z punktu 1, OTL z punktu 2, AdwCleaner z punktu 4. . Odnośnik do komentarza
Ivanek85 Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Witam Po zrealizowaniu całej powyższej instrukcji komputer działa poprawnie, znikł irytujący ekran FBI komputer działa jak przed awarią. Powstałe logi załączam poniżej. Na dysku C powstały 2 katalogi TDSSKiller_Quarantine i _OTL , można je usunąć? Czekam na dalsze instrukcje. Czy można się zabezpieczyć na przyszłość przed takimi atakami ?? czym najlepiej ?? TDSSKiller.2.7.47.0_23.07.2012_20.02.39_log.txt 07232012_201532.txt AdwCleanerS2.txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Nie potrzebne tyle logów z AdwCleaner, interesuje mnie tylko ten z usuwania, pozostałe odcinam. Na dysku C powstały 2 katalogi TDSSKiller_Quarantine i _OTL , można je usunąć? Spokojnie, to zawsze czyszczę na końcu. Rootkit wyleczony, infekcja FBI i adware też usunięte w dużej części. Ale są jeszcze odpadki + ten plik stawił opór: ========== FILES ==========File move failed. C:\WINDOWS\System32\wowyo.dat scheduled to be moved on reboot. Files\Folders moved on Reboot...File move failed. C:\WINDOWS\System32\wowyo.dat scheduled to be moved on reboot. PendingFileRenameOperations files...[2012-04-12 21:29:02 | 000,014,675 | -HS- | M] () C:\WINDOWS\System32\wowyo.dat : Unable to obtain MD5 Nie jest pewnym czy został skasowany, bo powyższe dane sugerują że nie, jednocześnie na dysku go już nie widzę. 1. Otwórz Google Chrome. Wejdź do Opcji. W zarządzaniu wyszukiwarkami przestaw domyślną ze SweetIM Search na np. Google, po czym SweetIM Search skasuj z listy. Następnie zamknij Google Chrome i otwórz w Notatniku do edycji plik: C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences W pliku tym wytnij odnośniki do wtyczek vShare.tv + LiveVDO. Dla porównania punkt 3 w tym temacie: KLIK. 2. Zamknij Firefox. Otwórz w Notatniku jego plik konfiguracyjny: C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\prefs.js W pliku tym wytnij wszystkie linie, które zaczynają się od sweetim* i browser.search.*, a także linię z browser.startup.homepage i keyword.URL. Zapisz zmiany w pliku. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\searchplugins\startsear.xml C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\searchplugins\sweetim.xml C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj C:\Documents and Settings\user\Dane aplikacji\wtxpcom C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software :OTL FF - prefs.js..extensions.enabledItems: {3697b17c-b572-4862-a5e6-7f922c0f3403}:1.1 IE - HKU\S-1-5-21-1960408961-527237240-1417001333-1004\..\SearchScopes\{20C4DF3C-420C-4A6F-B36A-B3D2DA094087}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=4CAFD93C-05C4-46D8-8BC2-4C7F1A579E82&apn_sauid=DA3A3D2E-5424-42FA-B6D5-B2C0B12CE24F&" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i w oknie wklej: :filefind C:\WINDOWS\System32\wowyo.dat Klik w Look i przedstaw wynikowy log. . Odnośnik do komentarza
Ivanek85 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Witam Wszystko zrobione logi w załączniku - mam nadzieję, że już tego niema. Dziękuję za pomoc i czekam na wiadomość. OTL.Txt SystemLook.txt 07262012_182831.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 (edytowane) Wygląda na to, że plik wowyo.dat rzeczywiście został usunięty. Pozostałe zadania też wykonane. Możemy przejść do tej partii zadań: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie (to skasuje z dysku wszystkie składniki OTL oraz historyczne szczątki ComboFix), w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Edytowane 31 Sierpnia 2012 przez picasso 1.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi