nika85 Opublikowano 8 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 8 Sierpnia 2012 Witam Jestem początkującym użytkownikiem na tym forum i mimo,że w sprawach komputera nie jetem zielona nie potrafię sama poradzić sobie z opisanym poniżej problemem. Mam następujący problem program antywirusowy Anvi Smart Defender zaczął wyświetlać mi jakiś czas temu ok 3-4 tyg. wcześniej bardzo często komunikat,że dany plik ( a były to różne pliki ) jest zainfekowany Trojanem AVM.3348693. Po czym w efekcie skanowania znajdował ok 1200 różnych zainfekowanych plików- niby usuwał je , ale przy następnym skanowaniu na nowo były znajdowane..Zaczęłam więc sprawdzać różnymi innymi skanerami i w wyniku tego okazało się,że prawdopodobnie komputer jest zainfekowany rootkitem. Program mbr.exe wykrył,że w sektorze MBR znajduje się rootkit.Przeskanowałam więc Gmerem i mimo,że nie wyświetlił żadnego komunikatu na czerwono ani też monitu ,że znalazł rootkita to w logu pokazuje,że w sektorze dysku jest Win32:MBRoot . Natomiast, przy próbie załączenia programu Eset win32/Mebroot fixer dwa razy zrobił się blue screen..Proszę o sprawdzenie, czy rzeczywiście w systemie znajduje się szkodliwe oprogramowanie załączam logi z OTL i Gmer ( przedtem zgodnie z zaleceniami usunęłam wszystkie emulacje napędów i plik sptd.) Log Gmer http://wklej.org/id/806334/ Log OTL Extras http://wklej.org/id/806462/ i log http://wklej.org/id/806464/ Odnośnik do komentarza
Landuss Opublikowano 8 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 8 Sierpnia 2012 Nie sądzę by tu był rootkit w MBR. Gmer owszem wyświetla coś takiego: Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 78139164 Jednak wskazuje na sektor 78139164 a nie na sektor 0 początkowy więc infekcji tutaj nie ma. To prawdopodobnie szczątek po infekcji MBR, która być może kiedyś była na tym dysku. Z tym się nic nie robi i nie należy się przejmować. Takie co mogłoby zlikwidować jedynie zerowanie dysku. Odnośnik do komentarza
nika85 Opublikowano 8 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Sierpnia 2012 Dziękuję za sprawdzenie i odpowiedż. Przeskanuję jeszcze antywirusem dla pewności i w razie jakby coś znalazło to się odezwę:)Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Ja tu jednak proszę o skan Kaspersky TDSSKiller i przedstawienie raportu tekstowego z tego. Nie jest pewnym czy rootkit nie jest czynny, niedawno był temat gdzie w GMER zapis podobny do powyższego, a skaner z rodziny Kaspersky dopatrzył się jednak aktywności: KLIK. Ponadto, są do czyszczenia i inne ślady tej infekcji, czyli autoryzacje rootkita w zaporze Windows i sterowniki: ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Ale to po podaniu w/w skanu. . Odnośnik do komentarza
nika85 Opublikowano 20 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Hej, dzięki za zainteresowanie moim problemem.Oto skan z dzisiejszego dnia TDSSKilerem http://wklej.org/id/814678/ A tu zamieszczam skan zrobiony zanim napisałam na forum post. Wykrył właśnie coś i dałam do kwarantanny, ale nie wiem, czy mogę to już teraz skasować z kwarantanny? http://wklej.org/id/814680/ Odnośnik do komentarza
picasso Opublikowano 20 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Tak jak podejrzewałam, TDSSKiller wykrył czynnego rootkita w MBR: 08:15:18.0093 0452 \Device\Harddisk0\DR0\# - copied to quarantine08:15:18.0093 0452 \Device\Harddisk0\DR0 - copied to quarantine08:15:18.0173 0452 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - will be cured on reboot08:15:18.0273 0452 \Device\Harddisk0\DR0 - ok08:15:18.0273 0452 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - User select action: Cure Ale ten drugi wynik to nie było szkodliwe: 08:15:16.0831 0452 sptd ( LockedFile.Multi.Generic ) - User select action: Quarantine To niegroźny sterownik od emulatora napędów wirtualnych. Na teraz sprzątanie po skanerach, odpadków infekcji oraz adware, wpisów pustych. Kolejne czynności do wykonania: 1. Odinstaluj adware V9 HomeTool, wątpliwy reputacją Spy Hunter oraz Spy Emergency, a także Dll-Files.com Fixer. I ostrzeżenie, nie pobieraj tego rodzaju aplikacji, nie dość że jako skanery kwestionowalne, to jeszcze crackowane (crack to jedna z dróg nabycia rootkita MBR): [2012-08-07 11:32:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\d600\Pulpit\SpyHunter Security Suite 3.10.27 [ENG] [ Crack][2012-08-04 09:06:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\d600\Pulpit\Anti-Trojan Elite 5.6.1 [PL] [FULL] [Patch KEYS] 2. Usuń resztki po F-Secure posługując się firmowym deinstalatorem: KLIK. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh firewall reset /C rd /s /q C:\TDSSKiller_Quarantine /C :OTL SRV - File not found [On_Demand | Stopped] -- %ProgramFiles%\WinPcap\rpcapd.exe -- (rpcapd) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - File not found [Disabled | Stopped] -- C:\Program Files\iPod\bin\iPodService.exe -- (iPod Service) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc) SRV - File not found [Auto | Stopped] -- C:\Program Files\IObit\Advanced SystemCare 5\ASCService.exe -- (AdvancedSystemCareService5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\d600\USTAWI~1\Temp\f046ecf8.nmc\nse\bin\unhookmbrs.sys -- (UnhookMBRS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\UIUSys.sys -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\d600\USTAWI~1\Temp\f046ecf8.nmc\nse\bin\ndiskio.sys -- (NDISKIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avipbb.sys -- (avipbb) DRV - [2012-03-08 11:08:43 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\95805644.sys -- (95805644) DRV - [2007-03-01 10:34:36 | 000,028,352 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) O3 - HKLM\..\Toolbar: (no name) - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - No CLSID value found. O3 - HKU\S-1-5-21-1229272821-1677128483-854245398-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1229272821-1677128483-854245398-1003\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O3 - HKU\S-1-5-21-1229272821-1677128483-854245398-1003\..\Toolbar\WebBrowser: (no name) - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - No CLSID value found. O3 - HKU\S-1-5-21-1229272821-1677128483-854245398-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O8 - Extra context menu item: &Clean Traces - Reg Error: Value error. File not found O8 - Extra context menu item: &Download with &DAP - Reg Error: Value error. File not found O8 - Extra context menu item: Download &all with DAP - Reg Error: Value error. File not found O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Reg Error: Key error. File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Value error.) IE - HKU\S-1-5-21-1229272821-1677128483-854245398-1003\..\SearchScopes\{1B6030CE-DE06-4a7c-8316-4F5A7C76371F}: "URL" = "http://home.speedbit.com/search.aspx?aff=206&q={searchTerms}" IE - HKU\S-1-5-21-1229272821-1677128483-854245398-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={C274020F-08C8-48B6-BE50-6034C783A882}&mid=4b6e4863efe147d08532d1d90d6c8d3e-2c4c70b7239e315c2d29a54c0d6ca15cc37ca696&lang=pl&ds=AVG&pr=fr&d=2012-06-19 09:50:11&v=11.0.0.9&sap=dsp&q={searchTerms}" [2015-10-04 20:03:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\d600\Ustawienia lokalne\Dane aplikacji\G DATA [2012-08-05 12:23:31 | 000,159,600 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctgntdi.sys [2012-08-05 12:19:07 | 000,130,936 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTCore.sys [2012-08-05 12:19:07 | 000,073,840 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTAppEvent.sys [2012-08-05 12:18:03 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PC Tools [2012-08-03 13:07:51 | 000,000,028 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.bak [2012-07-03 00:53:37 | 001,474,832 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat [2011-10-25 20:59:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\d600\Dane aplikacji\Toolbar4 [2012-04-12 09:54:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess [2012-07-05 20:11:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA [2009-03-25 13:47:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\DriverScanner [2012-05-19 08:10:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F-Secure [2012-07-03 00:00:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\MFAData :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z usuwania OTL z punktu 3. . Odnośnik do komentarza
nika85 Opublikowano 21 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 21 Sierpnia 2012 Ok , zrobione wszystko według instrukcji Nowy log OTL http://wklej.org/id/815299/txt i log z usuwania z punktu 3 http://wklej.org/id/819913/txt/ Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Zadania wykonane. Przejdź do tej porcji zadaniowej: 1. Mała poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\spyemrg_guard.sys -- (SpyEmrgGuard) DRV - File not found [File_System | On_Demand | Stopped] -- System32\Drivers\spyemrg_access.sys -- (SpyEmrgAccess) DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\spyemrg.sys -- (SpyEmrg) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (azggdnop) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O34 - HKLM BootExecute: (E BootExecute settings..) [2012-08-21 00:08:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F-Secure uninstallationtool [2012-08-15 17:10:13 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\DLL-files.com Fixer_UPDATES.job [2012-08-07 11:33:32 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2012-08-07 11:32:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\d600\Pulpit\SpyHunter Security Suite 3.10.27 [ENG] [ Crack] [2012-08-03 08:29:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Spy Emergency [2012-08-04 17:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\d600\Dane aplikacji\dll-files.com [2012-03-18 16:30:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\d600\Dane aplikacji\Thinstall [2012-05-19 08:13:04 | 000,044,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\fsbts.sys :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Gdy ukończy, uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę. 2. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 11"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 5"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera / Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Foxit Reader" = Foxit Reader"Opera 11.52.1100" = Opera 11.52"Opera 12.00.1467" = Opera 12.00 3. Dobierz pełnowartościową ochronę z rezydentem. Aktualnie w systemie widzialne tylko "skróty" / skanery na żądanie: Emsisoft Anti-Malware, RegRun Reanimator, Prevx, Trojan Remover. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Prewencyjnie zmień hasła logowania w serwisach. PS. Uwaga poboczna na temat niefortunnej (moim zdaniem) pary Gadu-Gadu 7.7 + Nowe Gadu-Gadu. Pierwsze niepełnosprawny i mało bezpieczne, drugie zaczyna już ociekać rysem przerostu. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi