Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus ze Skype

maliniak

Przez maliniak
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

maliniak

maliniak

Opublikowano
Opublikowano

Cześć. Nie mogę sobie poradzić z wirusem ze skype, który rozsyła linki do innych kontaktów (że niby zdjęcie tej osoby czy coś). Co usune wszystkie pliki pochodzące od infekcji (może coś przeoczyłem), to po jakimś czasie wracają. Czasem to 1-2 dni, a czasem nawet za 2tyg. Za infekcje odpowiada plik Ysiwiu.exe i tworzą się pliki .exe o nazwach czteroznakowych typu A1D3, itp, Po usunięciu wszystkiego, gdy nic podejrzanego już nie widzę, czyszcze punkty przywracania systemu, ale to i tak wraca. Do infekcji doszło, bo młodszy brat wszedł w taki link otrzymany od kogoś na skype.

Dorzucam logi z OTL.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Za infekcje odpowiada plik Ysiwiu.exe i tworzą się pliki .exe o nazwach czteroznakowych typu A1D3, itp, Po usunięciu wszystkiego, gdy nic podejrzanego już nie widzę, czyszcze punkty przywracania systemu, ale to i tak wraca.

 

I ja tu w raportach nic więcej nie widzę...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Arinori\AppData\Roaming\*.exe
C:\Users\Arinori\AppData\Roaming\Ysiwiu.exe
C:\Users\Arinori\AppData\Roaming\OpenCandy
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\ProgramData\Tarma Installer
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WINSXS32"=-
"Ysiwiu"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie przez SHIFT+DEL skasuj katalog kwarantanny C:\_OTL.

 

2. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie.

 

3. W Google Chrome jest ustawiona strona startowa śmiecia SweetIM:

 

CHR - homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={4174A6DD-CED1-48F6-A95E-57103B8D71D9}"

 

W ustawieniach w sekcji "Po uruchomieniu" usuń to z listy stron startowych.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Podaj raport z MBSAM, o ile coś znajdzie.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Teraz przypomialem sobie jeszcze o usunieciu folderu kwarantanny otl - juz to wykonalem.

 

Za późno, MBAM wykrył nie co innego a kwarantannę. Ogólnie to wyniki MBAM nic ciekawego nie opowiadają, bo wykryte obiekty izolowane w kwarantannach (C:\TDSSKiller_Quarantine + C:\_OTL) oraz nie zdający się być powiązany XenoXMT2 (tu nie wiem czy to prawda czy fałsz). Nawiasem mówiąc: nic nie mówiłeś, że używałeś TDSSKiller do usuwania rootkita Necurs, a sprawa świeża oceniając po dacie kwarantanny... I czy na Pulpicie masz znak wodny "Tryb testu"?

 

W związku z wynikami MBAM nadal mamy tu niejako problem na tapecie: skąd / jak się odtwarza ta Skype'owa infekcja. Na teraz:

 

1. Przez SHIFT+DEL skasuj C:\TDSSKiller_Quarantine. Wyczyść foldery Przywracania systemu.

 

2. Skype widzę był reinstalowany co dopiero. Zmień wszystkie hasła w Skype, a najlepiej byłoby wykonać to z poziomu całkiem innego komputera.

 

I zobaczymy. Czekam na potwierdzenie czy infekcja wraca.

 

 

 

.

Odnośnik do komentarza
maliniak

maliniak

Opublikowano
  • Autor
Opublikowano

Znak wodny miałem. Mam nieorginalny system. Użyłem aktywatora i znikł.

Folder od TDDSKillera usunełem. Kiedyś go używałem bo myślałem, że może pomoże mi z tym wirusem. Punkty przywracania również usunięte.

 

Skype wywalilem wczoraj. Usuwałem wszystko co było związane ze skype bo może wirus się "podczepił". No i spowrotem zainstalowałem :P

 

Ok, wielkie dzięki, to teraz czekamy.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Znak wodny miałem. Mam nieorginalny system. Użyłem aktywatora i znikł.

 

Pytałam nie bez powodu o obecność znaku wodnego "Tryb testu". W kwarantannie TDSSKiller ślady usuwania rootkita Necurs. "Tryb testu" to jest skutek jego pobytu (rootkit uaktywnia ten tryb w celu osadzenia własnego sterownika). Po usunięciu rootkita wykonuje się korektę poleceniem bcdedit /set testsigning off. Operacja z crackiem była tu nieodpowiednia do likwidacji skutków infekcji, pomijam już "legalność" systemu.

 

 

Skype wywalilem wczoraj. Usuwałem wszystko co było związane ze skype bo może wirus się "podczepił". No i spowrotem zainstalowałem

 

Tak wynika z logów. Ale ja mówię o wymianie haseł logowania w Skype.

 

 

 

.

Odnośnik do komentarza
  • 3 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

No cóż, ja konsekwentnie nic więcej nie widzę niż to co już było tu typowane... Nie wiem skąd to wraca, w jaki sposób ładuje się w odstępach czasu ta sama infekcja i skąd. Czy zmieniłeś wtedy hasła Skype jak mówiłam?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-4064131316-3916356126-2976088500-1000..\Run: [WINSXS32] C:\Users\Arinori\AppData\Roaming\E438.exe ()
O4 - HKU\S-1-5-21-4064131316-3916356126-2976088500-1000..\Run: [Ysiwiu] C:\Users\Arinori\AppData\Roaming\Ysiwiu.exe (Skype Technologies S.A.)
 
:Files
C:\Users\Arinori\AppData\Roaming\*.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dodatkowo, w SystemLook x64 podaj szukanie w na warunki:

 

:regfind


Ysiwiu


WINSXS32


E438.exe


1322.exe


D4AB.exe

 

 

 

.

Odnośnik do komentarza
maliniak

maliniak

Opublikowano
  • Autor
Opublikowano

Tak, hasło zmieniłem. Teraz też to zrobiłem. Nowy log w załączniku.

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 00:17 on 19/12/2012 by Arinori

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "Ysiwiu"

No data found.

 

Searching for "WINSXS32"

No data found.

 

Searching for "E438.exe"

No data found.

 

Searching for "1322.exe"

No data found.

 

Searching for "D4AB.exe"

No data found.

 

-= EOF =-

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Usuwanie ukończone, więc standardowo Sprzątanie w OTL + czyszczenie folderów Przywracania systemu. I zamień Java 7 Update 9 na dziesiątkę.

 

Niestety źródło tego malware jest dla mnie nadal tajemnicą. Jeszcze zapytam: jak dobrze usuwałeś poprzedni Skype, co kasowałeś (które foldery i klucze w rejestrze) przed instalacją najnowszego, czy ze starego Skype coś przenosiłeś do nowego?

 

 

.

Odnośnik do komentarza
maliniak

maliniak

Opublikowano
  • Autor
Opublikowano

Zrobione.

Stare Skype po prostu odinstalowałem, a poźniej jeszcze recznie wywaliłem ze dwa tego typu foldery, które zostały:

C:\Users\Arinori\AppData\Roaming\Skype

C:\Program Files (x86)\Skype

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype

C:\Program Files (x86)\Common Files\Skype

 

Które to były dokładnie to nie pamiętam.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...