wojtron Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Witam. Mam od paru tygodni problem z wirusem Trojan.Hider (wnioskuje po wyniku skanu jednego z tworzonych plików, wykonanym na virustotal.com ) złapanym z pendrive. Wirus tworzył na pendrive pliki exe wyglądające jak folder a foldery prawdopodobnie ukrywa jako pliki systemowe, blokuje zmianę ukrywania plików systemowych, zmienił opis plików exe z Aplikacja na File folder celem maskowania się. Znalazłem podejrzany plik isass.exe który ręcznie usunąłem z poziomu płyty live cd, po tym wydaje mi się że wirus przestał ukrywać foldery na pendrivach. Problem pojawił się gdy próbowałem przeskanować system GMERem, o ile pamietam po którejś walce z wirusami która zakończyła się formatem partycji C kiedyś pojawił się problem zawieszania komputera przy skanowaniu modułów, nie pamiętam dokładnie którego, chyba był to sterownik NVIDIA nForce Networking Controller. Po reinstalacji systemu miałem problem z zainstalowaniem sterownika płyty głównej zawierającego ten sterownik, kilkukrotnie wyskakiwał mi przy tym BSOD ale jakoś wreszcie zainstalowałem. Po tym GMER działał dopóki nie zaznaczałem skanowania modułów, tylko tam się zawieszał. Od paru tygodni zawiesza się też o ile pamietam na ntkrnlpa.exe wiec ciężko cokolwiek zeskanować. Uruchomiłem narzędzie Kaspersky TDSSkiller oraz Malwarebytes sądząc że może coś wykryją, jednak nie zauważyłem niczego szczególnie rzucającego się w oczy poza paroma wyjątkami (np oreans.sys) Kolejnym problemem jest to, że drugi komputer a dokładnie laptop ma tą samą infekcje zdobytą tą samą drogą ale nim zajmę się później. Dołączam logi OTL, Malwarebytes; TDSSkillera, GMER w prescanie nic nie wykazuje. W systemie zainstalowane jest oprogramowanie Daemon Tools, przed skanowanami użyty był jednak Defogger. Proszę o pomoc OTL.Txt Extras.Txt TDSSKiller.2.8.15.0_27.11.2012_16.58.41_log.txt TDSSKiller.2.8.15.0_26.11.2012_21.52.51_log.txt mbam-log-2012-11-27 (17-37-18).txt defogger_disable.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Znalazłem podejrzany plik isass.exe który ręcznie usunąłem z poziomu płyty live cd, po tym wydaje mi się że wirus przestał ukrywać foldery na pendrivach. Twierdzisz, że problem po tej operacji ustał. W skanie OTL nic od infekcji nie widać, zaznaczasz że preskan GMER też nic nie zwraca. Co najwyżej zastanawia mnie co to za plik w takiej lokalizacji: [2012-04-06 18:34:37 | 000,778,240 | ---- | C] () -- C:\WINDOWS\System32\autorun.exe W związku z tym ja tu na razie nie mam nic do roboty. Usuwałeś coś, więc klasyka na koniec typu czyszczenie Temp i Przywracania systemu (KLIK). I zaktualizuj Firefoxa. Uruchomiłem narzędzie Kaspersky TDSSkiller oraz Malwarebytes sądząc że może coś wykryją, jednak nie zauważyłem niczego szczególnie rzucającego się w oczy poza paroma wyjątkami (np oreans.sys) Sterownik oreans32.sys jest związany z zabezpieczeniem licencyjnym aplikacji / gier pakowanych przez Themida. Skoro go już usunąłeś TDSSKillerem, to pozbądź się z dysku kwarantanny C:\TDSSKiller_Quarantine Kolejnym problemem jest to, że drugi komputer a dokładnie laptop ma tą samą infekcje zdobytą tą samą drogą ale nim zajmę się później. To już tu w temacie kontynuuj ten wątek. . Odnośnik do komentarza
wojtron Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 C:\WINDOWS\System32\autorun.exe usunięty skan https://www.virustot...sis/1354822089/ W związku z tym ja tu na razie nie mam nic do roboty. Usuwałeś coś, więc klasyka na koniec typu czyszczenie Temp i Przywracania systemu. I zaktualizuj Firefoxa.. No tak, ale coś cały czas blokuje mi włączenie pokazywania plików systemowych i rozszerzeń popularnych plików, gmer zawiesza się na wielu rzeczach a nie na jednej jak kiedyś a żadne skanery av nic konkretnego nie wykrywają albo ja tego nie widze, czyli równie dobrze coś może wysyłać cały czas logi z moimi passami bo coś w tle działa. Dlatego udałem się tutaj po pomoc kogoś kto bardziej coś dostrzeże Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 No tak, ale coś cały czas blokuje mi włączenie pokazywania plików systemowych i rozszerzeń popularnych plików, gmer zawiesza się na wielu rzeczach a nie na jednej jak kiedyś Jak mówię, w raportach brak widocznych oznak infekcji. Zachowanie GMER niemiarodajne, a Twój system nie jest constant i nie jest w identycznym stanie jak wtedy, gdy GMER mniej się zacinał. Co do ukrytych i rozszerzeń ustalmy: kiedy to się dzieje i w jaki sposób? Czy chodzi o to, że zaznaczasz i samoczynnie się odznacza i nie koliduje tu OTL (bo on manipuluje tym)? Jeśli tak, to: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system. . Odnośnik do komentarza
wojtron Opublikowano 11 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2012 Punkty wykonane; W dalszym ciągu po odznaczeniu ukrywania plików systemowych i pokazywania pełnych rozszerzeń popularnych plików i zaznaczeniu zastosuj oraz ok odświeżają się dwukrotnie okienka i pulpit (z czego wnioskuje że coś aktywnie nadpisuje to ustawienie). Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 W dalszym ciągu po odznaczeniu ukrywania plików systemowych i pokazywania pełnych rozszerzeń popularnych plików i zaznaczeniu zastosuj oraz ok odświeżają się dwukrotnie okienka i pulpit (z czego wnioskuje że coś aktywnie nadpisuje to ustawienie). Odświeżanie jest naturalne. U mnie na czystym systemie XP też to występuje przy zmianie tych opcji, bo widok folderów musi być odświeżony (w końcu zmieniasz widoczność plików i rozszerzeń). Tu abnormalnym stanem byłaby odwrotność, czyli brak odświeżenia i pokazywanie starego widoku sprzed przestawienia opcji. Istotniejszym jest: czy opcje nie chcą się zapisać i wracają na poprzednie miejsce? . Odnośnik do komentarza
wojtron Opublikowano 13 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Tak, właśnie o to chodzi że nie chcą się zapisać i wracają na poprzednie miejsce, normalnie odświeżanie powinno występować chyba raz a dzieje się dwukrotnie. Odświeżanie to tylko ciekawostka, tak opcje się nie zapisują, coś je przestawia (sądzę po tym że odświeża 2x) Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Pokaż mi dodatkowy skan na opcje widoczności. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden /s Klik w Look. . Odnośnik do komentarza
wojtron Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Załączam log SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 (edytowane) Są subtelne różnice między Twoimi a moimi kluczami, czyli wartości UncheckedValue. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt] "UncheckedValue"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "UncheckedValue"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system. Podaj czy jest jakaś zmiana. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi