Kapibara6 Opublikowano 5 Października 2010 Zgłoś Udostępnij Opublikowano 5 Października 2010 Witam, zostałam odesłana na to forum z z forum idg.pl (rozmowa z forum: http://forum.idg.pl/problem-z-wysylaniem-poczty-prosba-o-sprawdzenia-loga-t201078.html/page__gopid__1588941#entry1588941). Wydawało mi się, że mam jakiegoś wirusa, a co się okazało po stworzeniu loga z MBRCheck,że jest jakiś problem z MBR. Niestety nie potrafili mi pomóc. W MBRCheck pojawia się, że są jakieś błędy, ale nie ma dalszych opcji naprawy tego. Tutaj jest log z tego programu: http://wklej.org/id/397033/ , a log z OTL tutaj: http://wklej.org/id/397031/ . Bardzo prosiłabym o pomoc. Z góry bardzo dziękuję. Pozdrawiam, Kapibara Odnośnik do komentarza
picasso Opublikowano 5 Października 2010 Zgłoś Udostępnij Opublikowano 5 Października 2010 1. Log z OTL niepełny, brak Extras. To, że na innym forum poprosili o VBA32arkit, nie znaczy że masz tutaj opuścić instrukcje, a instrukcje przewidują podanie loga z GMER lub Root Repeal. Na czas wszelkiej diagnostyki całkowicie wyłącz Comodo Internet Security (wszystkie moduły). I proszę o zestawy logów z dwóch komputerów a nie jednego: Mam w domu dwa komputery i nie wiem, z którego pochodzi ta aktywność na porcie 25. Możliwe jest, żeby występowało coś takiego na komputerze na którym nie ma skonfigurowanego klienta poczty? 2. Jeśli program ma problem z odczytem MBR, wtedy nie są możliwe żadne operacje w tymże programie i nie ma opcji naprawy. Problem z odczytem MBR nie świadczy też jeszcze o infekcji. Sprawdź co powie Kaspersky TDSSKiller, a jeśli cokolwiek będzie znalezione, przyznaj akcję Skip i tylko wygeneruj raport do wglądu. . Odnośnik do komentarza
Kapibara6 Opublikowano 5 Października 2010 Autor Zgłoś Udostępnij Opublikowano 5 Października 2010 Oczywiście już podaję wszystkie informacje: Komputer 1. z problemem MBR, o którym była już mowa: Podczas działania programu GMER, wykonywania skanowania, komputer restartuje się. Nie wiem co mogę z tym zrobić. Zatem umieszczam log z RootRepeal o nazwie RootRepeal report 10-05-10 (16-08-29).txt OTL jest załączony pod nazwą: OTL1.txt oraz Extras1.txt Kaspersky TDSSKiller nic nie wykrył. Komputer 2. Log OTL o nazwie OTL2.txt Log OTL Extras o nazwie Extras2.txt Log z GMER o nazwie GMER2.txt Z góry dziękuję za pomoc. Pozdrawiam, Kapibara OTL1.Txt Extras1.Txt RootRepeal report 10-05-10 (16-08-29).txt Extras2.Txt GMER2.txt OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2010 Zgłoś Udostępnij Opublikowano 6 Października 2010 Zainfekowanym komputerem jest właśnie ten drugi (nie, nie ma znaczenia brak konfiguracji ręcznej klienta poczty, infekcja potrafi sama nadawać na określonym porcie): O20 - Winlogon\Notify\cbssreg: DllName - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll () Jest także wpięta w Firefox wtyczka adware LoudMo Contextual Ad Assistant oraz odpadki po pasku narzędziowym opartym o Ask. Wszystko to załączam na usuwanie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O20 - Winlogon\Notify\cbssreg: DllName - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll () O20 - Winlogon\Notify\opaqcx: DllName - opaqcx.dll - File not found [2010-09-20 23:29:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job [2010-02-01 21:00:15 | 000,000,000 | ---D | M] (LoudMo Contextual Ad Assistant) -- C:\Program Files\Mozilla Firefox\extensions\{f0e0a1c5-ad1e-db96-2205-366fb67e701b} [2010-01-21 00:43:20 | 000,000,261 | ---- | M] () -- C:\Documents and Settings\J\Application Data\Mozilla\Firefox\Profiles\bsifd4l2.default\searchplugins\Search.xml FF - prefs.js..extensions.enabledItems: {f0e0a1c5-ad1e-db96-2205-366fb67e701b}:4.6.6.3 FF - prefs.js..browser.search.defaultenginename: "Search" FF - prefs.js..browser.search.defaulturl: "http://flvdirect.iamwired.net/websearch.php?src=tops&search=" FF - prefs.js..keyword.URL: "http://flvdirect.iamwired.net/websearch.php?src=tops&search=" IE - HKU\S-1-5-21-1390067357-1592454029-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://flvdirect.iamwired.net/" :Commands [emptyflash] [emptytemp] Rozpocznij proces przez Wykonaj skrypt. Nastąpi wymuszony restart i otrzymasz też log z usuwania. 2. Do oceny: log z usuwania OTL z punktu 1 i nowe logi z OTL opcją Skanuj. Na wszelki wypadek dorzuć z tego komputera także odczyty z MBRCheck i Kaspersky TDSSKiller. . Odnośnik do komentarza
Kapibara6 Opublikowano 6 Października 2010 Autor Zgłoś Udostępnij Opublikowano 6 Października 2010 Załączam wszystkie logi. Kaspersky TDSSKiller niczego nie wykazał. Pozdrawiam. Kapibara Extrasnowe.Txt OTLnowe.Txt OTL_poWykonaniuSkryptu.txt MBRCheck_10.06.10_16.09.55.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2010 Zgłoś Udostępnij Opublikowano 6 Października 2010 Jest problem, OTL nie potrafi skasować pliku trojana, po restarcie nadal jest "failed": File move failed. C:\Documents and Settings\All Users\Documents\Settings\cbss.dll scheduled to be moved on reboot. Zmiana metody: 1. Uruchom Avenger i w pustym oknie wklej: Files to delete: C:\Documents and Settings\All Users\Documents\Settings\cbss.dll Registry keys to delete: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg Klik w Execute, zatwierdź restart systemu, po restarcie zaś otrzymasz log z usuwania. 2. Do oceny: log powstały z działania Avenger oraz nowe logi z OTL. . Odnośnik do komentarza
Kapibara6 Opublikowano 6 Października 2010 Autor Zgłoś Udostępnij Opublikowano 6 Października 2010 Przesyłam nowe logi. avenger.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2010 Zgłoś Udostępnij Opublikowano 6 Października 2010 Zadanie wykonane pomyślnie. To oznacza, że niepożądana aktywność sieciowa powinna ustać. Zostały do wykonania kroki finalizujące: 1. OTL miał problem także z przestawieniem strony startowej. To już ustawisz sobie otwierając Internet Explorer i konfigurując wybraną. 2. W OTL wywołaj funkcję Sprzątanie. To powinno usunąć kwarantanny i flaki używanych narzędzi. 3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware i zgłoś się tu z wynikami. . Odnośnik do komentarza
Kapibara6 Opublikowano 9 Października 2010 Autor Zgłoś Udostępnij Opublikowano 9 Października 2010 Przepraszam, że to tak długo trwało, ale nie mogłam wcześniej. OTL po sprzątaniu nie wygenerował żadnego Loga. Natomiast wynik Malwarebytes' Anti-Malware chyba nie jest zbyt ciekawy. Załączam wynik skanowania tego programu. Pozdrawiam, Kapibara mbam-log-2010-10-09 (12-35-49).txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2010 Zgłoś Udostępnij Opublikowano 12 Października 2010 OTL po sprzątaniu nie wygenerował żadnego Loga. Na tym polega sprzątanie, to jest bezśladowa likwidacja wszystkich elementów OTL (kwarantanna / logi / sam program) oraz pewnych szczątków po innych narzędziach (m.in. używanego tu Avengera). Natomiast wynik Malwarebytes' Anti-Malware chyba nie jest zbyt ciekawy. Nie jest źle, nie ma tu nic czynnego / mogącego wpłynąć na przeprowadzony tu proces usuwania. 1. W przeważającej części wyniki to zwroty tyczący FLV Direct Player. Widziałam to już wcześniej w zainstalowanych programach: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"FLV Direct Player" = FLV Direct Player ... tylko nie skojarzyłam, że to może być związane z adware. Po prostu program w całości odinstaluj posługując się Dodaj / Usuń. W wynikach była również punktowana zmiana strony startowej Internet Explorer, ale o tym przecież już mówiłam. 2. Wyniki Rootkit.Dropper nie do końca mnie przekonują, że są prawdziwą infekcją. To są zwroty z katalogu Thinstall, czyli tutaj wirtualizowanego MS Office 2003, a migawki programów tworzone w ten sposób mogą być wykrywane w skanerach (np.: KLIK). 3. Wynik z System Volume Information to kopia w folderze Przywracania systemu. Czyszczenie tego w sposób zbiorczy zarezerwowałam na koniec, już po przeprowadzeniu wszystkich działań. I jeszcze tu nie podałam tych instrukcji. W podsumowaniu: odinstaluj ten "odtwarzacz" FLV, wykonaj ponowny skan w MBAM i usuń resztę. Zgłoś się tu po ukończeniu zadania, no i przedstaw czy wszystko wydaje się być w porządku. . Odnośnik do komentarza
Kapibara6 Opublikowano 12 Października 2010 Autor Zgłoś Udostępnij Opublikowano 12 Października 2010 Wygląda na to, że wszystko zostało pomyślnie usunięte. Załączam loga z MBAM. mbam-log-2010-10-12 (12-27-32).txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2010 Zgłoś Udostępnij Opublikowano 12 Października 2010 1. Została aktualizacja oprogramowania: Do podbicia przeglądark Firefox i Java: INSTRUKCJE. Jest już nowsza wersja AVG Free Edition 2011. Gadu-Gadu 7.7 do wyrzucenia, nie obsługuje już własnej sieci w pełni i ma niski poziom zabezpieczeń. W temacie Darmowe komunikatory znajdziesz alternatywy z obługą nowego protokołu i bez reklam, np. WTW / Miranda czy Kadu. Patrz na tabelki zestawiające obsługę cech Gadu w komunikatorach. 2. Po ukończeniu tych operacji możesz zbiorczo zresetować stan folderów Przywracania systemu: INSTRUKCJE. I na koniec proszę ustosunkuj się do pytania, czy już wszystko w porządku. . Odnośnik do komentarza
Kapibara6 Opublikowano 12 Października 2010 Autor Zgłoś Udostępnij Opublikowano 12 Października 2010 Wykonałam wszystkie instrukcje, tylko, że zmieniłam antywirus na Comodo. Nie wiem który jest lepszy. Co sądzisz na ten temat? Ciężko powiedzieć czy wszystko jest w porządku. Komputer działa. Na razie wysłałam maila do Vline, żeby odblokowali mi ten port 25 i czekam na odpowiedź. Po odblokowaniu go okaże się czy ich skanery nadal będą wykrywały ponadnormatywny ruch na tym porcie. Teraz nie potrafię odpowiedzieć. Napiszę jak już będę wiedziała. Bardzo dziękuję Ci za pomoc. Pozdrawiam, Kapibara Odnośnik do komentarza
picasso Opublikowano 12 Października 2010 Zgłoś Udostępnij Opublikowano 12 Października 2010 Wykonałam wszystkie instrukcje, tylko, że zmieniłam antywirus na Comodo. Nie wiem który jest lepszy. Co sądzisz na ten temat? To goły antywirus czy COMODO Internet Security? Jeśli już COMODO, to raczej bym zainstalowała cały pakiet Internet Security, by uzyskać zaporę i HIPS. To dobry wybór. Na razie wysłałam maila do Vline, żeby odblokowali mi ten port 25 i czekam na odpowiedź. Temat zostawię otwarty do uzyskania klarownej odpowiedzi na temat ruchu sieciowego. . Odnośnik do komentarza
Kapibara6 Opublikowano 13 Października 2010 Autor Zgłoś Udostępnij Opublikowano 13 Października 2010 (edytowane) Wczoraj o 14 odblokowali mi port. Do tej pory nie przyszło żadne powiadomienie o nadmiernym ruchu na tym porcie. Więc wydaje się, że komputer został wyleczony:) Jeszcze raz dziękuję za pomoc. Jestem bardzo wdzięczna. Pozdrawiam, Kapibara Edytowane 13 Października 2010 przez picasso Cieszę się, temat jako ukończony zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi