Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pozostałości po infekcjach

nologin

Przez nologin
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

nologin

nologin

Opublikowano
Opublikowano

Witam. Skanowałem niedawno swój komputer. AVG wykrył trojana pokazanego w załączniku i go usunął. Zaciekawiło mnie to, że gdy po całej operacji zajrzałem do  lokalizacji, gdzie znajdował się trojan to okazało się, że była pusta.  Myślałem, że TrustedInstaller jest jakimś plikiem systemowym.

Postanowiłem zeskanować dodatkowo komputer za pomocą Eset online, który wykrył miedzy innymi exploita w Javie. Mam aktualną wersję Javy.

Poza tym miałem niedawno problem z pendrive podobny do tego 

Proszę o sprawdzenie, czy po tych infekcjach nie pozostały jakieś groźne pozostałości.

eset online.txt

post-10848-0-94622200-1372673668_thumb.png

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Jedyne co widać od infekcji, to historyczne mapowanie podpinanych zainfekowanych urządzeń:

 

O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\AutoRun\command - "" = jxqevly.exe

O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\explore\Command - "" = jxqevly.exe

O33 - MountPoints2\{cf1fc7b5-56a6-11e2-9a52-000b6ab89bbe}\Shell\open\Command - "" = jxqevly.exe

 

Start > Uruchom > regedit i skasuj z prawokliku klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

 

Zresetuj system. Klucz zostanie odbudowany.

 

 

AVG wykrył trojana pokazanego w załączniku i go usunął. Zaciekawiło mnie to, że gdy po całej operacji zajrzałem do lokalizacji, gdzie znajdował się trojan to okazało się, że była pusta. Myślałem, że TrustedInstaller jest jakimś plikiem systemowym.

Przez SHIFT+DEL dokasuj jeszcze z dysku folder C:\MSI.

 

Plikiem systemowym jest C:\Windows\Servicing\TrustedInstaller.exe i ten plik nie występuje na systemie XP. To Instalator modułów Windows systemów Vista i nowszych.

 

 

 

.

Odnośnik do komentarza
nologin

nologin

Opublikowano
  • Autor
Opublikowano

Wykonałem zalecone działania, następnie uruchomiłem opcję sprzatanie w OTL. I tu zaczął się problem. Miałem wtedy uruchomione Comodo i program informował mnie kilkadziesiąt razy o próbie zmian rejestru przez OTL. Po kilku razach zacząłem dawać zezwolenia bez czytania. Póżniej okazało się, że nie mogę się dostać do internetu. Połączenie jest co widać w załączniku, inne komputery w sieci lokalnej mają internet bez problemu. U mnie strony nie mogą się załadować do końca, zapewne ładują się tylko tyle, ile mają w pamięci podręcznej. AVG i FB messenger rówież nie mogą się połączyć. Prewencyjnie zeskanowałem AVG. Wykrył jeden uszkodzony plik, który naprawił, ale to nie pomogło. 

Przed wykonaniem zaleconych zmian w rejestrze wykonałem kopię zapasową. Próbowałem ją przywrócić, ale nie mogłem, bo system zawsze używa jakiegoś klucza i nie pozwoli przez to podmienić całego rejestru. Przywracanie systemu również konczy się niepowodzeniem. 

Załączam również dziennik zdarzeń COMODO z tego okresu. Chciałem go wyeksportować do pliku, ale przez przypadek go usunąłem i udało mi się uratować tylko screenshooty. 

post-10848-0-11149900-1372756284_thumb.png

post-10848-0-67074700-1372756291_thumb.png

post-10848-0-33886800-1372756301_thumb.png

post-10848-0-23969600-1372756309_thumb.png

post-10848-0-47857300-1372756333_thumb.png

post-10848-0-39614100-1372756340_thumb.png

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

następnie uruchomiłem opcję sprzatanie w OTL. I tu zaczął się problem. Miałem wtedy uruchomione Comodo i program informował mnie kilkadziesiąt razy o próbie zmian rejestru przez OTL. Po kilku razach zacząłem dawać zezwolenia bez czytania. Póżniej okazało się, że nie mogę się dostać do internetu.

Ja jakoś wątpię, by to miało związek z opcją Sprzątanie w OTL, bo opcja nie ma zazębienia z siecią (nie modyfikuje tego obszaru wcale). Tu się wręcz nasuwa COMODO jako problem. Odinstaluj program COMODO, zresetuj system i podaj co z siecią.

 

 

Przed wykonaniem zaleconych zmian w rejestrze wykonałem kopię zapasową. Próbowałem ją przywrócić, ale nie mogłem, bo system zawsze używa jakiegoś klucza i nie pozwoli przez to podmienić całego rejestru.

To było niepotrzebne.

- Skoro importowałeś plik REG, to teraz musisz powtórzyć usuwanie klucza Mountpoints2 zadane wcześniej, bo pewnie odtworzyłeś wpisy infekcji.

- Kopia rejestru nie chce się w całości przywrócić, bo tak się po prostu nie przywraca całego rejestru. Próbujesz przywrócić klucze, które są zablokowane przez czynne procesy, w tym COMODO. Na przyszłość jak się robi i jak przywraca prawdziwą pełną kopię rejestru: KLIK. Zupełnie inna technika, nie przez pliki REG.

 

 

 

.

Odnośnik do komentarza
nologin

nologin

Opublikowano
  • Autor
Opublikowano

Usunąłem COMODO przez panel sterowania, zrestartowałem komputer. Strony dalej nie chcą się ładować, ale RSS z opery pobrał dziesiejsze tytuły. Na połaczeniu lokalnym, tym z panelu sterowania  pisze teraz ,,Połaczenie lokalne   Połączono, z zaporą" i pojawił się na schemacie symbol kłódki.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Strony dalej nie chcą się ładować

1. Sprawdź czy nie został filtr COMODO na urządzeniach sieciowych. Panel sterowania > Połączenia sieciowe > z prawokliku na każde obecne pobierz Właściwości > sprawdź w karcie Ogólne co widać w spisie komponentów używanych przez połączenie. Jeśli będzie tam filtr COMODO, odinstaluj i zresetuj system. Jeśli jednak filtra nie będzie:

 

2. Zresetuj ogólnie ustawienia sieci. Otwórz Notatnik i wklej w im:

 

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh firewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom plik przez dwuklik. Zresetuj system.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skoro tak, to wykonaj drobne kroki końcowe:

 

1. Wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj wyliczone poniżej aplikacje: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{60B2F25C-22CB-4CD9-9168-8C63708DC1A1}" = LibreOffice 3.6

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"ENTERPRISE" = Microsoft Office Enterprise 2007

"Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl)

"Opera 12.15.1748" = Opera 12.15
 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...