Bodzio501 Opublikowano 21 Lipca 2013 Zgłoś Udostępnij Opublikowano 21 Lipca 2013 Witam od jakiegoś czasu mam problem z moim komputerem. Wszystko zaczęło się od odwiedzenia tej strony i pobieraniu pewnych plików hxxp://forum.paradoxplaza.com/forum/showthread.php?621556-Changelog&s=79e1173c63689eea33964f41e577f3c2. Wraz z pobieraniem ich za którymś razem pliki przestały się ściągać,pojawił się komunikat - ,,skanowanie antywirusowe nie powiodło się'' oraz wyskoczyła informacja z Eseta Noda32 mojego programu antywirusowego o pojawieniu się konia trojańskiego. Kolejne defekty systemu to: wyłączona zapora systemu Windows ( nie dało się jej włączyć ),oraz brak dostępu do Windows Defender pojawiał się komunikat- ,,System Windows nie może uzyskać dostępu do danego urządzenia,możesz nie mieć odpowiednich uprawnień,aby uzyskać dostęp''. Nawiasem mówiąc jestem adminem. Jakie działania podjąłem? - Skorzystałem z CCleanera, zacząłem defragmentacje dysku(nie skończyłem defragmentować dysku C),a na końcu przeskanowałem kompa Esetem. Znalazło mi plik - C:\Users\Kopacze\AppData\Local\Temp\msimg32.dll i który niezwłocznie usunąłem. Powód - ,,odmiana zagrożenia Win32/Kryptik.BGGO Koń Trojański. Miałem coś jeszcze z koszem $RecycleBin coś tam (jakiś numer) reż usunąłem. Lecz problem nie znikł dalej nie mogę pobierać plików jak i z Google Chrom( moja główna przeglądarka na której złapałem to gówno) tak z Mozilla Firefox. Mój system do Windows Vista Home premium 32-bitowy system operacyjny. Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2013 Zgłoś Udostępnij Opublikowano 21 Lipca 2013 Objawy sugerują rootkita ZeroAccess. Zasady działu, wymagane raporty: KLIK. Proszę dostarcz logi: OTL, FRST, Farbar Service Scanner, GMER. . Odnośnik do komentarza
Bodzio501 Opublikowano 22 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2013 Z góry przepraszam za brak szczegółów i brak logów typu OTL,DDS i itd. Ale nie mogłem ich pobrać(problem z pobieraniem) ,a na kompie ich nie mam. Wszystko u góry ładnie edytowane i opisane. Co ciekawe mimo, że w żadnej przeglądarce nie mogę ściągać plików to Windows Update pobiera aktualizacje na kompa. Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2013 Zgłoś Udostępnij Opublikowano 23 Lipca 2013 Jak mówię, objawy są zgodne z pobytem rootkita ZeroAccess (a już zwłaszcza doedytowany fragment z $RecycleBin). Windows Defender jest przerobiony przez rootkita na linki symboliczne. I ja potrzebuję materiały o które prosiłam, podane narzędzia są potrzebne zarówno do analizy, jak i do procesu usuwania. Tak, narzędzi pobrać nie możesz z poziomu tego komputera. Pobierz je z poziomu innego, zapisz na pendrive, pendrive podepnij do zainfekowanego komputera i zrób wymagane raporty. . Odnośnik do komentarza
Bodzio501 Opublikowano 27 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2013 Oto Logi,pobrałem u kumpla OTL i przeskanowałem swojego kompa, uprzejmie proszę o ich odczytanie i o odpowiedź. Extras. Raport 2Txt.txt OTL Raport 1.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2013 Zgłoś Udostępnij Opublikowano 27 Lipca 2013 Prosiłam Cię o ten zestaw: Proszę dostarcz logi: OTL, FRST, Farbar Service Scanner, GMER. Sam OTL nie wystarczy, m.in. na jego podstawie nie można ocenić szkód zrobionych przez infekcję. . Odnośnik do komentarza
Bodzio501 Opublikowano 31 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2013 Oto Dalsze logi,myślałem że wystarczy z tego OTL,ale dobra. Jeszcze jedno skanowałem GMERem swój komputer to nie znalazło żadnego Rotkitka,więc co jest z moim sprzętem nie tak,byłem pewien że coś znajdzie. Addition.txt FRST.txt Gmer.txt Odnośnik do komentarza
Bodzio501 Opublikowano 6 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2013 Czy mój komputer jest zainfekowany tym rootkitem? Jeżeli nie to co mogę zrobić by go naprawić? Natomiast jeśli tak to niezmiernie byłbym wdzięczny za pomoc. Pomożecie mi? Czy nie? Ja naprawdę potrzebuje pomocy,muszę pobierać dużo plików i po za tym są wakacje! Pomoże mi pan? Zamieściłem wszystkie logi tak jak mnie proszono,co jest z moim komputerem? Odnośnik do komentarza
picasso Opublikowano 19 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2013 (edytowane) Ja naprawdę potrzebuje pomocy,muszę pobierać dużo plików i po za tym są wakacje! Pomoże mi pan? Bodzio501, otóż to = są wakacje, byłam nieobecna i nie mogłam tu wcześniej pociągnąć tematu. Posty przypominające łączę. To nie jest poprawny log z Farbar Service Scanner (usuwam), zapuściłeś jakieś kuriozalne wyszukiwanie w nim, a miał być log zrobiony wg opisu w przyklejonym. Owszem, są ślady infekcji tym rootkitem, i cały katalog Windows Defender jest przerobiony na linki symboliczne, stąd problemy. Również śmieci adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? DeleteJunctionsIndirectory: C:\Program Files\Windows Defender CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T CMD: rd /s /q C:\$Recycle.Bin HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD501LJ_S0ZFJ1KQ502261502261X&ts=1352198129 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.09010003&st=12&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD501LJ_S0ZFJ1KQ502261502261X&ts=1352198129 SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120121105302072&tb_oid=21-01-2012&tb_mrud=21-01-2012 SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=117380&tt=201112_1849_4712_8&babsrc=SP_ss&mntrId=2cf08eee000000000000582c80139263 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120121105302072&tb_oid=21-01-2012&tb_mrud=21-01-2012 BHO: Help the General-Search Project - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Users\Kopacze\AppData\Roaming\MEDIAF~1\EXTENS~1\GENCRA~1.DLL () BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - No File Toolbar: HKLM - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\v9.xml CHR HKLM\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Kopacze\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Kopacze\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM\...\Chrome\Extension: [kiplfnciaokpcennlkldkdaeaaomamof] - C:\Users\Kopacze\AppData\Local\Torch\Plugins\TorchPlugin.crx CHR HKLM\...\Chrome\Extension: [lpmkgpnbiojfaoklbkpfneikocaobfai] - C:\Users\Kopacze\AppData\Roaming\Media Finder\Extensions\mf_plugin_gc.crx CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Kopacze\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.crx HKLM\...\Run: [NPSStartup] - [x] Task: {365BFE1E-D791-4DF7-9605-485CB3BF541B} - System32\Tasks\DealPly => C:\Users\Kopacze\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE No File Task: {4B96704D-9E79-4044-AB22-497C2110DC6D} - System32\Tasks\{9DA7D609-DFE8-4E68-8434-48A2ACDFF055} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {6AA55A77-3B45-41B7-AEE3-159532890F5F} - System32\Tasks\{D37BC6E1-AED6-4343-8B4B-36B2D2E98CA1} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {7DF1563D-F280-4D7C-95E6-34830B4F268C} - System32\Tasks\{C24C30A1-8003-437A-A6F5-DE29FC66CAE4} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {921C9A2D-37A7-448F-9D08-04240CA2473A} - System32\Tasks\{6710621D-B6FA-465E-B8AE-FE41AED93DB8} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {9E0485CC-956E-4771-88D0-05F01AC85899} - System32\Tasks\{77319B91-0BBB-49AF-BD78-3BA17655A7DF} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {B57EFEDD-DCFD-48BD-9E20-9B20D7C28352} - System32\Tasks\{8A77A5EE-282E-457B-A525-944D6719EDB3} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {C64B0499-7AF9-4C6F-8A08-372F34F1677B} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe No File Task: {D86EC529-A140-427E-AB83-FD3D042E11A0} - System32\Tasks\Express Files Updater => C:\Program Files\ExpressFiles\EFupdater.exe No File S3 DisplayLinkUsbPort; system32\DRIVERS\DisplayLinkUsbPort.sys [x] S3 nmwcd; system32\drivers\ccdcmb.sys [x] S3 nmwcdc; system32\drivers\ccdcmbo.sys [x] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x] S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x] S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x] C:\Users\Kopacze\AppData\Local\Torch C:\Users\Kopacze\AppData\Roaming\Media Finder C:\Users\Kopacze\AppData\Roaming\OpenCandy C:\ProgramData\Browser Manager Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Następnie operacje w przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Rese nie naruszy zakładek i haseł. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST + Farbar Service Scanner. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. . Edytowane 20 Września 2013 przez picasso 20.09.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi