steraf Opublikowano 12 Października 2013 Zgłoś Udostępnij Opublikowano 12 Października 2013 U znajomej w akademiku podobno używają NETCUT'a, w samoobronie również zainstalowała ten syf. Komputer uruchomił się dopiero w trybie awaryjnym, po przywruceniu systemu strasznie wolno działał. Został użyty combifix (nie wiem co konkretnie). Antimalware pokazuje dużą ilość syfu ale nic nie usuwa. W załączniku logi z OTL oraz FRST, na czas działania uruchomiono Deffoger. W sieci znalazłem kilka poradników odnośnie obrony przed NETCUT'em. Wszystkie wyglądają mniej więcej tak: http://forum.slackware.pl/viewtopic.php?t=3972. Problem występuje od roku, admini albo nie są świadomi problemu, nie wiedzą jak z tym walczyć, albo po prostu mają to głęboko gdzieś.... Addition.txt Extras.Txt FRST.txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2013 Zgłoś Udostępnij Opublikowano 14 Października 2013 W sieci znalazłem kilka poradników odnośnie obrony przed NETCUT'em. (...) Problem występuje od roku, admini albo nie są świadomi problemu, nie wiedzą jak z tym walczyć, albo po prostu mają to głęboko gdzieś.... Blokowanie takich zjawisk via statyczne ARP jest w gestii administratorów sieciowych. To oni powinni skonfigurować router w odpowiedni sposób. Został użyty combifix (nie wiem co konkretnie). Przedstaw log, widzę że na Pulpicie jest plik ComboFix.txt. Antimalware pokazuje dużą ilość syfu ale nic nie usuwa. Przedstaw raport. W raportach nie widać oznak infekcji w rozumieniu trojanów, jest za to adware nabyte z portali (KLIK) oraz szczątki McAfee. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: Task: {6F6ED734-4A64-4C83-8ADB-31B31D9A7520} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {A522DA93-202B-4F74-A15A-F791DAD296B0} - System32\Tasks\DealPly => C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {EC857676-B49A-44AA-B5FC-0F016C7F5507} - System32\Tasks\EPUpdater => C:\Users\1\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () R2 BitGuard; C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [2845664 2013-09-23] () AppInit_DLLs-x32: c:\PROGRA~3\BitGuard\261694~1.246\{C16C1~1\BitGuard.dll [2704352 2013-09-23] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019 HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1361702554814&tguid=33953-3546-1361702551857-598191 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1361702554814&tguid=33953-3546-1361702551857-598191 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL = BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121020214230.dll No File BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121020214230.dll No File BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll No File Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\1\AppData\Roaming\BabSolution\CR\Delta.crx FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" S4 MSK80Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [x] S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 catchme; \??\C:\ComboFix-tamindir\catchme.sys [x] C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\SysWOW64\searchplugins C:\Windows\SysWOW64\Extensions C:\Users\1\AppData\Local\avgchrome C:\Users\1\AppData\Roaming\BabSolution C:\Users\1\AppData\Roaming\Yandex Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BitGuard, Bundled software uninstaller, Delta Chrome Toolbar, Delta toolbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Google Chrome ma uszkodzone preferencje i zapewne adware też tam jest. W przeglądarce wykonaj: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy dodane śmieci. Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
steraf Opublikowano 14 Października 2013 Autor Zgłoś Udostępnij Opublikowano 14 Października 2013 Log ComboFix w załączniku, po czyszczeniu antimalwarem nie chciał wstać. Po przywróceniu systemu komp ruszył, szczegółów niestety nie znam, kobieta coś klikała, w sumie sama nie wie co. Przed chwilą komp został przeskanowany antimalwarem ponownie (bez czyszczenia), log w załączniku. 1. 3. 4. 5. 6. Zrobione 2. Nie widać Delta Chrome toolbar ComboFix.txt fixlist.txt MBAM-log-2013-10-14 (20-36-54).txt AdwCleanerS0.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2013 Zgłoś Udostępnij Opublikowano 15 Października 2013 ComboFix i MBAM wykryły to samo o czym już mówiłam, czyli adware. Usuwanie tych obiektów nie powinno mieć wpływu na niemożność startu Windows. Nasuwa się, iż to uruchomienie ComboFix mogło to spowodować, gdyż to najsilniejszy wdrożony proces. Tym bardziej, że log z ComboFix ma dziwne odczyty typu "Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces". Zadania wykonane. Poprawki 1. FRST nie był zdolny przetworzyć tego krzaczastego wpisu: SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL = Start > w polu szukania wpisz regedit > z prawokliku skasuj: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ten krzak 2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\1\Downloads\ComboFix-tamindir.exe /uninstall 3. Następnie przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\1\Desktop\Stare dane programu Firefox C:\Users\1\Desktop\Stare dane programu Firefox-1 W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Uruchom TFC - Temp Cleaner. 5. Ponów skan MBAM i przedstaw wynikowy raport, o ile coś zostanie znalezione. . Odnośnik do komentarza
steraf Opublikowano 16 Października 2013 Autor Zgłoś Udostępnij Opublikowano 16 Października 2013 Coś znalazł, nawet sporo. MBAM-log-2013-10-15 (23-33-47).txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2013 Zgłoś Udostępnij Opublikowano 18 Października 2013 Te wyniki MBAM to już drobnostki. Wszystko w katalogu "Download" to są portalowe downloadery instalujące adware oraz instalatory zawierające adware, czyli źródło usuwanych już tu śmieci. Natomiast "Trojan.AutoKMS" to ... crack do Office. Pozbądź się tego wszystkiego. Na koniec usuń z systemu stare Java i zaktualizuj resztę wyliczonych poniżej programów: KLIK. Wg raportu są tu zainstalowane wersje: ==================== Installed Programs ====================== Adobe Reader X (10.1.8) MUI (x32 Version: 10.1.8) Java 7 Update 21 (x32 Version: 7.0.210) Java 6 Update 20 (x32 Version: 6.0.200) Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.5131.5000) Microsoft Silverlight (Version: 5.1.20513.0) Mozilla Firefox 21.0 (x86 pl) (x32 Version: 21.0) OpenOffice.org 3.4.1 (x32 Version: 3.41.9593) . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się