speratto Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Witam serdecznie, Jestem zaskoczony, że znaleźli się ludzie, którzy prowadzą podobną działalność Chylę czoła. Ale do rzeczy - wymienię problemy, które mnie nawiedzają (z góry dziękuję za pomoc - komputer potrzebny jest do pracy): 1. "Proces hosta dla usług systemu Windows - zatrzymano działanie i zamknięto. Poprawne działanie zostało zatrzymane z powodu problemu. System Windows powiadomi cię, jeżeli bedzie dostępne rozwiązanie." - taka informacja pojawia mi się za każdym razem po uruchomieniu komputera lub przed/po korzystaniu z programów, które korzystają z internetu. Czasem okienko wyskakuje bez mojej ingerencji lub korzystania z jakiegokolwiek programu. 2. Od nie dawna nie widzę w "mój komputer" dysku CD/DVD - nie sprawdzałem czy czytnik działa 3. Nie działają strony antywirusowe oraz Microsoft.com - prawdopodobnie inne, na które nie wchodzę, a które są z "tym" powiązane też. 4. Zauważyłem, że spadła prędkość internetu - przeważnie ściągało z prędkością ok. 0,5mb - 1,5mb/s - obecnie maksymalnie 200kb/s 5. Generalnie wyświetlanie stron, zauważalnie przedłużyło się. ... Jeśli zauważę inne to dopiszę. Używam systemu Windows Vista 32bit. Dorzucam pożądane pliki. Sprawa się pogorszyła jak skorzystałem z programu CCleaner czyszcząc domyślnie wszystkie zaznaczone opcje (a przynajmniej tak mi się wydaje). Wszystkie programu emulujące odinstalowałem. Bardzo dziękuję za pomoc. Pozdrawiam, Adam, GMER niestety albo blokuje system albo wyrzuca blue screen. Dodaję kolejny log. Dziękuję za pomoc. OTL.Txt Extras.Txt defogger_disable.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 W systemie jest obecny rootkit zamontowany na pliku systemowym svchost.exe (wszczepiony moduł fyxegtbu.dll). Pierwsze podejście będzie polegać na usunięciu sterownika tego rootkita. Dopiero jak ten proces wykona się pomyślnie, przejdziemy do części numer dwa usuwającej inne szczątki i wpisy podrzędnego znaczenia. 1. Uruchom Avenger i w pustym polu wklej: Drivers to delete: sbkitfsn Files to delete: C:\Windows\System32\fyxegtbu.dll Rozpocznij proces przez Execute i zatwierdź reset komputera. Po restarcie zostanie podany log z Avenger. 2. Po restarcie proszę o pokazanie raportu wygenerowanego przez Avenger oraz o nowy komplet logów (OTL / GMER). Przy czym OTL wygeneruj na nieco dostosowanym warunku: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i kliknij w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
speratto Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Wykonałem polecenie - wklejam nowe logi. Logi extras, otl2 wykonane po skrypcie z Avenger, niestety gmer się zacina po ok. 30 min działania i zostaje tylko reset. Załączyłem jednak logi z gmera sprzed skryptu Avenger, który udało mi się w końcu zrobić. Jeśli to konieczne będę próbował do skutku. avenger.txt Extras2.Txt OTL2.Txt gmer2.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Avenger pomyślnie wykonał zadanie, ale: Załączyłem jednak logi z gmera sprzed skryptu Avenger, który udało mi się w końcu zrobić. Ta rozszerzona wersja sprzed usuwania Avengerem wskazuje na obecność jeszcze jednego rootkita, TDL. Zastosuj Kaspersky TDSSKiller, ale w pierwszej kolejności w trybie "tylko do odczytu", tzn. jeśli cokolwiek zostanie znalezione, ustaw akcję Skip i zaprezentuj tu tylko raport. Odnośnik do komentarza
speratto Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Cholera nacisnąłem continue ale nie zrobiłęm reboota, więc nie będę go robił póki nie dostanę odpowiedzi. Zamieszczam loga. TDSSKiller_log.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 1. To się pokrywa z tym co powiedział rozszerzony GMER (infekcja w sterowniku CD-ROMów): 2010/11/17 14:09:37.0862 Detected object count: 12010/11/17 14:10:07.0221 cdrom (7c5090e830588318e47247d2d238bd78) C:\Windows\system32\DRIVERS\cdrom.sys2010/11/17 14:10:07.0221 Suspicious file (Forged): C:\Windows\system32\DRIVERS\cdrom.sys. Real md5: 7c5090e830588318e47247d2d238bd78, Fake md5: 6b4bffb9becd728097024276430db3142010/11/17 14:10:07.0514 Backup copy found, using it..2010/11/17 14:10:07.0548 C:\Windows\system32\DRIVERS\cdrom.sys - will be cured after reboot2010/11/17 14:10:07.0548 Rootkit.Win32.TDSS.tdl3(cdrom) - User select action: Cure Obrałeś już akcję leczenia (Cure), to nie pozostaje nic innego niż restart systemu, by to sfinalizować, i dla pewności sprawdzenie ponownie za pomocą Kasperskiego czy coś aby nie odtworzyło się. 2. Jeśli uporasz się z punktem numer jeden, w panelu deinstalacji programów odmontuj śmiecia sponsoringowego pdfforge Toolbar (skutek jego działania to trwała praca w tle całkowicie zbędnego obiektu "Spigot - Application updater"). Wynik nieuważnej instalacji PDFCreator. Następnie podaj nowy log z OTL (o ile to możliwe, także świeży GMER). Po prezentacji tego raportu przejdziemy do korekcji mniejszych drobnostek. . Odnośnik do komentarza
speratto Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Ok, reboot wykonany, toolbar PDF usunięty (rozumiem, że samego PDFCreator nie muszę usuwać? Potrzebuję go do pracy). Kaspersky nie wykazał nowych problemów z emulatorami, natomiast dołączam log. Dodatkowo nowe logi OTL (bez skryptu jak poprzednio). Extras3.Txt OTL3.Txt TDSSKiller2.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 toolbar PDF usunięty (rozumiem, że samego PDFCreator nie muszę usuwać? Potrzebuję go do pracy) Oczywiście nie. Toolbar to jest niezależny komponent, śmieć para-adware w instalatorze PDFCreator (tam należało go odznaczyć). Sama wirtualna drukarka to co innego. ************************************* Teraz faza "kosmetyczna" na którą się składa: likwidacja zapisku usługi rootkita w wartości Netsvcs oraz mapowania powstałego po podpięciu zarażonych USB, usunięcie resztek po sponsorach i adware (vShare Toolbar / OpenCandy / paski od instalatorów DAEMON Tools / eBay i Amazon), usunięcie śmieci nabitych przez Gadu 10 (mnogość plików o schemacie Temp*.html), ponadto nieszkodliwych acz poszkodowanych wpisów "not found" oraz wyczyszczenie lokalizacji tymczasowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL NetSvcs: sbkitfsn - File not found O33 - MountPoints2\{00aafba0-b9a1-11de-bd3a-001e68550552}\Shell - "" = AutoRun O33 - MountPoints2\{00aafba0-b9a1-11de-bd3a-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O33 - MountPoints2\{0a023581-00d9-11df-b2f3-001e68550552}\Shell - "" = AutoRun O33 - MountPoints2\{0a023581-00d9-11df-b2f3-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O33 - MountPoints2\{6c957c3b-feef-11de-92b1-001e68550552}\Shell\AutoRun\command - "" = t2hjo0.exe O33 - MountPoints2\{6c957c3b-feef-11de-92b1-001e68550552}\Shell\open\Command - "" = t2hjo0.exe O33 - MountPoints2\{9deb9fa3-b967-11de-bb02-001e68550552}\Shell - "" = AutoRun O33 - MountPoints2\{9deb9fa3-b967-11de-bb02-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O33 - MountPoints2\{9deba021-b967-11de-bb02-001e68550552}\Shell - "" = AutoRun O33 - MountPoints2\{9deba021-b967-11de-bb02-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O33 - MountPoints2\{b1a3eceb-ce77-11df-915b-00037aaccfad}\Shell - "" = AutoRun O33 - MountPoints2\{b1a3eceb-ce77-11df-915b-00037aaccfad}\Shell\AutoRun\command - "" = G:\KODAK_Software_Downloader.exe -- File not found O33 - MountPoints2\{d50eb02c-403c-11df-a080-00037aaccfad}\Shell\AutoRun\command - "" = I:\mi9al8rs.exe -- File not found O33 - MountPoints2\{d50eb02c-403c-11df-a080-00037aaccfad}\Shell\open\Command - "" = I:\mi9al8rs.exe -- File not found O33 - MountPoints2\{e6881877-fca4-11de-ab0e-001e68550552}\Shell - "" = AutoRun O33 - MountPoints2\{e6881877-fca4-11de-ab0e-001e68550552}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- File not found O33 - MountPoints2\{ed299c9e-5eb2-11df-93a5-00037aaccfad}\Shell\AutoRun\command - "" = i8ikdjwt.exe O33 - MountPoints2\{ed299c9e-5eb2-11df-93a5-00037aaccfad}\Shell\open\Command - "" = i8ikdjwt.exe O33 - MountPoints2\H\Shell - "" = AutoRun O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\AutoRun.exe -- File not found FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163" FF - prefs.js..browser.search.useDBForOrder: true IE - HKLM\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-568621107-2218902771-2920543385-1000\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - Reg Error: Key error. File not found O2 - BHO: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found. O3 - HKU\S-1-5-21-568621107-2218902771-2920543385-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-568621107-2218902771-2920543385-1000\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O4 - Startup: C:\Users\Grenadier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\igdkmd32.sys -- (igfx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ewusbfake.sys -- (hwusbfake) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\CPUID\PC Wizard 2010\pcwiz32.sys -- (cpuz132) :Files C:\Users\Toshiba\AppData\Roaming\Mozilla\FireFox\Profiles\jyr50h15.default\extensions\vshare@toolbar C:\Users\Toshiba\AppData\Roaming\Mozilla\FireFox\Profiles\jyr50h15.default\searchplugins\absearch-search.xml C:\Users\Toshiba\AppData\Roaming\Mozilla\FireFox\Profiles\jyr50h15.default\searchplugins\web-search.xml C:\Users\Toshiba\AppData\Roaming\OpenCandy C:\Users\Toshiba\AppData\Local\OpenCandy C:\Users\Toshiba\AppData\Local\Temp*.html C:\Program Files\Astroburn Toolbar C:\ProgramData\UpdaterLog.txt :Commands [emptyflash] [emptytemp] Rozpocznij procedurę opcją Wykonaj skrypt. Nastąpi restart komputera i otrzymasz log. 2. Do oceny: log powstały z usuwania OTL oraz nowy zestaw logów z OTL. Podsumuj także działanie systemu, czy ustąpiły objawy główne. . Odnośnik do komentarza
speratto Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Skrypt wykonany (podaję log). Dodatkowo nowy log OTL. Poza tym, czy polecasz jakiś inny komunikator? Drażni mnie. /EDIT Aaaa, dziękuję bardzo - Microsoft i pozostałe strony działają)) skryptlog.txt Extras4.Txt OTL4.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Wszystko wykonane, choć GG10 już się obudziło i znów zaczęło produkować te śmieci (ale to nieuniknione, sprzątanie nie ma charakteru permanentnego). Finalizacja: 1. Uprzątnij kwarantanny i elementy stosowanych narzędzi. W OTL wywołaj funkcję Sprzątanie. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE 3. W ręce skaner Malwarebytes' Anti-malware i przejedź system. Coś znalezione, pokaż do weryfikacji. Poza tym, czy polecasz jakiś inny komunikator? Drażni mnie. Niewątpliwie. Popatrz sobie do mojej pracy Darmowe komunikatory. Szczegółowe opisy oraz tabelki kompatybilności protokołowej Gadu w alternatywnych klientach. Polecane przeze mnie zamienniki dla GG10: WTW lub Miranda. Powody: praktycznie pełna zgodność z najnowszym proto, light, portable, brak reklam. . Odnośnik do komentarza
speratto Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Proces "sprzątania" wykonany, przywracanie systemu odptaszkowane i zaptaszkowane, Malware znalazł 15 problemów (w załączeniu log), WTW zainstalowany:) Dzięki za profesjonalną pomoc, czekam na odpowiedź w sprawie listy z Malware. malware.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 czekam na odpowiedź w sprawie listy z Malware. Wszystko usuń. A jeśli nie notujesz już żadnych problemów, kluczyk idzie na temat. Odnośnik do komentarza
speratto Opublikowano 17 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Wszystko usuń. A jeśli nie notujesz już żadnych problemów, kluczyk idzie na temat. Jak tylko skończy ponownie skanować to zaraz usunę. Dziwi mnie tylko to, że strasznie spadła mi prędkość internetu, czy to może być przypadek? Jeszcze raz dziękuję za pomoc:) /EDIT W załączeniu log z Malware po usunięciu Conficków. Niestety spadła prędkość internetu - zwykle ściągałem używając torrenta z prędkością ok. 1,5Mb/s, obecnie ledwo przekracza 100kb/s. Czy te nasze działania mogły to spowodować? mal.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Niestety spadła prędkość internetu - zwykle ściągałem używając torrenta z prędkością ok. 1,5Mb/s, obecnie ledwo przekracza 100kb/s. Czy te nasze działania mogły to spowodować? Wręcz przeciwnie, powinny zwolnić sieć (tu były aż dwa rootkity, które mają predyspozycje do wdrażania aktywności sieciowej). Skoro nagle raptownie spadła wydajność i występuje to po restarcie systemu (czy tak?), to nasuwa się podejrzenie o nawrocie infekcji, no chyba że dostawca zobaczył nadmierny ruch i przyciął porty. Na wszelki wypadek proszę o nowy komplet logów: OTL + GMER. Odnośnik do komentarza
speratto Opublikowano 18 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2010 (edytowane) Przepraszam, okazało się, że to słabe trackery torrenta, a spowolnione działanie stron pewnie było chwilowe. Obecnie wszystko śmiga bez zarzutów, download nawet 2Mb/s. Jeszcze raz bardzo dziękuję za pomoc, jestem wdzięczny, stawiam dobre wino;) Temat można zamknąć. Pozdrawiam, Adam, Edytowane 18 Listopada 2010 przez picasso Wino biorę, temat zamykam. :P //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi