Rawek Opublikowano 19 Stycznia 2014 Zgłoś Udostępnij Opublikowano 19 Stycznia 2014 Witam. Od paru dni na moim komputerze pojawiły się keyloggery, gdyż w paru grach obczyszczone zostały moje konta Szukałem w Google jak się ich pozbyć i oprócz działana CCleanerem i SpyBotem użyłem programu Combo Fix którego log załącze ( w podanej instrukcji obsługi zalecane było skontaktowanie się z fachowcami z tego forum). Dopiero po tych działaniach zrobiłem skany wymagane do weryfikacji. Nie posiadam żadnego antyvirusa, system xp 32 bity. Proszę o pomoc. FRST.txt Extras.Txt Addition.txt OTL.Txt ComboFix.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 20 Stycznia 2014 Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 Na przyszłość na temat używania ComboFix: KLIK. Jego log owszem wykazuje, że w systemie były keyloggery (logonInit.dll + spoolsv32.jar) od lewych paczek Tibia. Log z FRST wykazuje, że ComboFix niedokładnie to wyczyścił, a także że jest tu jeszcze trzeci (A9B90D.EXE) aktywnie uruchamiany. Prawdopodobnie źródłem części jest Tibia IPChanger, którego ślady są na dysku. Poza tym, w systemie są różne obiekty adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Documents and Settings\Zurawski\Menu Start\Programy\Autostart\A9B90D.lnk HKLM\...\Run: [A9B90D] - C:\WINDOWS\system32\29EDD5\A9B90D.EXE [1406935 2013-09-27] () HKCU\...\Run: [NextLive] - C:\Documents and Settings\Zurawski\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) HKCU\...\Run: [spoolsv32] - "C:\WINDOWS\system32\javaw.exe" -jar "C:\Documents and Settings\Zurawski\Dane aplikacji\Win32\spoolsv32.jar" HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200AVJS-63WDA0_WD-WCARW278467984679&ts=1379163499 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200AVJS-63WDA0_WD-WCARW278467984679&ts=1379163499 FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\qvo6.xml Winlogon\Notify\igfxcui: igfxdev.dll [X] R3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [x] S3 ialm; system32\DRIVERS\igxpmp32.sys [x] S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [x] S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [x] U3 mbr; \??\C:\DOCUME~1\Zurawski\USTAWI~1\Temp\mbr.sys [x] C:\WINDOWS\system32\29EDD5 C:\WINDOWS\system32\roboot.exe C:\WINDOWS\System32\unrar.dll C:\Program Files\Common Files\userInit.dll C:\Program Files\BonanzaDeals C:\Program Files\Mobogenie C:\Program Files\MyPC Backup C:\Program Files\RegClean Pro C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\All Users\Dane aplikacji\eSafe C:\Documents and Settings\All Users\Dane aplikacji\Kingsoft C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Documents and Settings\Zurawski\.android C:\Documents and Settings\Zurawski\daemonprocess.txt C:\Documents and Settings\Zurawski\Dane aplikacji\n402.dll C:\Documents and Settings\Zurawski\Dane aplikacji\0F1F1C2Y1H1P1C0I0T C:\Documents and Settings\Zurawski\Dane aplikacji\AVG C:\Documents and Settings\Zurawski\Dane aplikacji\FoxTab C:\Documents and Settings\Zurawski\Dane aplikacji\Kingsoft C:\Documents and Settings\Zurawski\Dane aplikacji\newnext.me C:\Documents and Settings\Zurawski\Dane aplikacji\OpenCandy C:\Documents and Settings\Zurawski\Dane aplikacji\Splashtop C:\Documents and Settings\Zurawski\Dane aplikacji\systweak C:\Documents and Settings\Zurawski\Dane aplikacji\Windows Net Data C:\Documents and Settings\Zurawski\Moje dokumenty\Mobogenie C:\Documents and Settings\Zurawski\Pulpit\ipchanger.exe C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand Reg: reg delete HKCU\Software\OtLand /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware uTorrent Packages, VIS oraz pozbądź się od razu tego przestarzałego Spybot - Search & Destroy. 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Rawek Opublikowano 20 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 1.Zrobione jak w instrukcji. 2.Spybot usunięty, natomiast przy próbie usunięcia uTorrent Packages, VIS włączała mi się wiewiórka (OTland ip changer) i nie mogłem usunąć ich, a panel dodawania/usuwania zawieszał się do momentu wyłaczenia tego ip changera ( i tak w kółko). 3. Po wybraniu tej opcji wykryj problemy i pozwól mi wybrać poprawki do zastosowania wyskakiwał komunikat podany na zdjęciu 111 oraz znowu wyskakiwała wiewiórka (na zdjęciu już wyłączona). 4. Zrobione bezproblemowo. 5.Log załączam. 6.Log załączam. FRST.txt Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 20 Stycznia 2014 Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 1. Wymagane poprawki. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [A9B90D] - C:\WINDOWS\system32\29EDD5\A9B90D.EXE Startup: C:\Documents and Settings\Zurawski\Menu Start\Programy\Autostart\A9B90D.lnk C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Program Files\Spybot - Search & Destroy 2 CMD: sc config Eventlog start= disabled Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zachowaj wynikowy fixlog.txt. Zresetuj system, start może być dłuższy ze względu na wyłączony Dziennik. Następnie otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\SpybotSD.evt C:\WINDOWS\system32\config\Spybot -.evt CMD: sc config Eventlog start= auto Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Zresetuj system, wszystko wróci do normy. 2. Spróbuj ponownie odinstalować wszystko co podałam wcześniej. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz oba pliki fixlog.txt. . Odnośnik do komentarza
Rawek Opublikowano 20 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 1. Zrobiłem wszystko jak w instrukcji ale po drugim resecie komputer mulił i zanim się włączył system a po właczeniu podstawne programy ( internet, hp itp) minęło troche czasu ( tak samo po 3 resecie po zakończeniu TFC temp cleaner) 2. Ta sama sytuacja, pokazała się wiewiórka (ip changer) i nic się nie dało zrobić. 3. Uruchomiłem i proces zakończył się restartem systemu. 4. Załączam. Fixlog.txt Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Stycznia 2014 Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 1. Zrobiłem wszystko jak w instrukcji ale po drugim resecie komputer mulił i zanim się włączył system a po właczeniu podstawne programy ( internet, hp itp) minęło troche czasu ( tak samo po 3 resecie po zakończeniu TFC temp cleaner) Czy wolny start Windows nadal występuje? 3. Uruchomiłem i proces zakończył się restartem systemu. Restart jest normalnym zjawiskiem podczas czyszczenia tym programem. 2. Ta sama sytuacja, pokazała się wiewiórka (ip changer) i nic się nie dało zrobić. Hmmm, to nie brzmi dobrze i sugeruje, że jakiś składnik Windows może być zmodyfikowany. I widzę, że w procesach pracuje obecnie Tibia oraz że się konsekwentnie regenerują na dysku składniki "OTLand": ==================== One Month Created Files and Folders ======== 2014-01-20 17:08 - 2014-01-20 17:08 - 00000000 ____D C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand 2014-01-20 16:46 - 2014-01-20 16:46 - 04961280 _____ (CipSoft GmbH) C:\Documents and Settings\All Users\Dane aplikacji\Tibia.bak 2014-01-20 16:44 - 2014-01-20 16:44 - 03923396 _____ C:\Documents and Settings\All Users\Dane aplikacji\Tibia_pic.bak 2014-01-20 16:35 - 2014-01-20 16:44 - 97435717 _____ C:\Documents and Settings\All Users\Dane aplikacji\Tibia_spr.bak 2014-01-20 16:30 - 2014-01-20 17:15 - 01251376 _____ C:\Documents and Settings\All Users\Dane aplikacji\Tibia_dat.bak Tu się nasuwa, by odinstalować także Tibia (może program jest zmodyfikowany szkodliwie), ale skoro niczego się nie da normalnie odinstalować, to spróbujmy przez linię komend. Na razie podaj mi skan dodatkowy. Uruchom SystemLook i do okna wklej: :dir C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand /s :regfind OTLand :reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tibia_is1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VIS HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent Packages Klik w Look i przedstaw wynikowy raport. . Odnośnik do komentarza
Rawek Opublikowano 20 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 Odinstalowałem Tibie, spróbowałem jeszcze w między czasie ponownie odinstalować tamte programy ale ciągle wyskakuje ta wiewióra. Czy wolny start Windows nadal występuje? od momentu załadowania systemu do właczenia się podstawowych programów mija około 3 minut, gdzie wcześniej to było 10 sekund. A sam firefox po kliknięciu włacza się po minucie. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2014 Zgłoś Udostępnij Opublikowano 22 Stycznia 2014 Rawek, proszę nie podbijaj tematu. Zasady działu wyraźnie mówią, że należy czekać cierpliwie na odpowiedź, która pojawia się gdy mam czas, by solidnie temat zanalizować i wiem co powiedzieć. Nie mogę robić tematów na odwal się, udzielać byle jakiej odpowiedzi byle coś powiedzieć i stworzyć fałszywe wrażenie "szybkiego rozwiązywania". od momentu załadowania systemu do właczenia się podstawowych programów mija około 3 minut, gdzie wcześniej to było 10 sekund Był uruchomiony GMER. Prawdopodobnie został zdegradowany transfer dysku z DMA do PIO. Wykonaj instrukcje z ustępu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Odinstalowałem Tibie, spróbowałem jeszcze w między czasie ponownie odinstalować tamte programy ale ciągle wyskakuje ta wiewióra. Obawiam się, że został zmodyfikowany przez infekcję któryś plik Windows. Na razie z tego co widzę, to: odinstalowują się poprawnie tylko programy, które mają na dysku deinstalator, a wiewióra pojawia się przy programach mających zdefektowany deinstalator. Wstępnie: 1. uTorrent Packages i VIS zostały naruszone przeze mnie, bo usunęłam dwa foldery nie wiedząc, że w nich są deinstalatory tych aplikacji. Toteż przywróć foldery z kwarantanny i spróbuj odinstalować oba programy w normalny sposób. Wygrzeb te dwa foldery: C:\FRST\Quarantine\0F1F1C2Y1H1P1C0I0T C:\FRST\Quarantine\Windows Net Data W eksploratorze Windows w pasku adresów wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Zurawski\Dane aplikacji Wstaw tam oba foldery z kwarantanny FRST. Po tym ponów próbę deinstalacji tych dwóch programów. 2. Następnie usuń wszystkie kwarantanny, by programy skanujące nie wykrywały rzeczy już usuniętych, tzn. przez SHIFT+DEL (omija Kosz) skasuj foldery: C:\AdwCleaner C:\FRST\Quarantine C:\Documents and Settings\Zurawski\Pulpit\Stare dane programu Firefox Odinstaluj też w poprawny sposób ComboFix, w Start > Uruchom > wklej komendę: "C:\Documents and Settings\Zurawski\Pulpit\ComboFix.exe" /uninstall 3. Po kolei zrób pełne skanowanie za pomocą programów: Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool. Domyślnie Kaspersky prowadzi skan ekspresowy, więc w konfiguracji skanera zmień to na skan wszystkiego. Jeśli któryś program coś wykryje, przedstaw raporty. Wyniki Kasperskiego: interesują mnie tylko wykryte zagrożenia, a nie inne typy wyników (np. typu "OK"), byś mi przypadkiem nie chciał podawać ogromnego raportu z wszystkim jak leci. . Odnośnik do komentarza
Rawek Opublikowano 22 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2014 Na wstępie przepraszam za niecierpliwość ale przez chwilę potrzebowałem pilnie sprawnego kompa i rozważałem nawet format ale jakoś sobie poradziłem Start systemu powrócił do normy po odinstalowaniu IDE i restarcie komputera. 1. Wszystko elegancko się odinstalowało. 2. Tu też bez problemów. 3. Malvare wykazało 3 trojany i 4 jakieś inne pliki, raport zamieszczam, żadnych działań w związku z nimi nie podjąłem. Co do Kasperskiego, po zaznaczeniu wszystkich opcji( mój komputer, dysk C, itp) po 1 godzinie upłynęło dopiero 4% skanowania i na razie go nie dokończyłem. EDIT: dodaje raport z kasperskiego. MBAM-log-2014-01-22 (17-31-59).txt kasp.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2014 Zgłoś Udostępnij Opublikowano 24 Stycznia 2014 W SystemLook był taki odczyt: [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\Documents"="OTLand IP Changer" I MBAM to zobaczył: C:\Documents (Trojan.Agent) -> Nie wykonano akcji. Wynik jednak wygląda dość "biednie" jak na to co się tu dzieje z tą wiewiórą. Pod kątem wyników skanerów: - Usuń za pomocą MBAM wszystko co wykrył. - Przez SHIFT+DEL dokasuj foldery C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand + C:\Program Files\maucampo + C:\User Data. - Wyczyść Tymczasowe pliki internetowe z poziomu Opcji internetowych przeglądarki IE. - Ponownie uruchom TFC - Temp Cleaner. Po tym czyszczeniu spróbuj ponowić tę akcję z narzędziem Microsoftu: 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. + 3. Po wybraniu tej opcji wykryj problemy i pozwól mi wybrać poprawki do zastosowania wyskakiwał komunikat podany na zdjęciu 111 oraz znowu wyskakiwała wiewiórka (na zdjęciu już wyłączona). . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się