Skocz do zawartości

Małe okienka z reklamami


Rekomendowane odpowiedzi

http://forum.pclab.pl/topic/958267-Koń-trojański-crypt3KSO-proces-vohieexe/page__st__20__gopid__12509814entry12509814

jest ciężka sprawa, nie wiem czy tak wolno robić temat jeszcze z linkiem do innego forum ale trudno, osoba tam pomagająca mi nie ma już pomysłów i poleciła mi te forum, a mi się nie chce znowu tyle pisać więc proszę się zapoznać z tym forum i dziękuje za pomoc, nie piszcie o logach, są czyste 

@EDIT logi są nowe i właśnie zrobione, bo w tamtym temacie mogły by być starsze

Extras.Txt

OTL.Txt

gmer.txt

Addition.txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

nie wiem czy tak wolno robić temat jeszcze z linkiem do innego forum

Tu na forum podanie linka do innego forum, gdzie prowadzono pomoc, jest obowiązkowe. Cytuję z zasad działu(KLIK):

 

3. Jeżeli gdzieś już prowadzono pomoc na innym forum, obowiązkowo proszę podać link do tematu. Nie dowierzam żadnym procesom pochodzącym z obcych miejsc sieci bez namacalnych dowodów, a już na pewno nie w zapewnienie użytkownika, że "tam problem rozwiązano". Skoro użytkownik prosi o pomoc, jest to równoznaczne z faktem, że nie potrafi ocenić dokonań osoby rzekomo udzielającej pomocy, a skoro prosi o nią po raz drugi, nasuwa to nieodparte skojarzenie z błędem popełnionym gdzie indziej.

I jeszcze w kwestii logów: filutka dobrze prawi, ja zawsze wymagam świeżych logów obowiązujących tutaj. Logi na innym forum są tylko porównawczo co robiono wcześniej i jak zmieniała się sytuacja. Nie używam też już OTL jako głównego programu (choć nadal go sprawdzam), bo jest już nieco stary, nierozwijany, a FRST ma lepsze skany.

 

 

@EDIT logi są nowe i właśnie zrobione, bo w tamtym temacie mogły by być starsze

Podałeś mi stare logi z 24 i 25 kwietnia, które nie mogą być brane pod uwagę (wystarczy godzina, by wyniki się diametralnie zmieniły):

 

FRST:

Ran by user at 2014-04-24 20:25:31

 

OTL:

OTL logfile created on: 2014-04-25 21:58:15 - Run 3

 

GMER:

Rootkit scan 2014-04-25 22:21:38

 

Proszę zrobić nowe logi z teraz z wszystkich programów, a FRST ma utworzyć trzy (pola Addition i Shortcut mają być zaznaczone).

 

 

.

Odnośnik do komentarza

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2014 03

Ran by user (administrator) on USER-KOMPUTER on 25-04-2014 22:35:43

ale tu się rzuca w oczy pewna niezgodność: skoro wersja FRST jest z 26 kwietnia, to niemożliwe jest, by log był zrobiony dzień wcześniej (25. 04), niż pojawiła się ta wersja FRST.

Może Użytkownik ma u siebie przestawioną datę?

W takim przypadku logi są aktualne.

 

jessi

Odnośnik do komentarza

Rzeczywiście. Niemniej: GMER źle zrobiony i brak trzeciego pliku FRST Shortcut. A logów z tamtego forum nie mogę porównać, załączniki są zablokowane dla Gości.

 

 

Konndzzio

 

"nie piszcie o logach, są czyste" = nie są czyste. Ta modyfikacja pliku HOSTS jest szkodliwa (jawne przekierowanie określonych adresów na niezgodne IP), notabene wykrywał ją MBAM. Kombinowałeś wcześniej z plikiem HOSTS, tylko niepoprawnie i utworzyłeś kompletnie niedziałający plik o rozszerzeniu *.TXT (oryginalny plik nie ma rozszerzenia):

 

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

 

Ale tu jest więcej śladów, które wskazują, że nie tylko HOSTS może być problemem: mnogość procesów iexplore.exe i podejrzany wyciąg z GMER (sugeruje infekcję rootkit).

 

 

1. Upewnij się, że zegar systemowy jest odpowiednio ustawiony.

 

2. Uruchom narzędzie Fix-it resetujące plik HOSTS: KLIK.

 

3. Zresetuj system i zrób nowe raporty FRST (pola Addition i Shortcut także ma być zaznaczone). GMER do powtórki, jest źle zrobiony, przy czynnym emulatorze napędów SPTD i zaciemnia sprawę:

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-04-25] (Duplex Secure Ltd.)

U3 a14x7pgn; C:\Windows\System32\Drivers\a14x7pgn.sys [0 ] (Advanced Micro Devices)

 

Instrukcje poprawnego uruchomienia: KLIK. Odinstaluj sterownik SPTD > restart systemu > zrób log z GMER. Dodatkowo, zrób log porównawczy z Kaspersky TDSSKiller - jeśli cokolwiek wykryje ustaw Skip i tylko log wynikowy zaprezentuj.

 

Dołącz także raporty z katalogu C:\AdwCleaner (był używany).

 

 

 

.

Odnośnik do komentarza

Witam, pisałem, ze czysto bo w sumie filutka je tak określiła, ten plik host miał już plik .txt a jego modyfikowanie też podała mi filutka
1. ta był dzień do tyłu
2. właśnie robie to
3. będzie po resecie kompa/ aa ten programik do odistalowania sterownika mam ale unistall nie dałem...
 
@EDIT

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

TDSSKiller.3.0.0.33_27.04.2014_10.54.53_log.txt

Odnośnik do komentarza

Tak, zgodnie z podejrzeniami jest tu rootkit (GMER po odsianiu aktywności SPTD lepiej to wykazuje + TDSSKiller ma konkretną detekcję typu), a modyfikacja HOSTS to tylko część zestawu. Plik HOSTS nie został zresztą wcale zresetowany, prawdopodobnie infekcja blokuje, choć nie jestem pewna czy w ogóle uruchomiłeś narzędzie Fix-it. Wdróż następujące działania:

 

1. Uruchom ponownie Kaspersky TDSSKiller, ale tym razem dla wyniku Rootkit.Boot.Cidox.b wybierz akcję domyślnie zaproponowaną przez narzędzie. Zresetuj system. Narzędzie zapisze kolejny log na C:\.

 

2. Ponów reset pliku HOSTS narzędziem Fix-it: KLIK.

 

3. Zrób nowe logi: FRST (główny + Addition) oraz GMER. Dołącz log z Kasperskiego.

 

 

ten plik host miał już plik .txt a jego modyfikowanie też podała mi filutka

Nie, ten plik *.txt Ty utworzyłeś. Tu są obecnie dwa pliki w systemie:

 

Plik właściwy bez rozszerzenia (to ten miał być modyfikowany):

 

2009-07-14 04:34 - 2014-04-24 08:51 - 00001659 ____N C:\Windows\system32\Drivers\etc\hosts

 

Plik sztuczny dorobiony przez Ciebie (nie jest interpretowany przez Windows):

 

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

 

 

 

.

Odnośnik do komentarza

1. usunięty, czekam aż fix-it zrobi punkt przywracania systemu i będę mógł zresetować kompa

2. ....

3. to zapewne troche pozniej bo kompa nie bede mic

@EDIT a ja ci mówie, że jak otworzyłem to txt już był

gmer dam potem

@EDIT2 gmer już jest, nie wiem czy reklamy miały już zniknąć bo dalej je mam

TDSSKiller.3.0.0.33_27.04.2014_11.10.15_log.txt

TDSSKiller.3.0.0.33_27.04.2014_13.06.35_log.txt

Addition.txt

FRST.txt

gmer.txt

Odnośnik do komentarza

@EDIT a ja ci mówie, że jak otworzyłem to txt już był

Na pewno plik był utworzony na świeżo ręcznie, mówią o tym daty jego utworzenia i modyfikacji (nanieś poprawkę na cofnięty czas systemowy):

 

2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt

 

Plik powstał tuż przed instalacją MBAM i używaniem AdwCleaner. Tak więc owszem, mógł być w momencie, gdy na tamtym forum zadano modyfikację HOSTS, co nie zmienia faktu, że plik został utworzony (nie było go wcześniej) i otwierałeś zły plik. Plik systemowy jest na dysku, nie ma rozszerzenia i nie jest to powyższy plik.

 

 

@EDIT2 gmer już jest, nie wiem czy reklamy miały już zniknąć bo dalej je mam

Rootkit został pomyślnie usunięty, o czym zawiadamia GMER i ustąpienie procesów iexplore.exe, ale plik HOSTS w ogóle nie został zresetowany. Może plik jest zablokowany przez uprawnienia?

 

 

coś jest nie tak, bo w procesach jest powielony chrome.exe, komp mi zmulił i w malwarebytes wyłączyło mi opcje blokowania szkodliwych stron, ciekawy zbieg okoliczności

Google Chrome stosuje antyawaryjny system separacji kart i rozszerzeń do osobnych procesów. Powielenie procesu chrome.exe nie jest nienormalne, jeśli przeglądarka była ręcznie uruchomiona. Np. u mnie przy otwartych 8 kartach Google Chrome mam 11 procesów chrome.exe. Poprzednio wspominane powielenie iexplore.exe to było co innego (ciche uruchomienie procesów nie używanej przeglądarki). Sytuacja, gdy działał rootkit:

 

==================== Processes (Whitelisted) =================

 

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

 

Obecna sytuacja:

 

==================== Processes (Whitelisted) =================

 

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

(Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

 

A MBAM prawdopodobnie reaguje na przekierowania HOSTS. Skoro reset HOSTS narzędziem Fix-it się nie udaje, ręcznie zostanie wdrożona akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

146.0.75.221 www.google-analytics.com.
146.0.75.221 google-analytics.com.
146.0.75.221 connect.facebook.net.
146.0.75.221 bing.com.
146.0.75.221 www.bing.com.
146.0.75.221 gb.bing.com.
146.0.75.221 au.bing.com.
146.0.75.221 ca.bing.com.
79.142.66.242 www.google-analytics.com.
79.142.66.242 google-analytics.com.
79.142.66.242 connect.facebook.net.
79.142.66.242 bing.com.
79.142.66.242 www.bing.com.
79.142.66.242 gb.bing.com.
79.142.66.242 au.bing.com.
79.142.66.242 ca.bing.com.
C:\Windows\system32\Drivers\etc\hosts.txt
C:\Windows\SysWOW64\sqlite3.dll
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\67791575.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\67791575.sys => ""="Driver"
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy log FRST z opcji Scan (główny + Addition). Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

To co jest w skanie AVG to kompletnie inny plik, czyli FlashUpdater.exe (dwie kopie pobrane ręcznie), a podany program to TFC.exe. Prawdopodobnie ten szkodliwy FlashUpdater.exe już był wcześniej na dysku w tym folderze D:\Download, ale AVG się obudził dopiero, gdy zacząłeś zapisywać tam TFC. To co wykrył AVG do usunięcia.

 

Plik HOSTS bez zmian. Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Windows\system32\Drivers\etc\hosts

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

 

2. Ponownie uruchom narzędzie Fix-it resetujące HOSTS.

 

3. Zrób nowy log FRST, ale dodaj mi tylko plik Addition. Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Plik HOSTS nareszcie pomyślnie zresetowany. Możemy przejść do finalizacji:

 

1. Usuń używane narzędzia za pomocą DelFix. Jeśli coś nie zostanie skasowane, dokończ ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Jako że AVG poprzednio reagował dopiero przy próbach zapisu na D:\, dla pewności wykonaj jeszcze ręczny pełny skan partycji C i D.

 

 

 

.

Odnośnik do komentarza

1. program odpalony i log na dole, ale jest jeszcze jedna rzecz, (zdjęcie) to jest taka moja mała kolekcja na wypadek jak znowu się coś stanie, to też usunąć czy sobie zostawić i gdy będą potrzebne same się zaktualizują

2. według instrukcji do windows 7 usunięte

3. to sobie w najbliższym czasie odpale

Jeżeli to już wszystko to chciałbym ci podziękować za pomoc i jak zapewne masz kontakt z filutką to czy mogłabyś przekazać jej podziękowania ode mnie bo też włożyła w to trochę pracy.

post-13218-0-58105400-1398764980_thumb.png

DelFix.txt

Odnośnik do komentarza

Tu jeszcze nie wszystko. Czekam na wyniki skanu. Po tym jest planowana wymiana wszystkich haseł logowania w serwisach (w systemie był bootkit) i aktualizacje programów.

 

 

ale jest jeszcze jedna rzecz, (zdjęcie) to jest taka moja mała kolekcja na wypadek jak znowu się coś stanie, to też usunąć czy sobie zostawić i gdy będą potrzebne same się zaktualizują

Zachomikowane programy do usunięcia. Przy kolejnej "aferze" pobiera się je na nowo, by mieć gwarancję najnowszych usprawnionych wersji. Możesz zostawić sobie tylko OTL i TFC, bo te nie są już rozwijane i nowych wersji nie należy się spodziewać.

 

 

Jeżeli to już wszystko to chciałbym ci podziękować za pomoc i jak zapewne masz kontakt z filutką to czy mogłabyś przekazać jej podziękowania ode mnie bo też włożyła w to trochę pracy.

filutce przecież możesz podziękować bezpośrednio na tamtym forum w założonym temacie.

 

 

.

Odnośnik do komentarza

Na dole wynik skanu, programy usunięte, hasła prawdopodobnie sobie pozmieniam, tak wiem, że mogę to zrobić na "jej" forum ale nie chce odkopywać tego mojego tematu nie mając gwarancji, że to w ogóle przeczyta, a wiesz, masz kontakt więc twoją wiadomość by sprawdziła ale masz rajce, zawsze lepiej podziękować osobiście, nie przez kogoś

skan.txt

Odnośnik do komentarza

OK. Czyli zostało do wdrożenia:

 

1. Wymiana haseł (logowanie w systemach płatności, poczta, serwisy społecznościowe etc.).

 

2. Aktualizacje poniżej wymienionych programów: KLIK.

 

==================== Installed Programs ======================

 

Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.5.502.135 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.5.502.135 - Adobe Systems Incorporated) ----> wtyczka dla FF

Adobe Reader X (10.1.0) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.0 - Adobe Systems Incorporated)

AVG 2013 (HKLM\...\AVG) (Version: 2013.0.3469 - AVG Technologies)

Java™ 6 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216045FF}) (Version: 6.0.450 - Oracle) ----> deinstalacja, nowsza Java jest już w systemie

Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2

Mozilla Firefox 17.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 17.0.1 (x86 pl)) (Version: 17.0.1 - Mozilla)

 

 

masz kontakt więc twoją wiadomość by sprawdził

Nie mam kontaktu ani konta na tamtym forum. My się z filutką "znamy" tylko na zasadzie wiedzy kto na jakim forum działa.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...