arconuss Opublikowano 25 Grudnia 2010 Zgłoś Udostępnij Opublikowano 25 Grudnia 2010 Objawy infekcji: - najważniejszy - samoistnie przywraca się opcja "Nie pokazuj ukrytych plików i folderów", - wolna praca systemu, - kliknięcie rolką myszy na linku w firefoxie otwiera kilka takich samych kart ze stroną klikniętego adresu (ale to może być kwestia wiekowości używanej myszki); - i wcześniej (skan EsetNOD32 wyeliminował problem) zamierało połączenie z internetem (tzn ikona w tray'u pokazywała połączenie, ale skype się gubił, przeglądarki nie wyświetlały stron) - pomagał dopiero reset routera. dotychczasowe działania: - instalacja i uruchomienie skanu Eset NOD32: link do zrzutu kwarantanny http://img828.imageshack.us/img828/5860/kwarantannaeset.jpg oraz tekst pliku dziennika raport EsetNOD32.txt - Użycie COMBOFix (niestety w zbyt wielu miejscach polecają to narzędzie nawet laikom komputerowym) - nie udane - po 50 etapie: niebieski ekran windows, na szczęście restart się powiódł ale nie mam żadnych plików raportów z działań ComboFixa obowiązkowe logi: - OTL: OTL.Txt, Extras.Txt - RootRepeal (GMER od razu wywala do niebieskiego ekranu): RootRepeal report 12-25-10 (20-45-54).txt - SecurityCheck: Results of screen317's Security Check version 0.99.8 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! ESET Smart Security WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Java 6 Update 23 Java 6 Update 7 Out of date Java installed! Adobe Flash Player 10.0.45.2 Adobe Reader 9 Lite Out of date Adobe Reader installed! Mozilla Firefox (3.6.13) Mozilla Thunderbird (2.0.0) Thunderbird Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` Jak pozbyć się szkodników bez reinstalacji? Odnośnik do komentarza
Landuss Opublikowano 26 Grudnia 2010 Zgłoś Udostępnij Opublikowano 26 Grudnia 2010 1. Wykonaj log z OTL na dodatkowym warunku i w oknie Własne opcje skanowania/Skrypt wpisz netsvcs a nastepnie kliknij w Skanuj (nie w Wykonaj skrypt) 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Odnośnik do komentarza
arconuss Opublikowano 26 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Grudnia 2010 melduję: 0. Udało mi się uruchomić GMER w trybie awaryjnym (za pierwszym razem mimo, że skan ładnie przeszedł nie mogłem skopiować raportu, bo "buttonik-KOPIUJ" był niewidoczny - musiałem użyć ResizeEnable i odpalić GMER jeszcze raz i wtedy udało się przeskalować okno, wszystkie przyciski były widoczne, ale po kilkunastu godzinach skanowania system pracował tak wolno, że praktycznie skanowanie utknęło w miejscu, więc je przerwałem i skopiowałem to co zrobił do tej pory (jestem pewien, że jest to identyczne z tym co zrobił poprawnie do końca za pierwszym razem - więc chyba można potraktować że raport jest kompletny): gmer_TrybAwaryjny_2010.12.26 15.00.txt i zgodnie z zaleceniami: 1. log z OTL na dodatkowym warunku i w oknie Własne opcje skanowania/Skrypt wpisz netsvcs a nastepnie kliknij w Skanuj (nie w Wykonaj skrypt): OTL_2010.12.26 15.33.Txt Extras_2010.12.26 15.33.txt 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport: UsbFix_2010.12.26 15.37.txt Czekam na dalsze instrukcje. Odnośnik do komentarza
arconuss Opublikowano 28 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 28 Grudnia 2010 Chciałem cichutko przypomnieć o moim problemie . Jeśli ten przypadek wymaga dłuższej analizy to przepraszam za brak cierpliwości . Edit 2010.12.28 18:41: Problem się powiększył - nie mogę uruchomić systemu - po mniej więcej 10s ładowania Windowsa pojawia się BlueScreen: unmountable boot volume linkBlueScreen. Tryb awaryjny też nie idzie. Sprawdzałem w BIOS - dysk jest widoczny, i pod KNOPPIXem - daje się go odczytać. Może pomogłaby próba skorzystania z Konsoli Odzyskiwania, którą instalował swego czasu ComboFix - tylko ... nie wiem jak, i czy to pomoże, i nie chcę czegoś dodatkowo "sknocić". Poza tym jak pisałem działanie ComboFixa nie skończyło się normalnie. Ech ... Odnośnik do komentarza
Landuss Opublikowano 28 Grudnia 2010 Zgłoś Udostępnij Opublikowano 28 Grudnia 2010 Ostatnio mam dużo innych rzeczy na głowie poza forum dlatego nie zawsze odpowiadam szybko. Jesli tak się dzieje to najpierw lepiej zająć się naprawą tego problemu, a dopiero potem infekcji. Zobacz artykuł MS: KLIK Odnośnik do komentarza
arconuss Opublikowano 28 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 28 Grudnia 2010 System postawiony - dzięki bootowalnej płytce picasso z tego wątku: link_konsola_odzyskiwania (komenda chkdsk /r załatwiła sprawę). A więc można się zająć infekcją. Czekam niecierpliwie na instrukcje. Odnośnik do komentarza
Landuss Opublikowano 29 Grudnia 2010 Zgłoś Udostępnij Opublikowano 29 Grudnia 2010 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL NetSvcs: hcscwtiq - C:\WINDOWS.0\System32\yfolfs.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer. Odnośnik do komentarza
arconuss Opublikowano 30 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2010 raport OTL po wykonaniu skryptu: OTL_postWykonajSkrypt_2010.12.29 22.15.txt raport OTL po restarcie i skanowaniu: OTL_2010.12.29 22.25.txt ExtrasOTL_2010.12.29 22.25.txt raport GMER (tryb awaryjny): gmer_TrybAwaryjny_2010.12.30 02.19.txt (w międzyczasie walczyłem z przegrzewającym się procesorem - zainstalowałem programik HWMonitor ver. 1.17.0 i zmieniłem wentylator) Odnośnik do komentarza
Landuss Opublikowano 30 Grudnia 2010 Zgłoś Udostępnij Opublikowano 30 Grudnia 2010 Infekcja wygląda na pomyślnie usuniętą. Problemy powinny minąć. Użyj teraz opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK Odnośnik do komentarza
arconuss Opublikowano 31 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 31 Grudnia 2010 1. Sprzątanie z OTL zrobione. 2. Przywracanie systemu wyzerowane. wszystko wygląda ładnie przede wszystkim można zobaczyć pliki ukryte, ale: 3. Podpiąłem dysk twardy przez USB do innego komputera z zainstalowanym McAfee i wykonałem dokładny skan. McAfee wykrył kilka zainfekowanych plików i wrzucił do kwarantanny (niestety nie można zrobić z tego żadnego raportu, jak wrócę do domu do wrzucę PrintScreeny). 4. Jak wyleczyć i zabezpieczyć (najprawdopodobniej zainfekowane) karty pamięci używane za pośrednictwem czytnika na USB - czy załączyć raporty z opcji Listing z USBfix przy podpięciu każdego z nich? 5. Przez jakiś czas używałem tych kart pamięci na kilku komputerach (komp1: laptop WinXP+NOD32, komp2: netbook Win7_32bit+NOD32, komp3: stacjonarny Win7_64bit+McAfee, no i komp0: stacjonarny ten z tego wątku WinXP+różneTrialeAV a obecnieNOD32). AntyVir'y raportowały wykrycie i unieszkodliwienie zagrożeń. Ponieważ padał mi system na komp0 to w obawie przed awarią HDD skopiowałem na komp3 najważniejsze dla mnie pliki (jeszcze przed wyczyszczeniem infekcji z komp0). Potem po wyczyszczeniu infekcji, by dokończyć kopie bezpieczeństwa ważnych plików to co opisałem w pkt3. Komp1,2,3, poza sygnalizacją AntyVir po włożeniu czytnika do USB raczej nie wykazują objawów infekcji tym bardziej, że komp2 i komp3 to nowe jednostki ze świeżo zainstalowanymi systemami. Czy zasadne jest profilaktyczne wygenerowanie z komp1,2,3 logów obowiązkowych i wrzuceniu tu to analizy? Edit: dodanie oznaczeń wersji systemów Win7 w komp2 i komp3 Odnośnik do komentarza
Landuss Opublikowano 31 Grudnia 2010 Zgłoś Udostępnij Opublikowano 31 Grudnia 2010 (edytowane) Jak wyleczyć i zabezpieczyć (najprawdopodobniej zainfekowane) karty pamięci używane za pośrednictwem czytnika na USB - czy załączyć raporty z opcji Listing z USBfix przy podpięciu każdego z nich? Dokładnie tak. Opcja Listing wszystko pokarze. Czy zasadne jest profilaktyczne wygenerowanie z komp1,2,3 logów obowiązkowych i wrzuceniu tu to analizy? Jeśli chcesz to możesz zrobić logi i pokazać do wglądu. Tylko zrób to czytelnie żeby się komputery nie pomieszały. Edytowane 31 Stycznia 2011 przez picasso 31.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi