spinix100 Opublikowano 19 Grudnia 2014 Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Witam, odrazu na początku mówie ze pisze ten temat drugi raz ... po raz pierwszy napisałem już prawie całosc i przy próbie wrzucenia loga z jednego z programów pojawił sie bluescreen i restart ... Laptop kupiony dwa dni temu od kolegi, razem robiliśmy formata. Ale dobra zmierzam do opowiedzenia o problemach z wirusem. Wczoraj chcąc sprawdzić wydajnośc komputera pożyczyłem sobie assasina black flag, gra nie chciała sie włączyć wywalało odrazu ze program przestaje działac. Wyczytałem że musze zainstalować jakiegoś hotfixa i uruchomić w trybie zgodnosci. Sciagnałem jakiegos badziewie z chomikuj. Myślałem ze jak mam noda32 to mi wyłapie wszystkie wirusy i moge smiało sciagaj. Chyba sie pomyliłem .... Komputer zaczał zwalniać, otwierane i minalizowane okna klatkowały starszliwie. Włączyłem Chroma i moim oczom ukazała sie biała strona z napisem Hi w lewym górnym rogu. Myśle sobie WTF?, włączyłem Youtube to samo, wpisałem na pasku w wyszukiwarce losowe hasło i wyskoczyło Połączenie nie jest prywatne. Nie dało sie nic wyszukiwać, strony działały jedynie po wpisaniu całego adresu www.cośtamcośtam.blabl ale ładowały sie 3-4 razy dłużej niż normalne. Komputer zaczął bardzo wolno działać. Pierwsze skanowanie Nodem pokazało BrowseFox.q lecz nie chciało go wyleczyć ani usunąć jak widać na screenie. Przeskanowałem jeszcze raz, tym razem pokazał jakieś ELEX.BE i też nie chce ich wyleczyć, chyba wywaliło je do kwarantanny. Zacząłem grzebać na telefonie, bo tylko tak dało sie przeglądać internet, znalazłem jakiś program YAC. Po przeskanowaniu pokazakł kilka problemów z wtyczkami do chroma, i kilkadziesiąt błędów które niby wyleczył. Potem ściągnałem AntiMalware i to chyba coś pokazało ale nie pamietam dokładnie. Nastepnie uzyłem online scannera od ESETU który trzeba było sciągnac. Na tel szukałem stron i przepisywałem je do Chroma. Scaner od Esetu wykazał OpenCandy ale go nie wyleczył. Nod już nic nie znalazł. Gdzieś wyczytałem o combofixie i jako laik odpaliłem go. Coś tam porobił. Zresetowałem po nim komputer, zaczeły instalować sie jakieś aktualizacje. Właczył sie, znowu zaczałem czytać, dogrzebałem sie zeby sprawdzić domysla wyszukiwarke w chromie. Po wejsciu w ustawienia zobaczyłem bardzo dużo domyslnych wyszkiwarek : Ask. i.yuscośtam, itp itp td. Usunałem i przywrociłem chroma do wersji początkowej. Komputer jakby troche przyśpieszył, strony zaczeły sie otwierać troche szybciej. Google i tak długo sie ładowało. Wszystkie strony zaczeły sie włączać. Postanowiłem sprawdzić to na Operze która tez mialem zainstalowaną. Tam po 10 minutach wszystkie strony też zaczeły sie włączać, ale po wpisaniu google.pl bez WWW na początku znowu wyskoczyło białe tlo z napisem Hi u góry. Po dodaniu www na początku wyświetliło sie normalnie. Na chrome juz wszystko działa w miare szybko, ale wydaje mi sie że tak 90% szybkosci. Komputer to samo. Daje wszystkie screeny itp. Nie pamiętam dokładnie wszystkiego ponieważ cała akcja miała miejsce o 3 w nocy, a ja dopiero teraz pisze tego posta ponieważ nie wiedzialem wczesniej o istnieniu tego forum. Zobaczmy jakie badziewie siedzi na moim nowym lapku Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt ComboFix.txt gmerr.txt Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2014 Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Myślałem ze jak mam noda32 to mi wyłapie wszystkie wirusy i moge smiało sciagaj. Chyba sie pomyliłem .... Ten ESET jest stary, wersja 4 - rocznik 2010. Najnowszy ESET to wersja 8. Był w międzyczasie Avast - co było z nim nie tak, że został wyrzucony na korzyść starego ESET? Zacząłem grzebać na telefonie, bo tylko tak dało sie przeglądać internet, znalazłem jakiś program YAC. Po przeskanowaniu pokazakł kilka problemów z wtyczkami do chroma, i kilkadziesiąt błędów które niby wyleczył. YAC to wątpliwy i mocno podejrzany program: KLIK. Już go odinstalowałeś, ale pozostały po nim liczne ślady w systemie, czyli przekierowania search.yac.mx. Co widzę w podanych tu raportach: brak oznak czynnej infekcji, są tylko martwe odpadkowe ślady, które nie mogą powodować negatywnych objawów w kontekście np. szybkości. W systemie była infekcja podobna do VBKlip/Banatrix (ostały się elementy "WinSTAT" w Harmonogramie zadań) oraz adware/PUP. Ta druga grupa to nie wirusy i źródłem był jeden z tych mechanizmów: KLIK. Trzeba to oczywiście doczyścić i instrukcje poniżej. Ale jeśli obecnie nadal notujesz problem z szybkością systemu i internetu, to tu podejrzanym jest nie kto inny a ESET - oprogramowanie zabezpieczające jest inwazyjne, ingeruje mocno w te sfery. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0EF10738-7760-45E4-8CCE-5BB7606EC8AF} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe Task: {84B61353-7DD3-4F39-9675-0265689AD0A0} - System32\Tasks\{CE828525-04B0-4600-9323-58920530827C} => pcalua.exe -a C:\Users\Pablo\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-803990909-3303059268-1033452581-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9500325as_s2w7qa51xxxxs2w7qa51 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9500325as_s2w7qa51xxxxs2w7qa51 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9500325as_s2w7qa51xxxxs2w7qa51 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-803990909-3303059268-1033452581-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKU\S-1-5-21-803990909-3303059268-1033452581-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-803990909-3303059268-1033452581-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = CHR HomePage: Default -> hxxp://search.bearshare.com/ U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\Program Files\AVAST Software C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Temp C:\ProgramData\AVAST Software C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IHProtectUpDate C:\ProgramData\Malwarebytes C:\ProgramData\WinSTAT C:\Users\Pablo\AppData\Local\Adobe C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localStorage* C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Pablo\AppData\Roaming\Adobe C:\Users\Pablo\AppData\Roaming\AVAST Software C:\Users\Pablo\AppData\Roaming\DAEMON Tools Lite C:\Users\Pablo\AppData\Roaming\Macromedia C:\Users\Pablo\AppData\Roaming\tor C:\Windows\avastSS.scr C:\Windows\system32\2014-*.log C:\Windows\system32\log C:\Windows\system32\vbox C:\Windows\SysWOW64\vbox Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\System32\nvinitx.dll" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows® Statistics Service" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Folder: C:\Users\Pablo\AppData\Local\SCE Folder: C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pablo\AppData\Local CMD: dir /a C:\Users\Pablo\AppData\LocalLow CMD: dir /a C:\Users\Pablo\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony (prawdopodobnie źle go naprawiał AdwCleaner): Shortcut: C:\Users\Pablo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Pablo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
spinix100 Opublikowano 19 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Done. Co do Avasta, wydawało mi sie ze Nod32 jest najlepszym program, za to Avasta uważałem za sredniej jakości anty i zainstalowałem go tylko zeby sprawdzić czy znajdzie coś czego nie znalazł Nod. Komputer działa już szybko, przy ataku zwolnił do ok 10% swojej mocy, a jest dośc mocnym biorąc pod uwage procesor i7 oraz 8gb ramu. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2014 Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Za późno pewne rzeczy doedytowałam i przetwarzałeś skrypt bez tych edycji, poza tym nie został przetworzony wpis śmieciarki "Bearshare" w Google Chrome (nie wiadomo dlaczego, skoro w skrypcie potwierdzenie resetu) + "Windows® Statistics Service" (problem z formatowaniem i muszę ująć skrypt w innym tagu BBCode) + żadna z komend CMD (nie wiadomo dlaczego). Poprawki. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://search.bearshare.com/ C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IHProtectUpDate C:\ProgramData\Malwarebytes C:\Users\Pablo\AppData\Local\Adobe C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localStorage* C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Pablo\AppData\Roaming\Adobe C:\Users\Pablo\AppData\Roaming\DAEMON Tools Lite C:\Users\Pablo\AppData\Roaming\Macromedia C:\Users\Pablo\AppData\Roaming\tor C:\Windows\system32\2014-*.log Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\System32\nvinitx.dll" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows(R) Statistics Service" /f Folder: C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pablo\AppData\Local CMD: dir /a C:\Users\Pablo\AppData\LocalLow CMD: dir /a C:\Users\Pablo\AppData\RoamingPlik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Co do Avasta, wydawało mi sie ze Nod32 jest najlepszym program, za to Avasta uważałem za sredniej jakości anty i zainstalowałem go tylko zeby sprawdzić czy znajdzie coś czego nie znalazł Nod. Ten ESET i tak do wymiany. Jest zbyt stary, czyli sam w sobie za słabo zabezpieczony w stosunku do nowoczesnych zagrożeń - 4 lata w świecie malware to cała epoka. Aktualizacja baz definicji to nie to samo co aktualizacja komponentów programu (sterowniki. mechanizmy autuoobrony etc.). "Średniej jakości" Avast jako rozwiązanie znacznie nowsze nie jest już takie "średnie". Odnośnik do komentarza
spinix100 Opublikowano 19 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Prosze Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2014 Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Prawie wszystko zrobione, za wyjątkiem komend CMD typu "dir". Nie wiem o co chodzi, że nie chce ich wykonać. Ale to już nie takie istotne. Możemy kończyć temat: Skasuj ręcznie pobrane narzędzia. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Internet Explorer: KLIK. Odnośnik do komentarza
spinix100 Opublikowano 19 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2014 Dziekuje serdecznie za pomoc i podziwiam za wiedze, Przeglądając forum nie da sie nie zauwazyc ze wykazujesz sie niesamowitą wiedzą z tej dziedziny co jest w sumie godne podziwu Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi