Skocz do zawartości

Reklamy celldorado, zamulenie komputera, trojany.


Rekomendowane odpowiedzi

System XP/32

 

Witam wszystkich, jestem pierwszy raz na tym forum:) W sieci znalazłem informacje, że tutaj znajdę profesjonalną pomoc na temat wirusów i innych robali...

 

Ok tydzień temu zapora zgłosiła mi kilka systematycznych ataków na mój komputer, z kilku adresów IP jednej podsieci.

Zablokowałem ten zbiór adresów ip, próby ataków z tych adresów powtarzały się jeszcze przez jakieś 4 dni

2 dni temu zauważyłem że komputer zaczął strasznie się zamulać, przy włączonym samym firefoxie szalał proces explorer.exe

nic w tym czasie nie pobierałem itp. Dodatkowo zaczęły pojawiac się reklamy "...celldorado..." podczas otwierania okien ff i opery.

 

zeskanowałem wszystkie dyski+pamięć antywirusem: znalazł i usunął:

 

odmiana wirusa Win32/TrojanDownloader.Agent.QBH koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

odmiana wirusa Win32/TrojanDownloader.Agent.QBH koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

odmiana wirusa Win32/TrojanClicker.Agent.NJP koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

odmiana wirusa Win32/TrojanClicker.Agent.NJP koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

keygen_v.32.108.9.p.exe - odmiana wirusa Win32/Olmarik.AJN koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

Keygen.exe - prawdopodobnie odmiana wirusa Win32/Agent.JBRABKL koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]

 

Win32/Packed.Themida.D koń trojański - był częścią usuniętego obiektu

prawdopodobnie odmiana wirusa Win32/Hacktool.VB.JLLZQIB koń trojański - był częścią usuniętego obiektu

 

reklamy nadal się pojawiały

 

Poprawiłem to jeszcze TFC.exe (na jakimś forum urzyto tego programu w celu usunięcia reklam celldorado)

 

komputer przyspieszył do swojej standardowej prędkości ale raz podczas otwierania opery wyskoczyła mi ta reklama "cell..."

puźniej już reklamy się nie pojawiały ale chciałbym się upewnić czy aby na pewno jest wszystko ok

 

Logi z OTL:

OTL.Txt

Extras.Txt

 

GMER:

gmer.txt

 

Ps. Co mogę jeszcze zrobić żeby, zabezpieczyć się przed tego typu zagrożeniami

posiadam firewolla, codziennie aktualizuję bazy danych wirusów wszystko co pobiorę skanuje antywirem a mimo to złapałem jakieś świństwo

Czy z wyżej podanych logów potraficie odczytać czy gdzieś mam jeszcze jakieś dziury itp?

 

Z góry dziękuję za pomoc i pozdrawiam dkdnt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Wykonaj skan narzędziem Kaspersky TDSSKiller. Jeśli program coś znajdzie ustaw opcję Skip i wklej wynikowy raport.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\RadProbe.sys -- (RadProbe)
FF - prefs.js..extensions.enabledItems: toolbar@alexa.com:2.01
[2010-12-23 01:49:20 | 000,000,000 | ---D | M] ("Alexa Toolbar") -- C:\Documents and Settings\DKD'nt\Dane aplikacji\Mozilla\Firefox\Profiles\010z1iyl.default\extensions\toolbar@alexa.com
O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

 

 

 

Odnośnik do komentarza

Dzięki za odpowiedź:)

 

log z Kaspersky TDSSKiller:

TDSSKiller.2.4.12.0_05.01.2011_14.21.52_log.txt

 

Po restarcie zwiesił się podczas startu, zrestartowałem na twardo i dostałem taki log:

OTLscrypt01052011_144357.log.txt

 

Dodam, że w tym okresie miałem 2 takie przypadki, że zatrzymywał się podczas startu xp,

ale niewykluczone, że dzieje się tak, ponieważ ten komputer ma już kilka ładnych lat ok 6-8

 

OTL:

OTL.Txt

Extras.Txt

 

GMER:

gmer.txt

Odnośnik do komentarza

Według spodziewań jest rootkit w MBR (to pewnie przez to te zatrzymania systemu):

 

2011/01/05 14:22:08.0875	\HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)

2011/01/05 14:22:08.0875 ================================================================================

2011/01/05 14:22:08.0875 Scan finished

2011/01/05 14:22:08.0875 ================================================================================

2011/01/05 14:22:08.0906 Detected object count: 1

2011/01/05 14:34:39.0484 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Skip

 

Czyli tym razem w Kasperskym daj opcję leczenia czyli Cure

 

Po tej akcji wklejasz nowy log z Gmer i przejdziemy do czynności końcowych.

 

 

 

Odnośnik do komentarza

Według spodziewań jest rootkit w MBR (to pewnie przez to te zatrzymania systemu):

 

...

 

Czyli tym razem w Kasperskym daj opcję leczenia czyli Cure

wyleczyłem kasperskim, system ładnie się zrestartował i włączyłem gmer'a tylko zaznaczyłem wszystkie opcje i bardzo długo to trwa. Teraz jest w połowie skanowania to pewnie potrwa to jeszcze z 2-3godziny :/.(teraz pisze z telefonu)

A mam pytanie skoro miałem rootkita i kaylogera to znaczy ze dla bezpieczenstwa powinienem pozmieniac wszystkie ważne hasła do serwisów, banku i serwerów? czy nie ma potrzeby?

I jak się przed takim zagrożeniem zabezpieczyć skoro antywirus tego nie wykrywa?

 

Po tej akcji wklejasz nowy log z Gmer i przejdziemy do czynności końcowych.

 

Log Gmer:

gmer.txt

 

W trakcie tych wszystkich operacji usunęło mi toolbar alexy...uważasz że działa on szkodliwie na bezpieczeństwo?

 

pozdrawiam

dkdnt

Odnośnik do komentarza

Gmer już nie wykazuje infekcji i wygląda, że już jest dobrze. Przejdźmy do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Wyzeruj stan przywracania systemu: KLIK

 

3. Obowiązkowo zaktualizuj oprogramowanie (nawet jeśli nie korzystasz):

 

Internet Explorer (Version = 6.0.2900.5512)

"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish

Szczegóły w tym temacie: INSTRUKCJE.

 

 

W trakcie tych wszystkich operacji usunęło mi toolbar alexy...uważasz że działa on szkodliwie na bezpieczeństwo?

 

Celowo usunąłem skryptem alexe bo to zawsze był toolbar wątpliwej reputacji o ile dobrze pamiętam.

 

A mam pytanie skoro miałem rootkita i kaylogera to znaczy ze dla bezpieczenstwa powinienem pozmieniac wszystkie ważne hasła do serwisów, banku i serwerów? czy nie ma potrzeby?

 

Tak pozmieniaj sobie wszystkie hasła bo ta infekcja charakteryzuje się ich wykradaniem.

 

I jak się przed takim zagrożeniem zabezpieczyć skoro antywirus tego nie wykrywa?

 

Chyba nie ma dostatniego zabezpieczenia. Po prostu trzeba być ostrożnym w sieci.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...