Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus - Już po formacie

stefel

Przez stefel
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

stefel

stefel

Opublikowano
Opublikowano

Witam.

 

Dzisiaj "złapałem" wirusa. Nie wiem co to było ale postaram się opisać działanie.

W pewnym momencie zaczęło otwierać się mnóstwo okien i wszystko przestało działać. Nie dało uruchomić się menedżera zadań. Wyłączyłem komputer z kontaktu. Podczas uruchamiania w miejscu logowania pojawił się jakiś napis w języku mi bliżej nie znanym a na końcu był podany mail. O ile dobrze pamiętam to taki :silent_hacker@yahoo.com.

 

Żeby uruchomić system trzeba było potwierdzić przyciskiem ok. Potem było to samo - otwierające się okienka takie jak po wpisaniu komendy cmd. Szybko wyłączyłem komputer i zrobiłem format.

 

Przeskanowałem Malwarebytes' Anti-Malware no i coś znalazł. W sumie 14 szkodników.

 

Bardzo bym prosił o sprawdzenie czy to dziadostwo nie zostawiło coś po sobie.

 

Logi :

 

mbam-log-2011-01-15 (13-37-43).txt

 

OTL.Txt

 

Extras.Txt

 

 

Loga z Gmera nie mogą załaczyć : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku

 

Gmer

 

http://wklej.org/id/457397/

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Loga z Gmera nie mogą załaczyć : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku

 

W Załącznikach są dopuszczone tylko rozszerzenia *.TXT a nie *.LOG. Wystarczy zmienić rozszerzenie raportu GMER.

 

Szybko wyłączyłem komputer i zrobiłem format. Przeskanowałem Malwarebytes' Anti-Malware no i coś znalazł. W sumie 14 szkodników.

 

Po formacie nie powinno być żadnych odczytów tego rodzaju w MBAM. Wnioski: ładujesz coś niepożądanego, i niestety sądzę że jest to związane z crackami (nie wykluczone jednak nosicielstwo z urządzeń przenośnych). Co widzę w raportach:

 

1. Kręcenie z zawartością wysokiego zagrożenia, czyli znowu aktywator do Windows 7 + znowu dokładnie ten sam plik od cracka Your Uninstaller co w poprzednim temacie (KLIK):

 

[2011-01-15 13:12:38 | 000,081,920 | -H-- | M] () -- C:\Windows\System32\v3shrtkgn.dll

 

2. Autoryzację infekcji w zaporze systemowej:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Kacprut\AppData\Local\Temp\bot.exe" = C:\Users\Kacprut\AppData\Local\Temp\bot.exe:*:Enabled:Windows Messanger

 

3. Na dysku D leży tajemniczy plik autorun.inf o nieznanej zawartości:

 

O32 - AutoRun File - [2011-01-15 11:18:27 | 000,000,055 | -H-- | M] () - D:\autorun.inf -- [ NTFS ]

 

4. Nie wiem do czego podpasować ten plik:

 

[2011-01-15 13:35:55 | 000,000,112 | ---- | M] () -- C:\Windows\System32\SysDT.dat

 

 

Wstępnie pokaż zawartość tego pliku autorun.inf, w OTL wszystkie opcje przestaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej komendę type D:\autorun.inf /C i klik w Skanuj. Zaprezentuj wynikowy log.

 

 

 

.

Odnośnik do komentarza
stefel

stefel

Opublikowano
  • Autor
Opublikowano
1. znowu dokładnie ten sam plik od cracka Your Uninstaller co w poprzednim temacie (KLIK):

 

[2011-01-15 13:12:38 | 000,081,920 | -H-- | M] () -- C:\Windows\System32\v3shrtkgn.dll

 

Wywaliłem ten plik ręcznie

 

2. Autoryzację infekcji w zaporze systemowej:

 

[HKEY_OTL.TxtLOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Users\Kacprut\AppData\Local\Temp\bot.exe" = C:\Users\Kacprut\AppData\Local\Temp\bot.exe:*:Enabled:Windows Messanger

 

Tego usunął Eset

 

2011-01-15 13:32:10	Skaner przy uruchamianiu	plik	C:\Users\Kacprut\AppData\Local\Temp\bot.exe	prawdopodobnie odmiana wirusa  Win32/VB.NXB  robak	wyleczony przez usunięcie - poddany kwarantannie

 

3. Na dysku D leży tajemniczy plik autorun.inf o nieznanej zawartości:

 

O32 - AutoRun File - [2011-01-15 11:18:27 | 000,000,055 | -H-- | M] () - D:\autorun.inf -- [ NTFS ]

Log

 

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Tego usunął Eset

 

Ale nie usunął konfiguracji z zapory.

 

Log

 

Ewidentnie jest to plik od infekcji:

 

[AUTORUN]
open=winlogin.exe
shellexecute=winlogin.exe

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Kacprut\AppData\Local\Temp\bot.exe"=-
 
:Files
D:\autorun.inf
C:\Windows\System32\SysDT.dat
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Zaprezentuj log z usuwania OTL oraz nowy z opcji Skanuj, ale na dodatkowym warunku wklejonym w oknie:

 



C:\*.*


D:\*.*

(zaś pozostałe opcje skonfigurowane tak jak przy normalnym tworzeniu loga)

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie widzę już żadnych znaków infekcji. Końcowe zadania:

 

1. W OTL wywołaj funkcję Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu.

 

3. Zaktualizuj Operę, aktualna to wersja Opera 11.00.

 

 

Komentarz poboczny, pamiętasz swój "EWOZR is compressed"?

 

[2010-11-24 15:33:56 | 000,419,746 | RHS- | M] () -- C:\EWOZR
[2010-11-24 15:33:56 | 000,000,020 | RHS- | M] () -- C:\win7.ld

Teraz zamiast EWOZR jest KCYOG:

 

[2011-01-15 14:20:29 | 000,411,486 | RHS- | M] () -- C:\KCYOG
[2011-01-15 14:20:29 | 000,000,020 | RHS- | M] () -- C:\win7.ld

Jak mówiłam, to musi pochodzić z aktywatora Windows 7. Zapewne za każdym razem ten plik ma inną pięcioznakową nazwę. Mówię o tym na przyszłość, byś wiedział gdzie szukać przyczyn dla potencjalnych problemów ze startem.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...