stefel Opublikowano 15 Stycznia 2011 Zgłoś Udostępnij Opublikowano 15 Stycznia 2011 Witam. Dzisiaj "złapałem" wirusa. Nie wiem co to było ale postaram się opisać działanie. W pewnym momencie zaczęło otwierać się mnóstwo okien i wszystko przestało działać. Nie dało uruchomić się menedżera zadań. Wyłączyłem komputer z kontaktu. Podczas uruchamiania w miejscu logowania pojawił się jakiś napis w języku mi bliżej nie znanym a na końcu był podany mail. O ile dobrze pamiętam to taki :silent_hacker@yahoo.com. Żeby uruchomić system trzeba było potwierdzić przyciskiem ok. Potem było to samo - otwierające się okienka takie jak po wpisaniu komendy cmd. Szybko wyłączyłem komputer i zrobiłem format. Przeskanowałem Malwarebytes' Anti-Malware no i coś znalazł. W sumie 14 szkodników. Bardzo bym prosił o sprawdzenie czy to dziadostwo nie zostawiło coś po sobie. Logi : mbam-log-2011-01-15 (13-37-43).txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Loga z Gmera nie mogą załaczyć : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku Gmer http://wklej.org/id/457397/ Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2011 Zgłoś Udostępnij Opublikowano 15 Stycznia 2011 Cytat Loga z Gmera nie mogą załaczyć : Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku W Załącznikach są dopuszczone tylko rozszerzenia *.TXT a nie *.LOG. Wystarczy zmienić rozszerzenie raportu GMER. Cytat Szybko wyłączyłem komputer i zrobiłem format. Przeskanowałem Malwarebytes' Anti-Malware no i coś znalazł. W sumie 14 szkodników. Po formacie nie powinno być żadnych odczytów tego rodzaju w MBAM. Wnioski: ładujesz coś niepożądanego, i niestety sądzę że jest to związane z crackami (nie wykluczone jednak nosicielstwo z urządzeń przenośnych). Co widzę w raportach: 1. Kręcenie z zawartością wysokiego zagrożenia, czyli znowu aktywator do Windows 7 + znowu dokładnie ten sam plik od cracka Your Uninstaller co w poprzednim temacie (KLIK): [2011-01-15 13:12:38 | 000,081,920 | -H-- | M] () -- C:\Windows\System32\v3shrtkgn.dll 2. Autoryzację infekcji w zaporze systemowej: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Users\Kacprut\AppData\Local\Temp\bot.exe" = C:\Users\Kacprut\AppData\Local\Temp\bot.exe:*:Enabled:Windows Messanger 3. Na dysku D leży tajemniczy plik autorun.inf o nieznanej zawartości: O32 - AutoRun File - [2011-01-15 11:18:27 | 000,000,055 | -H-- | M] () - D:\autorun.inf -- [ NTFS ] 4. Nie wiem do czego podpasować ten plik: [2011-01-15 13:35:55 | 000,000,112 | ---- | M] () -- C:\Windows\System32\SysDT.dat Wstępnie pokaż zawartość tego pliku autorun.inf, w OTL wszystkie opcje przestaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej komendę type D:\autorun.inf /C i klik w Skanuj. Zaprezentuj wynikowy log. . Odnośnik do komentarza
stefel Opublikowano 15 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2011 Cytat 1. znowu dokładnie ten sam plik od cracka Your Uninstaller co w poprzednim temacie (KLIK): [2011-01-15 13:12:38 | 000,081,920 | -H-- | M] () -- C:\Windows\System32\v3shrtkgn.dll Wywaliłem ten plik ręcznie Cytat 2. Autoryzację infekcji w zaporze systemowej: [HKEY_OTL.TxtLOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Users\Kacprut\AppData\Local\Temp\bot.exe" = C:\Users\Kacprut\AppData\Local\Temp\bot.exe:*:Enabled:Windows Messanger Tego usunął Eset 2011-01-15 13:32:10 Skaner przy uruchamianiu plik C:\Users\Kacprut\AppData\Local\Temp\bot.exe prawdopodobnie odmiana wirusa Win32/VB.NXB robak wyleczony przez usunięcie - poddany kwarantannie Cytat 3. Na dysku D leży tajemniczy plik autorun.inf o nieznanej zawartości: O32 - AutoRun File - [2011-01-15 11:18:27 | 000,000,055 | -H-- | M] () - D:\autorun.inf -- [ NTFS ] Log OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2011 Zgłoś Udostępnij Opublikowano 15 Stycznia 2011 Cytat Tego usunął Eset Ale nie usunął konfiguracji z zapory. Cytat Log Ewidentnie jest to plik od infekcji: [AUTORUN]open=winlogin.exeshellexecute=winlogin.exe 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Users\Kacprut\AppData\Local\Temp\bot.exe"=- :Files D:\autorun.inf C:\Windows\System32\SysDT.dat :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 2. Zaprezentuj log z usuwania OTL oraz nowy z opcji Skanuj, ale na dodatkowym warunku wklejonym w oknie: C:\*.* D:\*.* (zaś pozostałe opcje skonfigurowane tak jak przy normalnym tworzeniu loga) . Odnośnik do komentarza
stefel Opublikowano 15 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2011 Log z usuwania 01152011_172301.txtPobieranie informacji ... Nowy z opcji Skanuj, ale na dodatkowym warunku OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2011 Zgłoś Udostępnij Opublikowano 16 Stycznia 2011 Nie widzę już żadnych znaków infekcji. Końcowe zadania: 1. W OTL wywołaj funkcję Sprzątanie. 2. Wyczyść foldery Przywracania systemu. 3. Zaktualizuj Operę, aktualna to wersja Opera 11.00. Komentarz poboczny, pamiętasz swój "EWOZR is compressed"? [2010-11-24 15:33:56 | 000,419,746 | RHS- | M] () -- C:\EWOZR[2010-11-24 15:33:56 | 000,000,020 | RHS- | M] () -- C:\win7.ld Teraz zamiast EWOZR jest KCYOG: [2011-01-15 14:20:29 | 000,411,486 | RHS- | M] () -- C:\KCYOG[2011-01-15 14:20:29 | 000,000,020 | RHS- | M] () -- C:\win7.ld Jak mówiłam, to musi pochodzić z aktywatora Windows 7. Zapewne za każdym razem ten plik ma inną pięcioznakową nazwę. Mówię o tym na przyszłość, byś wiedział gdzie szukać przyczyn dla potencjalnych problemów ze startem. . Odnośnik do komentarza
stefel Opublikowano 16 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2011 Serdeczne dzięki. Wszystkie zalecenia wykonane. Temat do zamknięcia. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi