Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Nie wyleczona infekcja, duży ruch w sieci, ESET Smart Security 9

inforobert

Przez inforobert
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

inforobert

inforobert

Opublikowano
Opublikowano

Problem się zaczął na świeżym systemie Windows 7 Ultimate 64 bit. + SP1

Pierwsza infekcja ujawniła się od Istartsurf, nie było pokazujących się reklam, brak wyskakujących okienek.

Obecnie Zainstalowany ESET Smart Security 9.

 

W ruch poszły programy:

AdwCleaner
Kaspersky TDSSKiller
Kaspersky Virus Removal Tool (KVRT) 2015

Kaspersky narzędzia:Trojan.Ransom,
Malwarebytes Anti-Malware Free (MBAM)
Malwarebytes Anti-Rootkit (MBAR)

Malwarebytes Anti-Exploit
Rootkit Remover v0.8.9.175 McAfee Labs.

Dr. Web CureIt!
Dr. Web narzędzia: trojan.plastix.fix, trojan.locker.8.fix

Spybot Search & Destroy

Avira PC Cleaner

 

 

 

Problemem jest komunikat z programu ESET (załącznik jpg)

TCPViewer wyświetla duży ruch w sieci, największy z svchost.exe oraz w Addition.txt widzę dużo "zbędnych stron www".

 

Ps. To mój pierwszy post na tym forum .

post-16519-0-33450000-1445708353_thumb.jpg

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W podanych raportach nie widać żadnych oznak infekcji.

 

 

Problemem jest komunikat z programu ESET (załącznik jpg)

Ten komunikat o "zduplikowanym IP" nie musi o niczym świadczyć. Baza wiedzy ESET: KLIK.

 

 

TCPViewer wyświetla duży ruch w sieci, największy z svchost.exe

Nie podałeś dokładnego wyciągu z programu. Ale to również o niczym nie świadczy. Proces svchost.exe (= host usług) będzie widoczny jako aktywny sieciowo, bo w systemie jest wiele usług natury sieciowej. Pierwsza z brzegu operująca na svchost.exe to Windows Update.

 

 

Pierwsza infekcja ujawniła się od Istartsurf, nie było pokazujących się reklam, brak wyskakujących okienek.

Ten rodzaj infekcji jest wprowadzany ręcznie "za zgodą użytkownika", tzn. pobierałeś jakiś "downloader" lub program ze zintegrowanymi sponsorami i nie odznaczyłeś instalacji sponsorów. Więcej na ten temat: KLIK. I ten rodzaj infekcji nie ma nic wspólnego ze zgłoszeniami ESET.

 

 

w Addition.txt widzę dużo "zbędnych stron www".

To immunizacja Spybot Search & Destroy. Owszem, ta metoda zabezpieczeń jest archaiczna i można ją usunąć (tym bardziej że Spybot został odinstalowany), ale wpisy nie mają nic wspólnego z problemem.

 

Do wyczyszczenia będą także szczątki po innych używanych skanerach. Uwaga na przyszłość: STOPzilla! to wątpliwy skaner, był nawet kiedyś na czarnej liście. Dodatkowo: widzę że był używany HijackThis, ten program nie nadaje się na system 64-bit, pokazuje na takim typie fałszywe odczyty "file is missing".

 

 

"kosmetyka", tzn. wspominane czyszczenie szczątków po używanych skanerach:

 

1. Ściągnięcie filtrów StopZilla z kart sieciowych, konieczne by usuwanie sterowników StopZilla w punkcie 2 nie odcięło dostępu do sieci. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne połączenie pobierz Właściwości > wyszukaj element podobny do poniższego (możliwe nazwy to Sunbelt / GFI / ThreatTrack NDIS IM Filter), podświetl, odinstaluj i zresetuj system.

 

gfifilter.png

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [88928 2015-05-01] (ThreatTrack Security Inc.)
S3 SBHIPS; C:\Windows\System32\drivers\sbhips.sys [63696 2015-05-01] (ThreatTrack Security)
R1 sbwfw; C:\Windows\System32\DRIVERS\sbwfw.sys [345392 2015-05-01] (ThreatTrack Security)
S3 sbwtis; C:\Windows\System32\DRIVERS\sbwtis.sys [95608 2015-05-01] (ThreatTrack Security)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service"
HKU\S-1-5-21-2941576775-2200966952-2559680528-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2941576775-2200966952-2559680528-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-2941576775-2200966952-2559680528-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\KVRT_Data
RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy
RemoveDirectory: C:\Program Files (x86)\Temp
RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\Malwarebytes Anti-Exploit
RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable)
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\ProgramData\STOPzilla!
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\Mama\Doctor Web
RemoveDirectory: C:\Users\Mama\AppData\Roaming\Solvusoft
C:\ProgramData\SPL8B3F.tmp
C:\ProgramData\SPLC467.tmp
C:\Windows\System32\roboot64.exe
C:\Windows\System32\drivers\sbapifs.sys
C:\Windows\System32\drivers\sbhips.sys
C:\Windows\System32\drivers\sbwfw.sys
C:\Windows\System32\drivers\sbwtis.sys
C:\Windows\System32\Drivers\etc\hosts.*.backup
C:\Windows\System32\Tasks\Safer-Networking
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...