Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Security Sphere 2012 - co dalej po nieautoryzowanym użyciu ComboFix?

luxik

Przez luxik
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

luxik

luxik

Opublikowano
Opublikowano

Witam,

Kilka dni temu mój komputer "złapał" wirusowe oprogramowanie w trakcie przeglądania stron www. Działanie wirusa polegało na wyświetlaniu alertów o zagrożeniu komputera i pojawiało się okno (fałszywe) pokazujące proces skanowania w poszukiwaniu wirusów i wreszcie pojawiał się wynik skanowania - wielka ilość infekcji. Tapeta zmieniła się w niebieskie tło. Nie dawało się zamknąć tego programu. Ale mogłem na szczęście zamknąć komputer. Zadzwoniłem do pomocy technicznej producenta programu ArcaVir. Pracownik pomocy technicznej poradził mi ściągnąć program ComboFix i za jego pomocą przeprowadzić naprawę. Na moją uwagę, że nie mogę w ogóle korzystać z komputera poradził uruchomić komputer w trybie awaryjnym i wówczas ściągnąć program ComboFix. Tak też zrobiłem i po użyciu ComboFix wirusowy program przestał się pojawiać. Jednak w instrukcji programu ComboFix znalazłem informację o stronie FixItPC.pl i po wejściu na nią znalazłem wiele dodatkowych informacji dotyczących problemu. Za pomocą programu OTL wygenerowałem logi OTL i Extras. Natomiast nie powiodło mi się generowanie logu GMER. Po ściągnięciu i uruchomieniu programu nastąpiło pre-scanowanie. Ale po przejściu do dalszej procedury, czyli po naciśnięciu przycisku "szukaj" po niecałej minucie program przestawał działać i pojawiał się komunikat: "program" has stoped working. Po drugiej próbie uruchomienia procedury nastąpiło samoczynne awaryjne wyłączenie komputera. Po uruchomieniu komputera i kolejnej próbie znów program przestał działać w czasie właściwego skanowania. Zaprzestałem dalszych prób.

Bardzo proszę o radę, czy mogę uznać proces usuwania wirusa za skończony. Jeśli trzeba abym wykonał jakieś dodatkowe kroki, to proszę o instrukcje, ale z uwagą na mój dość niski poziom wiedzy z tej dziedziny.

Z góry dziękuję za pomoc.

Lukasz.

P.S. Jako że ComboFix już wykorzystałem dołączam wynik działania tego programu.

Extras.Txt

OTL.Txt

ComboFix.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Zadzwoniłem do pomocy technicznej producenta programu ArcaVir. Pracownik pomocy technicznej poradził mi ściągnąć program ComboFix i za jego pomocą przeprowadzić naprawę. Na moją uwagę, że nie mogę w ogóle korzystać z komputera poradził uruchomić komputer w trybie awaryjnym i wówczas ściągnąć program ComboFix. Tak też zrobiłem i po użyciu ComboFix wirusowy program przestał się pojawiać.

 

O tyle jest sprawa dziwna, że w logu ComboFix nie ma wśród usuniętych obiektów tej infekcji (wpisu w RunOnce oraz katalogu z którego startował szkodliwy plik), żadnego znaku że narzędzie się tym zajęło .... Prawdopodobny scenariusz: narzędzie zabijało procesy, toteż mogło zabić proces fałszywego skanera tworząc wrażenie, że już załatwiona sprawa. Poza tym, nadal na dysku jest katalog tej infekcji:

 

[2011-10-15 22:57:44 | 000,000,000 | ---D | C] -- C:\ProgramData\lD13622FiKiP13622

 

Druga sprawa, kasacje wykonane przez ComboFix wyglądają na nie do końca trafne:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.dat
c:\windows\IsUn0415.exe
c:\windows\system32\AutoRun.inf
 
 
- - - - USUNIĘTO PUSTE WPISY - - - -
.
AddRemove-MapSource - PL_Topo_100 - c:\users\UKASZ~1\AppData\Local\Temp\GPInstall.exe
AddRemove-Wielki słownik polsko-angielski i angielsko-polski PWN-OXFORD - c:\windows\IsUn0415.exe
AddRemove-Vysoké a Západné Tatry - 0:\program files\Cyklotrasy SK\Uninstal.exe

 

Został sklasyfikowany jako szkodliwy deinstalator słownika IsUn0415.exe, w związku z tym poleciał też wpis w aplecie usuwania programów...

 

 

Natomiast nie powiodło mi się generowanie logu GMER. Po ściągnięciu i uruchomieniu programu nastąpiło pre-scanowanie. Ale po przejściu do dalszej procedury, czyli po naciśnięciu przycisku "szukaj" po niecałej minucie program przestawał działać i pojawiał się komunikat: "program" has stoped working. Po drugiej próbie uruchomienia procedury nastąpiło samoczynne awaryjne wyłączenie komputera. Po uruchomieniu komputera i kolejnej próbie znów program przestał działać w czasie właściwego skanowania. Zaprzestałem dalszych prób.

 

Być może ArcaVir przeszkadza.

 

 

1. Przez SHIFT+DEL skasuj z dysku folder C:\ProgramData\lD13622FiKiP13622.

 

2. Wykonaj pełne skanowanie za pomocą Malwarebytes' Anti-Malware i przedstaw wynikowy raport (o ile będzie niepusty).

 

 

 

.

Odnośnik do komentarza
luxik

luxik

Opublikowano
  • Autor
Opublikowano

Witam,

Bardzo dziękuję za szybkie zajęcie się moją sprawą.

Wskazany plik usunąłem.

Za pomocą programu Malwarebytes' Anti Malware przeprowadziłem skanowanie. Wykryty trojan został skasowany. Załączam wynik skanowania.

Czy (a jeśli tak, to jak?) usunąć z komputera program ComboFix? W instrukcji używania tego programu jest opis odinstalowywania (poprzez wpisanie w start search "combofix /uninstall"), ale po naciśnięciu "enter" nie odnajduje tego adresu.

Pozdrawiam,

Łukasz.

mbam-log-2011-10-19 (09-55-22).txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Za pomocą programu Malwarebytes' Anti Malware przeprowadziłem skanowanie. Wykryty trojan został skasowany. Załączam wynik skanowania.

 

Hmmm ... Ten plik owszem w logu widziałam:

 

[2009-11-14 23:23:58 | 000,495,616 | ---- | C] () -- C:\Windows\System32\D3DX8ab.dll

 

Nie ruszałam, bo to powinien być plik DirectX. Z drugiej strony ... nie ma sygnatury MS.

 

 

Czy (a jeśli tak, to jak?) usunąć z komputera program ComboFix? W instrukcji używania tego programu jest opis odinstalowywania (poprzez wpisanie w start search "combofix /uninstall"), ale po naciśnięciu "enter" nie odnajduje tego adresu.

 

Z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej tę komendę:

 

C:\Users\Łukasz\Desktop\ComboFix.exe /uninstall

 

 

 

.

Odnośnik do komentarza
luxik

luxik

Opublikowano
  • Autor
Opublikowano (edytowane)

Witam,

Jeszcze raz dziękuję za pomoc.

Pliku C:\Windows\System32\D3DX8ab.dll już nie ma. Wykonałem powtórne skanowanie programem Malwarebytes' Anti-Malware i załączam skan.

Program CoboFix pomyślnie odinstalowałem.

Chciałbym mieć nadzieję, że to już koniec problemów i zalecanych działań.

Pozdrawiam,

Łukasz.

Edytowane przez picasso
Pusty skan niepotrzebny. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten plik usunięty przez MBAM dla mnie nadal niejasny, ale już go nie ma, toteż nie ma co analizować. A pustego loga z MBAM nie ma sensu dodawać, usuwam. Wykonaj końcowe kroki, tu wyciąg fragmentaryczny z Twojej listy zainstalowanych programów:

 

Internet Explorer (Version = 8.0.6001.19154)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 19
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre)

 

Te programy wymagają aktualizacji: INSTRUKCJE.

 

 

 

.

Odnośnik do komentarza
luxik

luxik

Opublikowano
  • Autor
Opublikowano

Postąpiłem zgodnie z instrukcjami kończącymi proces czyszczenia.

Obecnie przy uruchamianiu komputera pojawia się małe okno "Windows Installer". A w nim początkowo zachodzi "Preparing to install", potem "Please wait while Windows configures Solution Center", potem "Gathering required information..", i wreszcie "The feature you are trying to use is on a CD-ROM or other removable disc that is not avaliable" i "Insert the Solution Center disc and click OK".

Nie posiadam płyty o nazwie Solution Center, choć mam komputer kupiony fabrycznie nowy. Mam tylko załączone przy sprzedaży: płytę "Application for reinstalling Dell MediaDirect 3.5", płytę "Microsoft Works 9", płytę "Dell Drivers and Utilities for reinstalling Dell Inspiron 1525 Computer Software", płytę "Drivers and Utilities for reinstalling Dell Webcam Manager", płytę "Operating System Reinstallation DVD Windows Vista Home Premium 32BIT".

Proszę o poradę i z góry dziękuję za pomoc.

Łukasz.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Obecnie przy uruchamianiu komputera pojawia się małe okno "Windows Installer". A w nim początkowo zachodzi "Preparing to install", potem "Please wait while Windows configures Solution Center", potem "Gathering required information..", i wreszcie "The feature you are trying to use is on a CD-ROM or other removable disc that is not avaliable" i "Insert the Solution Center disc and click OK".

 

Ten typ komunikatu świadczy, że prawdopodobnie są uszkodzone dane instalacyjne Solution Center.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{BCD6CD1A-0DBE-412E-9F25-3B500D1E6BA1}" = SolutionCenter

 

Solution Center to składnik oprogramowania drukarki HP. Zacznij od deinstalacji tego centrum. Jeśli na liście usuwania programów nie ma tej pozycji lub deinstalacja wyrzuci błąd, skorzystaj z Windows Installer CleanUp do usunięcia tego wpisu. Po tym należy przeinstalować Solution Cenrter posługując się instalatorem oprogramowania HP.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...