remik89 Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Mój problem jest w sumie bardzo podobny do opisanego tu ale w poradach stoi, że każdy przypadek należy rozpatrywać osobno, to zgłaszam się tu. Sytuacja analogiczna - próba uruchomienia jakiegokolwiek programu prowadzi do okna wybierania programu do uruchomienia go. Programy można otwierać tylko poprzez otwieranie przypisanych im plików (np. WORDa przez otwarcie dokumentu czy Firefoxa przez kliknięcie zakładki). Dodam jeszcze, że problem pojawił się po zagnieżdżeniu się malware'u total seciurity antywirus 2012 home lub coś o podobnej nazwie. Usunąłem go panda antiwirus pro 2012, Wirus zniknął ale zostawił po sobie szereg problemów. Podczas uruchamiania stron www następuje przekierowanie na inne strony oprócz tego nie uruchamiają się pliki exe. Uruchamiają się jedynie poprzez "uruchom jako administrator" Wirus zainstalował się podczas włączenia strony xxwww.efilmpro.pl co mnie zadziwiło gdyż ta strona jest płatna także wydawała się bezpieczna skanowanie malwarebytes wstrzymałem i nie podjąłem żadnych działań czekając na poradę z forum liczę na waszą pomoc :)i rychłą odp. skanowanie otl wykonalem majac zainstalowany demon tools dopiero do reszty logów go odinstalowałem. Proszę o pomoc poniżej załączam wszystkie wymagane logi Results of screen317's Security Check version 0.99.28 Windows 7 Service Pack 1 x86 (UAC is enabled) Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Panda Antivirus Pro 2012 Panda Antivirus Pro 2010 Panda Antivirus Pro 2012 McAfee Security Scan Plus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware Java™ 6 Update 25 Java version out of date! Adobe Flash Player 11.1.102.55 Mozilla Firefox (4.0.) Firefox out of Date! Mozilla Thunderbird (3.1.7) Thunderbird out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent Norton ccSvcHst.exe Malwarebytes' Anti-Malware mbamservice.exe Panda Security Panda Antivirus Pro 2012 PskSvc.exe Panda Security Panda Antivirus Pro 2012 TPSrv.exe PANDA SECURITY PANDA ANTIVIRUS PRO 2012 WebProxy.exe Panda Security Panda Antivirus Pro 2012 PsCtrls.exe Panda Security Panda Antivirus Pro 2012 PavFnSvr.exe Panda Security Panda Antivirus Pro 2012 pavsrvx86.exe Panda Security Panda Antivirus Pro 2012 PsImSvc.exe Panda Security Panda Antivirus Pro 2012 AVENGINE.EXE Emsisoft Anti-Malware a2service.exe ``````````End of Log```````````` Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Używałeś jakiś skrypt do OTL, widoczne jawne ślady takiej procedury - jeśli brałeś z innego tematu, to duży błąd, każdy skrypt jest unikatowy (!). GMER robiłeś w złych warunkach, nie wdrożyłeś ogłoszenia (KLIK) i działa w tle sterownik emulacji napędów wirtualnych: DRV - [2010-07-03 21:24:18 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Niestety, tu jest skomasowanie infekcji. Prócz tego, że jest infekcja przejmująca EXE, są wskazania że jest czynny paskudny rootkit ZeroAccess. W GMER widać reparse point rootkita, w OTL widać przekierowany Winsock oraz sterownik cdrom bez opisu MS. Notowalne szkody systemowe w postaci braku pliku HOSTS, a w związku z infekcją przejmującą EXE możliwe, że system ma skasowane całkowicie usługi Centrum zabezpieczeń i Windows Defender. Są i śmieci w postaci pasków narzędziowych. Zainstalowałeś wielką ilość programów zabezpieczających, skombinowanie Panda z Symantec to nienajlepszy pomysł, a Enigma SpyHunter to program wątpliwej reputacji. Ogólnie: jest tu sporo do roboty .... 1. Wstępne usunięcie infekcji przechwytującej EXE, byś mógł uruchomić narzędzia diagnostyki rootkit. Pomijam czyszczenie rzeczy na razie nieistotnych, to potem. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKU\S-1-5-21-1385047699-1197689655-504847657-1001..exefile [open] -- "C:\Users\remik\AppData\Local\wwe.exe" -a "%1" %* O37 - HKU\S-1-5-21-1385047699-1197689655-504847657-1001\...exe [@ = exefile] -- "C:\Users\remik\AppData\Local\wwe.exe" -a "%1" %* :Files C:\Users\remik\AppData\Local\t7wq14l2qs1owh C:\ProgramData\1f2BryYU.dat C:\Windows\System32\hj23344.com :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. Z tego działania powstanie log, który zaprezentujesz. 2. Uruchom Kaspersky TDSSKiller. Cokolwiek zostanie wykryte, omiń przyznając akcję Skip i tylko raport do oceny zaprezentuj. . Odnośnik do komentarza
remik89 Opublikowano 3 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2011 Wiem że każdy skrypt jest unikatowy zanim zacząłem zaglębiać się w regulamin niestety wykonałem skrypt ten podany na stronie gdy był podobny przypadek i dałem tutaj linka w pierwszym poście tematu . Co do antiwirusów symatec jest nie aktywny i odinstalowany nie wiem czego go jeszcze wykryło tak samo odinstalowałem demon toolsa a widziałem w raporcie kasperskiego że go nadal wykrywa . Co do windows defender to możliwe że go nie ma gdyż wirus pokazywał się jako antiwirus i właśnie centrum zabezpieczeń mi tak pokazywało. Niby wszystko działa ale możliwe że jest coś uszkodzone. Defender się włącza i niby wygląda wszystko ok ale wyskakuje błąd "problem spowodował zatrzymanie usługi tego programu aby uruchomić usługę kliknij przycisk uruchom teraz lub uruchom ponownie komputer". Załączam screen błędu z windows defender. Dodaję wszystkie wymagane logi. problem z exe rozwiązany jednak strony nadal się otwierają nie wiadomo jakie plus wyskakują rożne dziwne blędy. Czekam na kolejny krok co dalej. Kaspersky TDSSKiller..txt raport po wykonanym skrypcie.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2011 Zgłoś Udostępnij Opublikowano 4 Grudnia 2011 Co do antiwirusów symatec jest nie aktywny i odinstalowany nie wiem czego go jeszcze wykryło tak samo odinstalowałem demon toolsa a widziałem w raporcie kasperskiego że go nadal wykrywa . Deinstalacja Deamon Tools nie usuwa sterownika SPTD i to punktuje ogłoszenie - należy skorzystać z narzędzia SPTDinst. Natomiast antywirusy najwyraźniej odinstalowały się niepoprawnie i to trzeba będzie czyścić, ale na razie co innego ma priorytet = rootkit ZeroAccess. Sprawa przejętego skojarzenia EXE była tu niejako podrzędna. Kaspersky wykrywa naruszenie w sterowniku cdrom, ale nie wykrywa precyzyjnie typu infekcji (ForgedFile.Multi.Generic). Skorzystaj z narzędzia Webroot AntiZeroAccess. Po wykonaniu w nim instrukcji zresetuj system i powtórz skan, by było wiadome czy po restarcie problem się nie przemieścił. Podaj log wynikowy z pracy narzędzia. . Odnośnik do komentarza
tomas1 Opublikowano 4 Grudnia 2011 Zgłoś Udostępnij Opublikowano 4 Grudnia 2011 mam na efilm pro konto od 6 miesięcy i na pewno nie ma ona wirusów, z tego co widze serwer stoi na linuxie na którym ciężko o wirusy dodaje wymagane logi przeskanowalem pare razy zalaczam takze screen bo coś odbiega od instrukcji nie przebiega czyszczenie gdy wlaczam jeszcze raz jest tak jakby program byl uruchomiony pierwszy raz nie ma wyników. Tak jakby nic nie wykryło wiecej info w raporcie. mam na efilm pro konto od 6 miesięcy i na pewno nie ma ona wirusów, z tego co widze serwer stoi na linuxie na którym ciężko o wirusy No to nie wiem jak to mogło mi się zainstalować miałem otwartą jedynie tą stronę. Możliwe że gdzieś siedziało w systemie i się akrywowało akurat wtedy przez przypadek ale to wątpliwe. Możliwe także że wirus siedział na stronie z której właczyłem film poprzez klikniecie w "ogladaj z efilmpro bez limitu' co jest bardziej prawdopodobne gdyż niektóre takie strony są wątpliwe;/ AntiZeroAccess_Log.txt Odnośnik do komentarza
tomas1 Opublikowano 5 Grudnia 2011 Zgłoś Udostępnij Opublikowano 5 Grudnia 2011 Nie jest możliwe że mają wirusy bo mają tak zabezpieczony serwer i stronę, że czasami ciężko jest nawet się zalogować zwykłemu userowi, a co dopiero dostać do płatnej części (próbowałem ). Banują wszystko co ma chociaż minimalne odchylenia od zwykłego nudnego użytkownika, który wchodzi raz na dzień by oglądnąć kilka filmów. I to banują na stałe, gdyby nie tepsa i zmienne ip już dawno nie miałbym przywileju używania tej strony, trochę kont mi zbanowali odpal sobie strone u kogoś z innego komputera i z innej sieci a zobaczysz, że wszystko ok. Jak oglądasz na efilmpro to oglądasz tylko z efilmpro, żadne inne strony nie wchodzą w grę. Poza tym tak jak pisałem wyżej serwer stoi na linuxie a wirus którego złapałeś nie istnieje na ten system. Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2011 Zgłoś Udostępnij Opublikowano 6 Grudnia 2011 (edytowane) remik89 Możliwe że gdzieś siedziało w systemie i się akrywowało akurat wtedy przez przypadek ale to wątpliwe. Możliwe także że wirus siedział na stronie z której właczyłem film poprzez klikniecie w "ogladaj z efilmpro bez limitu' co jest bardziej prawdopodobne gdyż niektóre takie strony są wątpliwe;/ Wątpię, by to "było" w systemie i się obudziło. Ten typ infekcji jest m.in. inicjowany przez fałszywe wtyczki do odtwarzania video. Nadal nie wykonałeś kroków polegających na deinstalacji sterowniki SPTD z systemu. (...) nie wdrożyłeś ogłoszenia (KLIK) i działa w tle sterownik emulacji napędów wirtualnych To musi być usunięte przed uruchamianiem narzędzi niskopoziomowych. Wykonaj. Webroot AntiZeroAccess nie widzi tego samego co Kaspersky (fałszowanie sumy kontrolnej sterownika cdrom), ale pokazuje (i nie podejmuje żadnych akcji): 16:50:12 - CheckSystem - Warning! Disk class driver is INFECTED. Pobierz i uruchom zgodnie z wytycznymi ComboFix i przedstaw raport z jego działania. . Edytowane 7 Stycznia 2012 przez picasso 7.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi