MisczU Napisano Listopad 15, 2010 Zgłoś Share Napisano Listopad 15, 2010 Otóż mam pewien problem. Ostatnimi czasy mój domowy antywir Avast!free antivirus zaczął u mnie wykrywac podejrzane pliki na systemowym dysku. Potem za każdym razem gdy otwierałem jakiś folder, otwierał się on w nowym oknie. Następnie zablokowało mi się przeglądanie ukrytych plików. Wtedy tak profilaktycznie zgrałem obraz partycji systemowej z przed roku(wolę to od formata bo szybsze a tak samo efektywne). Byłem zadowolony aż tu nagle okazuje sie że ukrytych plikow nadal nie moge przeglądać, a za każdą próbą wejścia na jakaś partycję klasycznym sposobem mój komputer->dyskX wyskakiwało okienko Otwórz za pomocą. Mogłem je otwierać wylącznie poprzez eksploruj. Teraz wirusy blokują mi dostęp do skypa poprzez odrzucanie hasła i podawanie je jako błędne. Nie wiem co stanie się następne. Wydaje mi sie ze to sprawka Rootkitow. Antywir nic nie wykrywa ale to nic dziwnego ponieważ tym avastem! rootkitow szuka tylko pobierznie. Co robić z tym fantem. Jak je znaleźć i wyrzucić na dobre bez utraty danych? Prosiłbym o szybką pomoc gdyż potrzebuję tamtego komputera z racji wszystkiego co na nim mam. Z góry dzięki. Link do komentarza Udostępnij na innych stronach More sharing options...
xswistaqx Napisano Listopad 15, 2010 Zgłoś Share Napisano Listopad 15, 2010 Wywal avasta a zainstaluj sobie chociażby AviręAVG Free. Przeskanuj kompa za pomocą Malwarebytes Anti Malware' i wrzuć logi. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 16, 2010 Zgłoś Share Napisano Listopad 16, 2010 Przenoszę do programów. 1. Wykonaj pełne skanowanie systemu programem Malwarebytes' Anti-Malware. 2. Ściągnij i uruchom OTL. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników i kliknij skanuj. 3. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów. 4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku. W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba kombinować inaczej. Temat przenoszę do programów i zmieniam tytuł na taki, który więcej mówi o problemie. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Listopad 17, 2010 Autor Zgłoś Share Napisano Listopad 17, 2010 Logi z Malwarebytes Anti-Malware: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Wersja bazy: 5138 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 8.0.6001.18702 2010-11-17 18:50:06 mbam-log-2010-11-17 (18-50-06).txt Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|H:\|) Przeskanowano obiektów: 288290 Upłynęło: 41 minut(y), 45 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 4 Zainfekowanych wartości rejestru: 3 Zainfekowane informacje rejestru systemowego: 1 Zainfekowanych folderów: 0 Zainfekowanych plików: 17 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CLASSES_ROOT\CLSID\{26e903bb-f534-4963-86a2-37927d259419} (Adware.Shopper) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully. Zainfekowanych wartości rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully. Zainfekowane informacje rejestru systemowego: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: C:\Program Files\P2P_Torrent\tbP2P1.dll (Adware.Shopper) -> Quarantined and deleted successfully. E:\nowe\Krzysiek\Pulpit\hacki\PerX.exe (Backdoor.Bot) -> Quarantined and deleted successfully. E:\pobrane\Gierki\strzelanki\CoD\Call.of.Duty.2.PL-SPHiNX\mint-cod2t.exe (Malware.NSPack) -> Quarantined and deleted successfully. D:\dwh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. D:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP11\A0003706.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mgking0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mgking1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. H:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP11\A0003709.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. E:\System Volume Information\_restore{C8B447FB-DA65-48E6-941E-6077B9D3A757}\RP11\A0003707.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. H:\dwh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. E:\dwh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully. E:\Photo\keygen2.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. H:\Krzysiek\Call_Of_Duty_4-Razor1911\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911\rzr-cod4.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. C:\Documents and Settings\Janek\Ustawienia lokalne\Temp\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully. E:\pobrane\Gierki\bajki,rysunkowe\LSW\LEGO STAR WARS\pztrain.exe (Trojan.Dropper) -> Quarantined and deleted successfully. E:\pobrane\CS 1.6\do Cs.a rozne programy i nietylko\hlogoc10.exe (Worm.Magania) -> Quarantined and deleted successfully. Logi z OTL: http://wklej.org/id/420886/ http://wklej.org/id/420889/ Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 17, 2010 Zgłoś Share Napisano Listopad 17, 2010 Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives cbbw88s.exe /alldrives :OTL O33 - MountPoints2\{eec5e480-0e60-11df-989e-806d6172696f}\Shell\AutoRun\command - "" = cbbw88s.exe O33 - MountPoints2\{eec5e480-0e60-11df-989e-806d6172696f}\Shell\open\Command - "" = cbbw88s.exe O33 - MountPoints2\{f2f05195-927f-11de-bdd1-806d6172696f}\Shell\AutoRun\command - "" = cbbw88s.exe O33 - MountPoints2\{f2f05195-927f-11de-bdd1-806d6172696f}\Shell\open\Command - "" = cbbw88s.exe O33 - MountPoints2\{f2f05196-927f-11de-bdd1-806d6172696f}\Shell\AutoRun\command - "" = cbbw88s.exe O33 - MountPoints2\{f2f05196-927f-11de-bdd1-806d6172696f}\Shell\open\Command - "" = cbbw88s.exe O33 - MountPoints2\{f2f05197-927f-11de-bdd1-806d6172696f}\Shell\AutoRun\command - "" = cbbw88s.exe O33 - MountPoints2\{f2f05197-927f-11de-bdd1-806d6172696f}\Shell\open\Command - "" = cbbw88s.exe :Commands [emptyflash] [emptytemp] i kliknij Uruchom skrypt. Po restarcie otrzymasz log z pracy programu wrzuć go na forum. Poza tym daj nowe logi z OTL. Daj jeszcze log z GMERa, tylko najpierw użyj programu Defogger. Infekcja najprawdopodobniej z pamięci USB, a więc wypada zabezpieczyć takie pamięci programem FlashDisinfector. Ściągnij ten program i uruchom go. Następnie postępuj zgodnie z informacjami, które będą wyświetlane na ekranie. Opisz jak wszystko wygląda teraz. Gdy skończymy dostatniesz urlop za piractwo, na razie wolę to doprowadzić do końca, żeby się szkodniki nie rozprzestrzeniały. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Listopad 17, 2010 Autor Zgłoś Share Napisano Listopad 17, 2010 Logi z GMERa http://wklej.org/id/420924/ Log z pracy OTL All processes killed ========== FILES ========== C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. C:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. C:\RECYCLER folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. D:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. D:\RECYCLER folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\De6 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007\De3 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1007 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. E:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. E:\RECYCLER folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1005 folder moved successfully. H:\RECYCLER\S-1-5-21-515967899-57989841-839522115-1004 folder moved successfully. H:\RECYCLER folder moved successfully. cbbw88s.exe not found in C:\ cbbw88s.exe not found in D:\ cbbw88s.exe not found in E:\ cbbw88s.exe not found in H:\ ========== OTL ========== Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eec5e480-0e60-11df-989e-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eec5e480-0e60-11df-989e-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eec5e480-0e60-11df-989e-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eec5e480-0e60-11df-989e-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f05195-927f-11de-bdd1-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f2f05195-927f-11de-bdd1-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f05195-927f-11de-bdd1-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f2f05195-927f-11de-bdd1-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f05196-927f-11de-bdd1-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f2f05196-927f-11de-bdd1-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f05196-927f-11de-bdd1-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f2f05196-927f-11de-bdd1-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f05197-927f-11de-bdd1-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f2f05197-927f-11de-bdd1-806d6172696f}\ not found. File cbbw88s.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f05197-927f-11de-bdd1-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f2f05197-927f-11de-bdd1-806d6172696f}\ not found. File cbbw88s.exe not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Anka ->Flash cache emptied: 405 bytes User: Default User User: Janek User: Krzysiek ->Flash cache emptied: 2667 bytes User: LocalService User: Michał ->Flash cache emptied: 1154 bytes User: NetworkService User: Wolna Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Anka ->Temp folder emptied: 3245151 bytes ->Temporary Internet Files folder emptied: 2446200 bytes ->Java cache emptied: 13425511 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Janek User: Krzysiek ->Temp folder emptied: 54963686 bytes ->Temporary Internet Files folder emptied: 4935170 bytes ->Java cache emptied: 13432650 bytes ->FireFox cache emptied: 47051693 bytes ->Google Chrome cache emptied: 83259000 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 82513 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Michał ->Temp folder emptied: 60171795 bytes ->Temporary Internet Files folder emptied: 26179079 bytes ->Java cache emptied: 13432650 bytes ->FireFox cache emptied: 18113250 bytes ->Google Chrome cache emptied: 83515254 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Wolna ->Temp folder emptied: 644727 bytes ->Temporary Internet Files folder emptied: 69263 bytes ->FireFox cache emptied: 3725280 bytes ->Opera cache emptied: 291232 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 23635258 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 432,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11172010_200911 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot. Registry entries deleted on Reboot... Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 17, 2010 Zgłoś Share Napisano Listopad 17, 2010 Zapomniałem o jednej rzeczy i ją uzupełnimy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives :Commands [emptyflash] [emptytemp] i kliknij Uruchom skrypt. Następnie wygeneruj nowe logi w OTL i wrzuć je na forum. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Listopad 17, 2010 Autor Zgłoś Share Napisano Listopad 17, 2010 Logi z OTL: http://wklej.org/id/420940/ http://wklej.org/id/420943/ Log z pracy programu: All processes killed ========== FILES ========== C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. E:\autorun.inf moved successfully. H:\autorun.inf moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Anka ->Flash cache emptied: 0 bytes User: Default User User: Janek User: Krzysiek ->Flash cache emptied: 456 bytes User: LocalService User: Michał ->Flash cache emptied: 0 bytes User: NetworkService User: Wolna Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Anka ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Janek User: Krzysiek ->Temp folder emptied: 652590 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 7603908 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Michał ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Wolna ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Opera cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 8,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11172010_202443 Files\Folders moved on Reboot... File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot. Registry entries deleted on Reboot... Logi z OTL: http://wklej.org/id/420958/ http://wklej.org/id/420960/ Jak narazie wydaje się że wszystko działa poprawnie. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 17, 2010 Zgłoś Share Napisano Listopad 17, 2010 Uruchom OTL raz jeszcze i użyj opcji Sprzątanie. To usunie resztki po działalności OTL. Następnie wykonaj aktualizacje systemu oraz programów takich jak Mozilla Firefox, Java, Adobe Flash Player oraz Adobe Reader. Po dokonaniu aktualizacji napisz, czy wszystko działa jak należy. Avasta zmień na coś skuteczniejszego. Od siebie polecam Avirę, lub Comodo Internet Security. Link do komentarza Udostępnij na innych stronach More sharing options...
MisczU Napisano Listopad 17, 2010 Autor Zgłoś Share Napisano Listopad 17, 2010 Zaktualizowałem to co napisałeś. Jak narazie wszystko działa jak należy. Ogólnie wielkie dzięki(a antywira zmienię chyba na Comodo) Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 17, 2010 Zgłoś Share Napisano Listopad 17, 2010 Temat uważam za zamknięty, w razie potrzeby otwarcia proszę o wysłanie PW. Otrzymujesz 7 dni urlopu za piracką recydywę. Przy następnym pirackim wyskoku dostaniesz bana. Link do komentarza Udostępnij na innych stronach More sharing options...