Rozwiązany: Wirus zdalnego pulpitu drukarki - złośliwy

[Abuk96]

Dzisiaj pierwsze uruchomienie komputera od wczoraj, komputer włączony, fejsbuk duperele + zalogowanie wowa i wejście na postać w momencie jak się wczytywał wow poszedłem do toalety. Po powrocie mam uruchomione talenty mape i inne opcje w wowie czyli czynnosci ktore wymagaja udzialu czlowieka nie uruchamiaja sie same. 10 sekund pozniej w czacie moja postac zaczyna pisac

"pass" i wysyla wiadomosc

wylaczam wowa wpadam na gmaila i battle net zmieniam hasla

skanuje malawarebytem + mse

nie znajduja nic wiec skanuje sam folder wowa bo tam mogly byc jedyne pliki ktore sciagalem na przestrzeni 2 tygodni

antywiry nic nie maja wiec doszedlem do wniosku ze po kliknieciu na klawiaturze sidewinder w wowie przycisku play/pause bo chcialem zastopowac muzyke sie dzieja takie rzeczy, wracam na wowa chwile opisuje problem koledze z gildii nt zlosliwych addonow bo o tym wyczytalem na stronie wowa. po jakiejs 3 minutowej rozmoie to samo postac ni stad ni z owad zaczyna sie ruszac i znowu wykonuje "enter" czyli otwarcie czatu i wpisuje "pass" i wysyla

wylaczam wowa odpalam znowu skan tym razem pelny malware po 5-6 minutach skanu program zamyka sie otwiera sie sam pasek start (dodam ze nie widze mojej albo innej myszki tzn moja myszka na pulpicie stoi a programy i akcje czynia sie bez ruchu mojego kursora), otworzyl sie start przejechal po opcjach otworzyl uruchom wpisal pass i zatwierdzil ( wylaczylem potem wpisal w uruchom "gician"

czyli dazyl do zablokowania pulpitu komeenda pass w uruchom a potem chcial napisac magician czyli to mialo byc chyba haslem. odcialem internet i teraz leci pelen skan juz godzine sciagnalem dr weba na pendrive i zeskanuje nim jak skonczy malaware

cofnalem system do dnia 29.06 do 10.34 jedyna roznica pomiedzy dzisiejszym a tamtejszym to

Microsoft Remote Desktop Services (Printer) 06/21/2006 6.1.7601.17514

czyli coś ze sterownikem zdalnego pulpitu w drukarce

przywrocilem na tamten dzien system i to na nim sie teraz skanuje wszystko

Piszę teraz z laptopa

generalnie stawiam albo na trojana zlosliwego ktory mial za zadanie zablokowac ekran haslem magician ktory jednak nie dziala w trybie offline albo nie trafil do systemu przed sobota 10:34 albo dopiero dzisiaj sie uruchomil.

jedyne co sciagalem na dniach to addony ale bylo to przed sobota z ktorej odzyskalem system

wiem wiem powinienem robic kopie zapasowe : ludzie dziela sie na tych co robia i tych ktorzy bd robic - ja juz bede

podejrzane addony imho to

gex - gladiator ex w fazie beta klon gladiusa

gladius mop - raptem z 15k sciagniec rzekomo kopia gladiusa dzialajaca na mopie

z gexem gram juz ze 2 tygodnie moze mniej ale bylo dobrze wszystko

poki co hasel ten ktos lub cos nie zmienial

zmienilem raz hasla z zainfekowanego kompa raz z tego laptopa

Bardzo to chaotyczne ale piszę szybko żeby nie zatrzeć sladow dla combo fixa czy innego przez moje akcje.

Pytajcie i pomagajcie.

Pozdrawiam kuba

[feleron]

Zrób jeszcze skan TDSSKiller i napisz czy coś wykrył.

[Abuk96]

Malaware skanuje juz 1h 40 min i chyli sie ku koncowi zaraz sprawdze tsddkillerem potem dr curem caly czas odciety internet poki co nie widze zadnych akcji ktorych sam bym nie wykonal. jakies podejrzenia ?

Czy to normalne ze w mmc w dodaj usun przystawke brak mi opcji zarzadzanie drukowaniem ? - myslalem nad usunieciem sterownikow do drukarek i skanera

@EDIT

Tdsskiller nic nie wykryl, strasznie szybko skanował raptem 448 objektów teraz skanuje dr.webem w TRO

@Edit

DR web też nic nie znalazł

Jeszcze przeskanuję MSE jeśli nic nie znajdzie podepnę internet i zobaczę co się stanie.

[feleron]

Zarządzanie drukowaniem nie jest czasem dostępne tylko w wersjach serwerowych Windowsa? Tak poza tym to komputer jest podłączony do jakiejś sieci lokalnej? Szczerze to raczej nie wirus tylko raczej ktoś bawi się na Twoim kompie przy pomocy właśnie pulpitu zdalnego. Drukarkę spróbuj może odinstalować w menadżerze urządzeń

[Abuk96]

No własnie tak stawiam że na edycji HP niema tego. Brak sieci lokalnej ale jeżeli ktoś miałby się bawić to nikt z mojego otoczenia czytaj sąsiedzi itd..

Jeszcze nie podpiałem sie do sieci a skoro antyviry nie znalazly jest szansa ze wirusa niema po przywroceniu starego systemu tyle tylko ze moze sie okazac ze go nie wykrywaja. Jest jakis kombajn na wirusy który jest dla sytuacji beznadziejnych ?

ograniczylem uprawnienia drukarki, podpinam pod internet i zaraz sie okaze

[feleron]

Np. combofix tyle, że jego działanie jest bardzo inwazyjne i jeżeli nie ma żadnych szkodników to prędzej może zaszkodzić niż pomóc. Inna opcja to skan OTL(zaznacz wszystko tak jak na tym zdjęciu oraz dodatkowo infekcja LOP i purity oraz wszyscy użytkownicy) wygenerowane logi (plik OTL.txt i extras.txt) wrzuć tutaj. Tyle, że ich analiza może trochę potrwać gdyż konieczna będzie mi pomoc kolegi z innego forum.

Strasznie dziwna sytuacja i szczerze to ciężko póki co znaleźć mi jakąś logiczną odpowiedz na to co jest przyczyną Twoich problemów.

[Abuk96]

Jak do tej pory brak niechcianej aktywności i nie zauwazylem ubytkow plikow.

Wrzucam logi

OTL.TxtExtras.Txt

[feleron]

Hmm, póki co nic ciekawego nie znalazłem poza paroma adware... aczkolwiek dałem log do sprawdzenia komuś z większym doświadczeniem w OTL, także póki co wstrzymam się z diagnozą.

[Abuk96]

A jakie wypatrzyles adware ? Ostatnio mi wyskakuje texas poker na fb a tak to raczej brak reklam

[Abuk96]

Jak się okazało wirus potworzył na każdym z dysków folder Recyclebin i blokowal foldery

na c documents and settings program data recovery system volume information program data

na d system volume information

na e config.msi i msdownld.tmp i system volume information

wszedzie powrzucał $recycle.bin a w srodku jest kosz i folder w nazwie z numerami

wszedzie odmowa dostępu

Pozabierałem co wazniejsze dane i formatuje dysk jak na ironię chciałem zrobić to tydzień temu -.-

Na innym koncie admina nie ma tego problemu. Tak czy siak format po 3 latach się przyda bo syf kiła i mogiła ;P

[feleron]

A jakie wypatrzyles adware ?

Trochę się tego nazbierało m.in.:

"{97B4DF0B-7499-455F-AFBA-F70F64D6D86A}" = SweetIM for Messenger 3.5
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{A1194237-547A-461d-BD44-B97B1574A7DA}" = SweetIM Toolbar for Internet Explorer 4.1
"{A2F991E7-DDCD-42B7-AFEC-47789A099FDC}" = Browser Configuration Utility
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"XfireXO Toolbar" = XfireXO Toolbar
Babylon

Log sprawdzony, trochę roboty jest, niemniej jednak jeżeli zdecydowałeś się na formata, to nie ma co dalej ciągnąć tematu.

[Abuk96]

a to złomki w ie, nie działające zresztą, już po formacie teraz zasysanie aktualizacji i sterowników przynajmniej będzie spokoj na jakis czas. dzieki za pomoc

do zamkniecia i miejmy nadzieje ze nie trzeba bd go otwierac

[[Ekspert] Hakken]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.