Skocz do zawartości

Zablokowany net przez trojan.ruskill


Rekomendowane odpowiedzi

Witam.

Dziś po włączeniu kompa i internetu oraz po uruchomieniu przeglądarki Mozilla Firefox otworzyła się automatycznie jakaś strona CyberTarczyOrange z powiadomieniem ze na moim komputerze znajduje sie trojan.ruskill. i internet zostaje zablokowany.
Prosze o pomoc.

Kroki, które wykonałem po opisanej wyżej sytuacji to:
-odinstalowanie deamon tools,
-przeskanowanie dyskow antywirusem Eset Nod32,
-pełne skanowanie programem malware bytes Anti-Malware (zarażonych plików 4)
- skanowanie ADWCleaner (wykrytych zagrożeń 20)

Na razie zarażonych polików nie usuwałem.

Mój system operacyjny to win XP SP3, dostawcą internetu jest firma orange, a router wi-fi to SagemCom F@st 2704.
Z góry dziękuje za pomoc.

Logi FRST i GMER:

http://wklej.org/id/2976799/

http://wklej.org/id/2976801/

http://wklej.org/id/2976802/

http://wklej.org/id/2976804/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Radzę dobrze, żeby zacząć myśleć nad przeprowadzką z XP (on już nie ma wsparcia Microsoft) na co najmniej Windows 7. Powódem jest oczywiście dużo zagrożenia infekcja (dużo nie łapanych luk itd)




Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta. 
 
W skrypcie kosmetyka: kasacja pustych wpisów rejestru, CLSID oraz modyfikacji polityk grup. Ogólnie: brak jawnej infekcji, wyniki Malwarebytes wymagają dodatkowej weryfikacji poprzez usługę VirusTotal, a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania. 
 
1. Przez panel sterowania odinstaluj: Brave Dwarves 2 GOLD v1.15 (podaję jako działanie ewentualne, w FRST mam flagowanie żeby zwrócić na to uwagę, ale z tego co się orientuje to jakaś gra. Prawda?)
 
2. Otwórz Notatnik w nim wklej:
 
CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia ? SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{E7A37920-253C-4FF1-B169-298A7CE6CAA9}\localserver32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\Dropbox.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8 [370]
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. 

3. Sprawdź poniższe pliki w usłudze VirusTotal.com (Uploudujesz plik > Klik w Przeskanuj > Po zakończonej analizie kopiujesz link z pasku adresów URL i dostarczasz go mi w następnym poście. Procedurę powtarzasz w przypadku każdego pliku (razem mają być cztery linki).

C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\verclsid.exe
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE
C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000008c00002i\offlb.exe
E:\System Volume Information\_restore{41CD2F82-42C1-45B0-805E-D00B54D60369}\RP214\A0096337.exe
Odnośnik do komentarza
5. ostatniego pliku nie moge odszukać ani nawet folderu E:\System Volume Information

 

 

On jest na dysku E:\ ale możemy to pominąć bo to folder przywracania, który i tak będziemy czyścić.

 

Pozostałe pliki skasuj ręcznie.

 

a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania.

 

Gdzie ten raport?

 


 

Napisz jak oceniasz obecną sytuacje. 

Odnośnik do komentarza

przepraszam za przeoczenie raportu, oto on: http://wklej.org/id/2981972/

Pozostałe pliki skasowane ręcznie.

 

ADWcleaner po ponowynym skanowaniu nie pokazuje już żadnych zarażonycjh plików.

 

Pozostaje problem ze sprawdzaniem systemu plików na dysku F podczas uruchamiania komputera każdorazowo pojawia się takie okno niebieskie przed uruchomieniem windows

"Twój system plików to NTFS, jeden z dysków wymaga sprawdzenia spójności danych. CHKDSC sprawdza pliki...."

Odnośnik do komentarza

Jest już w porządku. Z mojej strony będziemy już kończyć.

 

Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK

 

Zaktualizuj również ważne programy: KLIK

 

Pozostaje problem ze sprawdzaniem systemu plików na dysku F podczas uruchamiania komputera każdorazowo pojawia się takie okno niebieskie przed uruchomieniem windows

"Twój system plików to NTFS, jeden z dysków wymaga sprawdzenia spójności danych. CHKDSC sprawdza pliki...."

 

Poczekaj najlepiej na odzew Groszexxx.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...