Crowli

Witam. Rejestr zrobiony. Jeżeli chodzi o jave to na bierząco aktualizuje i nie wiem czemu jakieś śmieci z java 6 zostały. Uważam temat za zamknięty i pragnę podziękować Picasso i całemu team-owi FixitPC za pomoc. Z poważaniem: Crowli

Dodaje raport z systemlook-a. Kilka słow wyjaśnienia (sorry za skróty myślowe speedigonsalesa): 1. Wszedłem w msconfig i tam odznaczyłem uruchamianie się pliku z virusem (jak by to nie zadziałało to bym szczelił formata i też by było po problemie - taki miałem punkt widzenia ale na szczęscie zadziałało) 2. znalazłem po ścieżce dostęu z msconfig katalog z virusem i skasowałem cały katalog (shift + del). 3. uruchomiłem opcję wyszukaj i poszukałem plików zmienionych po ataku virusa i znalazłem ich tam kilka ale wszystkie były raczej w tempach poza automoto (lub otomoto) i go wykasowałem. Wczoraj wieczorem jeszcze przed pójściem spać wyczyściłem kompletnie: - tempy - kopie zapasowe na dysku - kosz. Z poważaniem: Crowli SystemLook.txt

Witam wczoraj zostałem zatakowanym Ukashem. Działania podjęte chronologiczniei. 1. Wejście na strone ekinotv (nauczka na następny raz nie szukać żonie filmu na dobranoc). 2. Infekcja. 3. Reset komputera wejście w tryb awaryjny. 4. Wejście w rejestrkonfiguracji systemu (komenda msconfig) 5. wyłaczenie wirusa i usunięcie katalogu z nim włącznie. 6. sprawdzenie jakie nowe katalogi pojawiły się od powsatania wirusa i usnięcie katalogu automoto z ustawień lokalnych. 7. właczenie otl + zrobienie raportów. 8. właczenie gmr + zrobienie raportu. Proszę o sprawdzenie czy coś nie zostało w rejestrze (moja wiedza nie sięga tak daleko) i jeżeli istnije możliwość o poradę jak sie ustrzec następnym razem przed czymś takim gdyż moja wiedza jednak okazała się zawodna. Z poważaniem: Crowli OTL.Txt Extras.Txt gmer.txt

Chciał bym podziękować Administratorowi Picasso oraz całemu zespołowi Fixitpc za pomoc w rozwiązaniu problemu i uważam temat za skończony można zamykać.

Dodaje Logi żony - na pierwszy rzut oko wszystko wygląda dobrze. OTL.Txt Extras.Txt gmer.txt

1. Hasła zmienione. 2. TFC wykonane. 3. Akami usunięte 4. Nigdzie nie znalazłem uninstalki Kasperskiego ale do autostartu dodał się skrypt kasujący pliki z komputera więc obstawiam, że to z Kasperskiego bo powstał po jego uruchomieniu. 5. Logi z komputera od żony dam jutro po pracy.

jedno małe pytanko bo dałem plik do kwarantanny: czy mam go przywrócić i skasować czy w kasperskim dać usuń z listy. (nie widze opcji usuń plik)

Po przejrzeniu 450k pozycji nie znalazłem żadnych niezwykłych plików (status kaspierskiego to: ok/package/archiwum w 99% nie licząc pagefile i kilku zabezpieczonych paczek). Kasperski wykrył jeden potencjalny obiekt dałem do kwarantanny (nie widziałem czy mogę usunąć) kasp.txt

1. Zgadza się zapomniałem napisać, że usunąłem deamon tollsa dopiero po przeczytaniu na forum, że może ingerować w pliki. (zapomniałem napisać). 2. Tak to ten plik ( dodatkowo teraz przed chwilą usunąłem cały folder z grą tak dla świętego spokoju). 3. Jeżeli chodzi o GG.exe to po prostu nie uruchamia się przy auto starcie (jak Napisałaś nie był zainfekowany) więc chyba mogę go używać. 4. Daje log OTL zrobiony przed chwilą. OTL.Txt

Na początku przepraszam za nie dodanie logu z GMera (dodaje). A teraz postaram się wytłumaczyć chronologicznie co zrobiłem od czasu infekcji: 1. Uruchomienie programu (i zainfekowanie komputera => w sumie do pliku.exe było podpięte 20mb tego syfu). 2. Nod wykazuje, że zablokował dostęp do niebezpiecznej strony. 3. Sprawdzenie menadżera systemu i wykrycie kilku niepożądanych aplikacji (głownie ping.exe, która zjada 100% zasobów) 4. skan z NOD32 i wykrycie przez nod: - Pamięć operacyjna » svchost.exe(1124) - prawdopodobnie odmiana zagrożenia Win32/Sirefef.DA koń trojański - nie można wyleczyć - Pamięć operacyjna » C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe - odmiana zagrożenia Win32/TrojanClicker.Agent.NEB koń trojański - nie można wyleczyć - Pamięć operacyjna » C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe - odmiana zagrożenia Win32/TrojanClicker.Agent.NEB koń trojański - nie można wyleczyć - Pamięć operacyjna » C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe - odmiana zagrożenia Win32/TrojanClicker.Agent.NEB koń trojański - nie można wyleczyć 5. wyszukanie czym można to naprawić, ściągnięcie i uruchomienie TDSkiller 6. TDSkiller podaje opcje cure naprawy 2-ch plików i 4 procesów (czy jakoś tak). 7. wykonanie cure (dołączyłem log) 8. Skan TDSkillerem jeszcze raz 0 znalezionych zagrożeń (dołączyłem log) 9. Skan Nodem i wykrycie przez nod: - D:\System Volume Information\_restore{B32376A9-4A51-4A3A-A245-0F90093499DD}\RP445\A0102835.exe - Win32/HackAV.AI potencjalnie niebezpieczna aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania - D:\System Volume Information\_restore{B32376A9-4A51-4A3A-A245-0F90093499DD}\RP445\A0102835.exe - Win32/HackAV.AI potencjalnie niebezpieczna aplikacja - wyleczony przez usunięcie - poddany kwarantannie [1] 10. Po wykonaniu wszystkich operacji pozostał problem z uruchamianiem się plików 1B1e82A6 i A0102835 - z widocznych działań starają się ustawić IE8 jako domyślną przeglądarkę. 11. Napisanie posta na forum ( i zmęczony idę spać klnąc na kumpla) 12. Włączenie komputera i powtarzający się problem z punktu 10. 13. Rano odpalenie Gmera dla opcji jak wykazano w temacie Gmer (dołączyłem log) 14. Dodatkowo przeskanowanie Gmer-em dysku D (0 znalezionych zagrożeń) 14. Odnalezienie pliku C:\Documents and Settings\All Users\Dane aplikacji\1B1e82A6.exe i zamiana na 1B1e82A6.txt 15. Uruchomienie combofixa. (dołaczyłem log) 16. Po skończonym combfixie dodatkowo wykasowałem: 1B1e82A6 - z innymi końcówkami - 2 pliki. 17. Wykasowanie jeszcze jednego pliku z danych aplikacji, który też mógł mieć nośnik wirusa (plik exe z grą) Mam nadzieję, że to już wszystko. I znowu kilka pytań: 1. czy z programów, które combofix wyłączył mogę jakieś używać (zależy mi na GG) - czy combofix w nie nie ingerował i tylko wyłączył z opcji auto startu. 2. Czy istnieje jakaś najmniejsza możliwość, że wirus poprzez sieć mógł się dostać na inny komputer (żony) - z komputera żony nie były otwierane w tym czasie żadne pliki z mojego komputera i nie wchodziła na otoczenie sieciowe. Bardzo proszę o pomoc i odpowiedzi na pytania i bardzo mocno dziękuje za pomoc. TDSSKiller.2.6.18.0_12.11.2011_21.00.18_log.txt TDSSKiller.2.6.18.0_12.11.2011_22.05.14_log.txt gmer.txt ComboFix.txt

Pech chciał, że posłuchałem znajomego i ściągnąłem wirusa Win32/Sirefef.P + coś jeszcze. Wirusa usunąłem (mam nadzieję) tdsskiller lecz pozostał problem w katalogu c:recycler (kosz) są 3 pliki A0102835.exe -> win32/hackAV.AI( zauważyłem, że starają się ustawić EI8 jako domyślną przeglądarkę) i dodatkowo jeszcze 1 na dysku D w pliku odzyskiwania (pojawił się teraz podczas 2-go skanowania i powinienem go usunąć poprzez wyłączenie odzyskiwania). Moja prośba/pytanie: 1. Czy jest aktywny jakiś wirus (na menadżerze urządzeń już nie widzę podejrzanych procesów) - czy udało mi się wszystko usunąć. 2. Czy da się usunąć z kosza pliki A0102835.exe -> próbowałem PCclinerem ale nic to nie dało. 3. Czy logi pokazują jakieś istotne uszkodzenia systemu i czy da sie to naprawić bez c: format. Mam nadzieję, że wszystko opisałem jasno i czytelnie. Proszę o pomoc bo naprawdę nie uśmiecha mi się robienie systemu od nowa a z drugiej strony używam tego komputera w domu do prawie wszystkiego więc nie chciał bum aby moje hasła wyciekły gdzieś w świat więc chciał bym być pewny, że znowu mogę go używać. OTL.Txt Extras.Txt