Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

THE FBI FEDERAL BUREAU OF INVESTIGATION

FFooXX5

Przez FFooXX5
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

FFooXX5

FFooXX5

Opublikowano
Opublikowano

witam mam od wczoraj taki problem normalnie się przeraziłem wyskakuje stronka z takim nagłówkiem logo FBI ATTENTION! widnieje na niej moje miasto IP i podgląd z kamerki, podany jest numer konta i żeby wpłacić 100 dolarów o co chodzi? czy zostałem namierzony przez FBI ale za co, czy to może wirus ta stronka wyskakuje jak jest połączenie z netem jak nie ma to nie wyskakuje. Proszę o pomoc. Pozdrawiam Panią picasso, która była mi kiedyś bardzo pomocna i licze na kolejną pomoc

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Trojan "FBI" widoczny, ale on nie jest najgorszy, tu siedzi rootkit Necurs:

 

SRV - [2012-06-22 18:33:18 | 000,066,488 | ---- | M] () [unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\51d3cfa2ac34a62a.sys -- (51d3cfa2ac34a62a)

 

 

1. W pierwszej kolejności musi być zdjęty rootkit. Zastosuj zgodnie z opisem ESET Necurs Remover. Zresetuj system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\to_r0tsef.pad
C:\WINDOWS\System32\sycd5.dll
 
:OTL
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKCU..\Run: [0i763f66bz] C:\Documents and Settings\FFooXX\0i763f66bz.exe (SmoothCandle)
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W międzyczasie uruchamiałeś ComboFix, po co do diabła? Nie otrzymałeś takich instrukcji.

 

 

Po wykonaniu procedury ESET Necurs Remover po restarcie wyskoczył błąd (Wystąpił błąd podczas ładowania C:\DOCUME~1\FFooXX\USTAWI~1\Temp\fest0r_ot.exe Nie można odnaleźć określonego modułu)

Strona z FBI już się nie pojawia więc coś tam zostało usunięte

 

Tu były aż dwie infekcje. ESET Necurs Remover usuwał rootkita Necurs, co nie ma związku z tymi planszami "FBI". Te plansze robił skrót ctfmon.lnk kierujący do pliku C:\Documents and Settings\FFooXX\Ustawienia lokalne\Temp\fest0r_ot.exe. Obie rzeczy były zaplanowane do usunięcia skryptem OTL. Pojawił się ten błąd przy starcie, gdyż OTL wyczyścił lokalizacje tymczasowe, ale skrót ctfmon.lnk nie został usunięty (tzn. OTL go kasował, ale on powrócił), nadal jest w logu:

 

[2012-07-15 21:16:51 | 000,001,614 | ---- | M] () -- C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk

 

Wymagane poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\FFooXX\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\51d3cfa2ac34a62a.sys -- (51d3cfa2ac34a62a)
DRV - [2012-05-24 19:11:15 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\11871938.sys -- (11871938)
[2012-07-15 21:16:51 | 000,001,614 | ---- | M] () -- C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk
[2012-06-22 18:33:18 | 000,066,488 | ---- | M] () -- C:\WINDOWS\System32\drivers\51d3cfa2ac34a62a.sys.vir

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nie ma potrzeby robić nowego skanu.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt jakoby nie widział tego pliku: C:\Documents and Settings\FFooXX\Menu Start\Programy\Autostart\ctfmon.lnk. Upewnij się, że na pewno go nie ma. Poza tym reszta wykonana. Przejdź do wykonania tych czynności:

 

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\FFooXX\Pulpit\ComboFix.exe" /uninstall

 

2. W OTL uruchom Sprzątanie, które skasuje kwarantannę + OTL. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt oraz używany ESET Necurs Remover.

 

3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Do wykonania istotne podstawowe aktualizacje: KLIK. Wykaz z Twojej listy zainstalowanych co wymaga interwencji / sprawdzenia:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java™ 7 Update 3
"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Google Chrome" = Google Chrome 19.0.1084.52

 

 

PS. I mam uwagę na temat Gadu-Gadu 10. Jest to program zainteresowany głównie w wyciskaniu zasobów systemowych i dręczeniu reklamami. Sugeruję wypróbowanie mniej rażących aplikacji z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy zlokalizowane w artykule Darmowe komunikatory.

 

 

 

Jedyny problem teraz to że po każdym uruchomieniu kompa, po załadowaniu się systemu za chwile słychać potrójny sygnał systemowy

 

Wątpię, by to było powiązane z infekcją (już usuniętą). Czy w Dzienniku zdarzeń jest może nagrany pasujący do zdarzenia błąd? I możesz przetestować czy dźwięku nie tworzy któryś z programów w starcie, tzn. Start > Uruchom > msconfig i w karcie Uruchamianie po kolei odznacz wpisy od programów + restart, aż wychwycisz który z nich generuje dźwięk.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Może pozostać odznaczony, ale ja kieruję w lepsze rozwiązanie, czyli całkowitą deinstalację tweakera Vtune 7.6. Powód: okropnie sfatygowany soft. Patrz na datowanie sterowników w logu, sprzed 5 lat:

 

DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...