wheeljack Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Witam. Dziś napisał do mnie nieznajomy nr gg i podał sie za mojego znajomego. Najpierw normalnie gadał a potem poprosił o pomoc, abym zarejestrował się na stronie wygrywaj-nagrody.pl gdyz za kazda rejestracje dostaje on punkty. Bez zastanowienia wszedlem na strone, a tam wyskakuje komunikat o javie i kliknalem bez zastanowienia RUN. Teraz wiem, ze na 99% to trojan / keylogger gdyż osoba na gg przestała odpisywać. Przeskanowałem komputer programem ad-aware znalazł on trojana o wysokim stopniu zagrożenia, jednak dalej boje się, że jest to coś gorszego. Niestety nie mam skanu tego, gdyż było to zanim napisałem. PS. Może ktoś umiałby sprawdzić tą stronę i dowiedzieć się dokładnie jaki to wirus? Nie chcę stracić danych jakie mam na komputerze dlatego od 2 godzin nigdzie się nie loguję. zrobilem scan OTL, potem znalazlem w tym temacie o wirusie jawaw: https://www.fixitpc.pl/topic/11907-keylogger-i-niemoznosc-aktywowania-oslon-avasta/ wiec usunalem wszystkie pliki z nim zwiazane w paru probach: All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Oracle Java deleted successfully. ========== FILES ========== File\Folder C:\Documents and Settings\Firma\Dane aplikacji\java_u.jar not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: eugenia ->Temp folder emptied: 434511512 bytes ->Temporary Internet Files folder emptied: 17534341 bytes ->Java cache emptied: 1066194 bytes ->FireFox cache emptied: 786719012 bytes ->Opera cache emptied: 59904383 bytes ->Flash cache emptied: 61618140 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1593016 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4318599 bytes RecycleBin emptied: 2441241 bytes Total Files Cleaned = 1,306.00 mb OTL by OldTimer - Version 3.2.69.0 log created on 01312013_212638 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Oracle Java not found. ========== FILES ========== C:\Users\eugenia\AppData\Roaming\java_u.jar moved successfully. C:\Windows\System32\javaw.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: eugenia ->Temp folder emptied: 4175 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Opera cache emptied: 2059136 bytes ->Flash cache emptied: 456 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2640 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2.00 mb OTL by OldTimer - Version 3.2.69.0 log created on 01312013_213244 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Oracle Java not found. ========== FILES ========== C:\Windows\System32\javaws.exe moved successfully. C:\Windows\System32\java.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: eugenia ->Temp folder emptied: 4175 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Opera cache emptied: 1711743 bytes ->Flash cache emptied: 456 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2640 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2.00 mb OTL by OldTimer - Version 3.2.69.0 log created on 01312013_213627 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\APLangApp not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\FailSafeLauncher not found. ========== FILES ========== C:\Program Files\Common Files\Java\Java Update\jusched.exe moved successfully. C:\Program Files\Phoenix Technologies Ltd\FailSafe\FailSafeLauncher.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: eugenia ->Temp folder emptied: 136682 bytes ->Temporary Internet Files folder emptied: 108776 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Opera cache emptied: 8038959 bytes ->Flash cache emptied: 456 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2632 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 8.00 mb OTL by OldTimer - Version 3.2.69.0 log created on 01312013_223834 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... i podaje skan juz po wszystkich tych operacjach. Results of screen317's Security Check version 0.99.57 Windows 7 x86 (UAC is enabled) Out of date service pack!! Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Ad-Aware SpyHunter Java 7 Update 7 Java version out of Date! Adobe Flash Player 11.2.202.235 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 15.0.1 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Ad-Aware AAWService.exe is disabled! Ad-Aware AAWTray.exe is disabled! `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` pozdrawiam i dziękuję za zainteresowanie Extras.Txt gmer.txt OTL.Txt OLT_przed.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Temat doprowadzam do porządku. Posty sklejam (należało edytować pierwszy, by go poprawić). Raporty przenoszę do załączników. Usuwam nadwyżkowe raporty, zostawiam tylko pierwszy i ostatni OTL, po co mi 4 razy OTL. potem znalazlem w tym temacie o wirusie jawaw, wiec usunalem wszystkie pliki z nim zwiazane w paru probach 1. Narobiłeś głupot tymi skryptami. Nie wolno sobie brać z innych tematów, w skryptach są ścieżki konkretnego systemu, a podpatrywanie bez świadomości działań równa się szkody. Używanie bez logiki (powtarzanie w kółko linii już przetworzonych, obiektów już nieistniejących). Wywaliłeś też prawidłowe pliki Java i FailSafe (zabezpieczenie przed kradzieżą: KLIK): ========== FILES ==========C:\Windows\System32\javaws.exe moved successfully.C:\Windows\System32\java.exe moved successfully. ========== FILES ==========C:\Program Files\Common Files\Java\Java Update\jusched.exe moved successfully.C:\Program Files\Phoenix Technologies Ltd\FailSafe\FailSafeLauncher.exe moved successfully. Java jest używana tylko jako motor uruchomieniowy pliku JAR. Java będzie do reinstalacji, bo ją załatwiłeś, ale i tak byłoby to tu prowadzone (nieświeża dziurawa wersja). Natomiast wpis FailSafe musi zostać odtworzony. 2. Infekcji zasadniczej nie wyczyściłeś do końca. To była całość: O4 - HKCU..\Run: [Oracle Java] C:\windows\System32\javaw.exe (Oracle Corporation) > tylko wpis w rejestrze, ale plik jest plikiem Java, tu po prostu nie widać pełnej linii komend i co wykonuje tak naprawdę konsola Java [2013/01/31 20:08:31 | 000,809,111 | ---- | M] () -- C:\Users\eugenia\AppData\Roaming\java_u.jar[2013/01/31 20:07:16 | 001,335,014 | ---- | M] () -- C:\Users\eugenia\AppData\Roaming\sqlite.jar Do przeprowadzenia następujące działania: 1. Odwróć szkody w zakresie aplikacji FailSafe. Z kwarantanny C:\_OTL wyciągnij skasowany plik FailSafeLauncher.exe i wstaw na poprzednie miejsce (C:\Program Files\Phoenix Technologies Ltd\FailSafe). Następnie otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "fsi"="\"C:\\Program Files\\Phoenix Technologies Ltd\\FailSafe\\FailSafeLauncher.exe\"" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Przez Panel sterowania odinstaluj: adware Vuze Remote Toolbar, pozostałość po antywirusie Ad-Aware Browsing Protection, wątpliwy skaner SpyHunter oraz starą Java 7 Update 7. Otwórz Firefox i w Dodatkach odmontuj Lavasoft Search Plugin. Scrackowanej instalki SpyHunter też się pozbądź i zapomnij o tej aplikacji. 3. Są tu szczątki sterowników McAfee i Ad-ware. Wejdź w Tryb awaryjny i zastosuj te narzędzia: McAfee Consumer Products Removal tool, VClean, spfclean. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\eugenia\AppData\Roaming\sqlite.jar C:\windows\System32\drivers\PCTSD.sys C:\Program Files\Common Files\PC Tools C:\ProgramData\PC Tools C:\ProgramData\684ED493C7AAAC060000684E6C4CB35E :OTL IE - HKCU\..\SearchScopes\{5AA7D584-A00A-467D-A74B-C74387EE4916}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091" O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
wheeljack Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 wszystko zrobilem według zaleceń, tylko MCPR nie chciał wyczyścic w trybie awaryjnym mówiąc, że nie mam dostępu więc uruchomiłem go jako administrator normalnie i odinstalowało wszystko. Załączam logi i mam pytanie. Czy napewno ten wirus był z tej strony ? gdyż plik jawaw był utworzony już 30 września. Czy komputer jest już bezpieczny i śmiało mogę się logować ? z góry dzięki za odp pozdrawiam OTL nowy .Txt OTL skrypt.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Czy napewno ten wirus był z tej strony ? gdyż plik jawaw był utworzony już 30 września. Nie wiem czy z tej strony, choć tak się nasuwa, ale mówię: nie sugeruj się plikiem jawaw, to plik Java a nie infekcji. Cytuję ponownie co mówiłam: Java jest używana tylko jako motor uruchomieniowy pliku JAR. (...) O4 - HKCU..\Run: [Oracle Java] C:\windows\System32\javaw.exe (Oracle Corporation) > tylko wpis w rejestrze, ale plik jest plikiem Java, tu po prostu nie widać pełnej linii komend i co wykonuje tak naprawdę konsola Java Zadania wykonane. Przejdź dalej: 1. Drobne korekty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found. [2013/01/05 20:28:33 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Roaming\LavasoftStatistics [2013/01/05 20:13:05 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\Downloaded Installations [2013/01/05 19:51:17 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group DRV - [2013/01/31 20:19:11 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\gfibto.sys -- (gfibto) DRV - [2009/04/09 06:23:02 | 000,130,424 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\Mpfp.sys -- (MPFP) Klik w Wykonaj skrypt. 2. Log z Security Check sugeruje, że w Centrum zabezpieczeń pozostały martwe dane po Ad-aware. Instrukcje usuwania takich danych: KLIK. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Wykonaj dla pewności pełny skan w posiadanym Malwarebytes. Jeśli nic nie wykryje: 6. Dla bezpieczeństwa zmień hasła logowania w serwisach. 7. Na koniec aktualizacje: KLIK. Obecnie w systemie notowane wersje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"HOMESTUDENTR" = Microsoft Office Home and Student 2007"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)"Opera 12.11.1661" = Opera 12.11 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\3.0.40624.0\npctrl.dll ( Microsoft Corporation) Tzn. odinstaluj stare wersje Adobe i Silverlight i (o ile potrzebne) zastąp najnowszymi, zaktualizuj Firefoxa i Operę, zainstaluj SP1 dla Windows 7 oraz SP3 dla Office 2007. . Odnośnik do komentarza
wheeljack Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 zrobiłem wszystko oprócz pkt 2, gdyż wpisując w cmd te komendy znajduje tylko windows defender i nic więcej. mogę już bezpiecznie korzystać z komputera? skan wykonany w pkt 5 nic nie znalazł Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Jeśli Security Check był wykonany przed odinstalowaniem Ad-aware, możliwe że stare dane i tego nie ma. Wszystko zrobione, więc tak. . Odnośnik do komentarza
wheeljack Opublikowano 3 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2013 Witam ponownie. Chcialbym tylko napisac ze dziekuje za pomoc jednak nie byla ona skuteczna. Po wykonaniu wszystkich czynnosci zmienilem wszelkie dane do kont emaili itd. I tak dzień później gdy pojechałem do pracy zostałem okradziony w grze online. Jak widać programy te nie są skuteczne i tylko format może uchronić.. pozdrawiam Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2013 Zgłoś Udostępnij Opublikowano 3 Lutego 2013 A czy zmieniłeś hasła do kont gier? Keylogger był w systemie i już pobrał dane o kontach, jeśli któregoś hasła nie zmieniono po czyszczeniu, konto było gotowe "do przejęcia", a system nie ma już znaczenia i format przed tym nie uchroni. . Odnośnik do komentarza
wheeljack Opublikowano 4 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2013 tak zmienialem i przed czyszczeniem na innym komputerze i po czyszczeniu na tym jeszcze raz dla pewnosci wiec poprostu to jakis "ostry" keyllogger. Poczytalem troche i pisza, ze sa takie keyloggery ktore ingeruja tylko w dana gre wiec dlatego moze nie byl przez antywirus otl itd uwazany za keylogger. nie wiem ale i tak dzieki za probe pomocy pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi