karczo Opublikowano 14 Maja 2013 Zgłoś Udostępnij Opublikowano 14 Maja 2013 Witam. Jako, że mam dość niewielką wiedzę w dziedzinie walki z infekcjami, proszę o pomoc w usunięciu rootkita, z kilku komputerów który jak na razie zauważyłem, zmienił mi stronę startową przeglądarki.Sprawa jest o tyle upierdliwa, że zamiast google.pl, nawet po ręcznym wpisaniu adresu, pojawia mi się aftermarket.pl, z informacją, że domena google jest do sprzedania Dodatkowo zauważyłem, że nie mogę wejść w „Opcje internetowe” w panelu sterowania na jednym z komputerów, których jest w sumie 10 szt w tym serwer z Win Server 2008 R2 i jeden z Windows Vista. Proszę przedewszystkim o informację jak się zabezpieczyć przed takim czymś na przyszłośc oraz w jaki sposób się dostało do sieci. Zauważyłem, że GMER na kompie z Vistą na dzieńdobry na czerwono wyświetla infekcję typu rootkit. Czy mógł to być pierwszy zainfekowany komputer, a reszta po sieci? Kazy z kompów jest chroniony Avastem. Z góry dziękuję za ewentualną pomoc. Marcin ALERG Extras.TxtPobieranie informacji ... ALERG GMER.TxtPobieranie informacji ... ALERG OTL.TxtPobieranie informacji ... DOROTA Extras.TxtPobieranie informacji ... DOROTA GMER.TxtPobieranie informacji ... DOROTA OTL.TxtPobieranie informacji ... KAD Extras.TxtPobieranie informacji ... KAD GMER.TxtPobieranie informacji ... KAD OTL.TxtPobieranie informacji ... KART Extras.TxtPobieranie informacji ... KART GMER.TxtPobieranie informacji ... KART OTL.TxtPobieranie informacji ... KSI Extras.TxtPobieranie informacji ... KSI GMER.TxtPobieranie informacji ... KSI OTL.TxtPobieranie informacji ... LGP Extras.TxtPobieranie informacji ... LGP GMER.TxtPobieranie informacji ... LGP OTL.TxtPobieranie informacji ... Marcin.Extras.TxtPobieranie informacji ... Marcin.GMER.TxtPobieranie informacji ... Marcin.OTL.TxtPobieranie informacji ... RTG Extras.TxtPobieranie informacji ... RTG GMER.TxtPobieranie informacji ... RTG OTL.TxtPobieranie informacji ... SERWER Extras.TxtPobieranie informacji ... SERWER GMER.TxtPobieranie informacji ... SERWER OTL.TxtPobieranie informacji ... VISTA Extras.TxtPobieranie informacji ... VISTA GMER.TxtPobieranie informacji ... VISTA OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Natomiast ja w żadnym raporcie nie widzę oznak infekcji. Uwagi, ale nie mają żadnego związku ze zgłaszanym problemem, masz w spoilerze: Pokaż ukrytą zawartość KART System jest zaśmiecony adware. Akcje dla tego komputera: 1. Na początek poprawne deinstalacje śmieci adware: - Przez Dodaj/Usuń programy odinstaluj adware Browser Manager. - Google Chrome: ma ogólnie uszkodzone preferencje. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną (aktualnie wyszukiwarka pusta). W Rozszerzeniach odinstaluj Settings Protector. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Następnie uruchom AdwCleaner i zastosuj Usuń. LGP Też obecne adware, choć mniejszej skali. 1. Tak jak powyżej zaczynasz od deinstalacji: - Przez Dodaj/Usuń programy odinstaluj Ask Toolbar, Ask Toolbar Updater - W Firefox w Dodatkach odinstaluj Ask Toolbar 2. Po tym uruchom AdwCleaner i zastosuj Usuń. 3. Dodatkowo z innej beczki, jest zainstalowany Symantec, ale pozostał sterownik Avast: DRV - [2012-10-31 00:51:56 | 000,020,624 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aswKbd.sys -- (aswKbd) Sterownik nie może być usunięty od ręki, bo padnie klawiatura / touchpad, które są filtrowane przez ten sterownik. By się tego pozbyć: Start > Uruchom > regedit i wejdź do klucza klasy klawiatur: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass. Dopiero po tym możesz usunąć sterownik. Start > Uruchom > cmd i wklep komendy: sc stop aswKbd sc delete aswKbd del /q C:\WINDOWS\System32\drivers\aswKbd.sys rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software" MARCIN I tu drobne szczątki adware Babylon, Delta oraz WinToFlash Suggestor w Firefox. W Firefox wywołaj funkcję resetu. Po tym przejedź AdwCleaner. Cytat Zauważyłem, że GMER na kompie z Vistą na dzieńdobry na czerwono wyświetla infekcję typu rootkit. Podany tu log z GMER (VISTA GMER.Txt) nie przedstawia nic niepokojącego. Pokaż obrazek ze skanu, który wpis GMER zamalowuje na czerwono. Cytat Jako, że mam dość niewielką wiedzę w dziedzinie walki z infekcjami, proszę o pomoc w usunięciu rootkita, z kilku komputerów który jak na razie zauważyłem, zmienił mi stronę startową przeglądarki.Sprawa jest o tyle upierdliwa, że zamiast google.pl, nawet po ręcznym wpisaniu adresu, pojawia mi się aftermarket.pl, z informacją, że domena google jest do sprzedania To równie dobrze może być usterka w DNS. I jeśli problem ma więcej niż jeden komp, to tym bardziej to się nasuwa jako logiczna przyczyna. Znane mi rootkity, które ew. mogą tworzyć efekt Google 404, nie przerzucają się między systemami, to nie jest replikacja typu wirusowego działająca w łańcuszku. Temat pewnie przeniosę do działu Sieci, tylko czekam na objaśnienie czerwonego odczytu w GMER. Cytat Dodatkowo zauważyłem, że nie mogę wejść w „Opcje internetowe” w panelu sterowania na jednym z komputerów, których jest w sumie 10 szt w tym serwer z Win Server 2008 R2 i jeden z Windows Vista. Na którym komputerze z tu podanych i na czym polega niemożność wejścia (błąd / brak reakcji)? . Odnośnik do komentarza
karczo Opublikowano 15 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2013 Przesyłam screenshoot z komputera z Vistą z widocznym czerwonym ostrzeżeniem oraz widok strony startowej aftermarket. Problem z otwieraniem Panel Sterowania >Opcje internetowe występował na komputerze oznaczonym jako Marcin (WinXP). Zarówno dwuklik jak i prawy przycisk myszy > Otwórz - Nic nie dają. Jest tylko takie mignięcie okienka i znika. Z zaobserwowanych ciekawostek: podłączyłem jeszcze swojego laptopa do sieci, w której występuje problem na chwilę i na tym komputerze również władowała się strona startowa aftermarket.pl. Postanowiłem sprawdzić czy w innej sieci też tak będzie i połączyłem się z internetem za pomocą telefonu (jako modem) i tu również strona startowa aftermarket… Tak już zostało. Przesyłam logi z dodatkowego kompoutera (system jest do reinstalacji bo chodzi jak stary żuk). XPS Extras.TxtPobieranie informacji ... XPS OTL.TxtPobieranie informacji ... XPS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Ów "rootkit" (wiszący ukryty proces bez wyasygnowanych jawnych atrybutów) był tu kilka razy na forum, śladów infekcji nie było i rzeczywisty rootkit nie został zdiagnozowany, a zawsze łącznikiem była określona cecha systemu: system Vista (tylko) bez aktualizacji SP. Przykład, od góry do dołu taki odczyt: KLIK (notabene: nie ma tam problemu przekierowań Google, prawda?). Po aktualizacji do najwyższego z możliwych SP odczyt z tajemniczym ukrytym procesem zanikał. U Ciebie fatalny stan aktualizacyjny i wszystko to będzie do nadrobienia (KLIK): Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) Dla świętego spokoju sprawdź co widzi Kaspersky TDSSKiller (chodzi o wyniki inne niż "Unsigned" = brak podpisu cyfrowego). Cytat Problem z otwieraniem Panel Sterowania >Opcje internetowe występował na komputerze oznaczonym jako Marcin (WinXP). Zarówno dwuklik jak i prawy przycisk myszy > Otwórz - Nic nie dają. Jest tylko takie mignięcie okienka i znika. Efekt sugeruje uszkodzony aplet opcji lub większy zakres naruszeń Internet Explorer. Wstępnie zastosuj się do tego wątku z reinstalacją IE8 (który jest obecnie w systemie Marcina): KB967896. Cytat Przesyłam logi z dodatkowego komputera (system jest do reinstalacji bo chodzi jak stary żuk). Tu mamy do deinstalacji adware Lollipop. Po tym popraw AdwCleaner. Cytat Z zaobserwowanych ciekawostek: podłączyłem jeszcze swojego laptopa do sieci, w której występuje problem na chwilę i na tym komputerze również władowała się strona startowa aftermarket.pl. Postanowiłem sprawdzić czy w innej sieci też tak będzie i połączyłem się z internetem za pomocą telefonu (jako modem) i tu również strona startowa aftermarket… Tak już zostało. Przesyłam logi z dodatkowego kompoutera (system jest do reinstalacji bo chodzi jak stary żuk). Definitywnie tu chodzi o ustawienia sieci (sugerowane przeze mnie ustawienia DNS / DHCP), bo każde urządzenie do niej wpięte dziedziczy to przekierowanie. Porzuć trop infekcji w obrębie konkretnego systemu, co najwyżej tu jest możliwa odgórna infekcja routera (hijack ustawień DHCP / DNS i to się rozwiązuje po prostu resetując te ustawienia w routerze). Przerzucam zgodnie z planem do działu Sieci. Zasady działu: KLIK.. Odnośnik do komentarza
karczo Opublikowano 20 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2013 Witam. Po dwóch dniach problem się sam rozwiązał. Przy okazji poprosiłem Orange (bo to ich usługa DSL) o sprawdzenie co i jak. Sam problem się rozwiązał po dwóch dniach, jednak profilaktycznie zresetowałem router i wprowadziłem wszystkie dane od nowa i działa bez problemu. Przy okazji porobiłem trochę porządków zgodnie z zaleceniami po logach GMER i OTS. Jako, że problemu już nie ma, temat do zamknięcia. Dziękuję po raz kolejny za pomoc i pozdrawiam. karczo Odnośnik do komentarza
Rekomendowane odpowiedzi