halu Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Witam, otóz mam taki problem, właściciel internetu od którego idzie mi kabel i z routera wi fi na 5 laptopów, dostał maila od swojego providera że któryś z komputerów jest zarażony wirusem z grupy Botnet Citadel(nie wiem czy któreś z tych 5 czy jakieś urządzenie u gościa w domu, jego) i stanowi to niebezpieczeństwo, wyczytałem w necie ze jest to grupa zainfekowanych kompów służących do kradzierzy pieniedzy z kont bankowych. Mamy wi fi z routera na 5 laptopów w jednym jest MSIL injector ECS a w drugim win32 adware reszta jest czysta, wirusy wykrył mi eset online i poddał kwarantannie. Ani jedno ani drugie nie jest chyba wirusem o którym mowią w mailu od firmy o zarazeniu któregoś z kompów przez wirusa z rodziny botnet. Myślę że nie ma to znaczenia ale przebywam w Holandii, i ten provider do rozwiązania problemu chce odłączyć internet, co jest chore jak dla mnie, na początku przyjąłem myślenie że może być to mail informacyjny ostrzegawczy, ale pisze tam jak byk że jakieś urządzenie korzystające z tego łącza jest zarażone, pojęcia nie mam co teraz robić, czy któryś z w/w (MSLI injector ECS,win32 adware) może być przyczyną problemu ? przepraszam że tak chaotycznie ale piszę na szybkości - z góry dzięki za pomoc. Załączam logi z mojego laptopa laptopa na którym jest MSIL injector ECS OTL http://www.wklej.org/id/1447354/Extras http://www.wklej.org/id/1447355/ FRST http://www.wklej.org/id/1447449/ Addition http://www.wklej.org/id/1447451/ fixlog http://www.wklej.org/id/1447453/ Odnośnik do komentarza
halu Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Jestem w trakcie robienia GMER, zaraz umieszcze logi, napisałem szybciej bo zależy mi na odp. Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Tak jest, pokazany tu w logach system jest zainfekowany trojanem MSIL/Injector.CPM. Trojan ten blokuje oproramowanie zabezpieczające, wyłącza Harmonogram zadań Windows oraz resetuje uprawnienia różnych plików i folderów (to jest najtrudniejsza partia w usuwaniu, bo może być zresetowane wiele ścieżek, a logi nie adresują detekcji tego rodzaju). Skaner ESET zdeaktywował infekcję, ale nie jest ona wcale dobrze wyczyszczona, ostała się m.in. blokada skanerów, nie wątpię też że są w systemie inne wymieniane problemy. Ponadto w logu są ślady adware. Ukończ skan GMER i wdróż wstępne działania: 1. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f HKLM-x32\...\Run: [Winlogon] => C:\Users\user\AppData\Roaming\winlogon.exe HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Run: [Winlogon] => C:\Users\user\AppData\Roaming\winlogon.exe HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Winlogon: [shell] explorer.exe,"C:\Users\user\AppData\Roaming\winlogon.exe" AppInit_DLLs: C:\Program Files => C:\Program Files [0 2014-08-20] () AppInit_DLLs-x32: C:\Program Files => C:\Program Files [0 2014-08-20] () IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=58&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&q={searchTerms}&SSPV= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=58&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&q={searchTerms}&SSPV= CHR HomePage: hxxp://www.trovi.com/?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=55&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&SSPV= CHR StartupUrls: "hxxp://www.trovi.com/?gd=&ctid=CT3314958&octid=EB_ORIGINAL_CTID&ISID=MF96F3262-D612-4751-863A-AD0BD60C2F0D&SearchSource=55&CUI=&UM=5&UP=SP7AD324F7-C4D2-461F-9172-D04736224FAF&SSPV=" FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e0dks6s1.default\searchplugins\trovi-search.xml C:\Users\user\AppData\Roaming\msconfig.ini C:\Windows\SysWOW64\Windows System EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść adware z Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extutil i Managera Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Trovi search. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i ów GMER. , Odnośnik do komentarza
halu Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 fixlog po wykonaniu pkt 1 http://www.wklej.org/id/1447547/ GMER http://www.wklej.org/id/1447548/ zaraz ogarne google chrome, czyli to jednak ten trojan ma zwiazek z informacja od providera o botnet citadel? dobrze rozumiem ? FRST (bez zrobienia chrome jeszcze) http://www.wklej.org/id/1447562/ Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 halu prosiłam o log z FRST wykonany po modyfikacji Google Chrome, log ma pokazać czy poprawnie ją przeprowadziłeś. A tak to dwa razy log FRST produkowany... czyli to jednak ten trojan ma zwiazek z informacja od providera o botnet citadel? dobrze rozumiem ? Jeśli to jedyny zainfekowany komputer w sieci, to tak. Ale i tak mam zamiar poprosić o raporty z wszystkich pozostałych laptopów. . Odnośnik do komentarza
halu Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Przepraszam, z tego wszystkiego nawet nie pomyślałem logicznie, FRST po ogarnięciu chrom'a http://www.wklej.org/id/1447574/ w rozszerzeniach nie było extutil managera wchodzę narzędzia->rozszerzenia, jeżeli to źle to przepraszam, nie jestem dobry w te klocki, resztę też zrobiłem Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Wymagane jeszcze poprawki. W pierwszym skrypcie za późno poprawiłam literówkę w ostatniej komendzie czyszczenia plików tymczasowych i przetworzyłeś z błędem (tzn. komenda się nie wykonała). Natomiast te dziadostwa adware są nadal w rozszerzeniach Google Chrome, a skoro ich nie widzisz, to możliwe iż to odpadki. 1. W Google widzę także to do ręcznej korekty: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres trovi.com, przestaw na "Otwórz stronę nowej karty" - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com 2. Otwórz Notatnik i wklej w nim: CHR Extension: (Extutil) - C:\Users\user\AppData\Local\Temp\D7ADFCCA-EE7E-442C-9999-C4D14FEF360B [2014-06-25] CHR Extension: (Managera) - C:\Users\user\AppData\Local\Temp\38fdaae5-8e0e-493c-88ec-e05c3be06e42 [2014-06-25] EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
halu Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 1. Wykonane 2. Wykonane fixlog http://www.wklej.org/id/1447579/ FRST http://www.wklej.org/id/1447583/ Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Wszystko wykonane. 1. Odinstaluj stary Adobe Flash Player 10 ActiveX (wtyczka dla IE). 2. Usuń używane narzędzia z C:\Users\user\Desktop\frst. Popraw narzędziem DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. I dostarcz pełne komplety logów z pozostałych laptopów, dla pewności, że tu obrabiany delikwent był jedynym naprawdę zainfekowanym. . Odnośnik do komentarza
halu Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 1. Wykonane 2. DelFix http://www.wklej.org/id/1447992/ 3. Wykonane TFC też użyć/zrobić? logi z reszty laptopów postaram się wrzucić najszybciej jak to możliwe ale troszkę może zająć, dziś wyjazd na wieczór jutro praca. Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 TFC też użyć/zrobić? Nie ma potrzeby, choć program możesz sobie pobrać do użytku własnego. Akcja czyszczenia Tempów już została tu wykonana: komenda EmptyTemp: w skrypcie FRST. . Odnośnik do komentarza
halu Opublikowano 31 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 Przepraszam że tak długo, ale mnie nie było, oto logi z drugiego laptopa (ten na którym antyvirus wykrył win32 adware) OTL i Extras http://www.wklej.org/id/1453866/ http://www.wklej.org/id/1453867/ FRST/Shortcut/Addition http://www.wklej.org/id/1453869/ http://www.wklej.org/id/1453870/ http://www.wklej.org/id/1453871/ GMER http://www.wklej.org/id/1453873/ Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 Nie widzę tu infekcji, zwłaszcza tej "MSIL" Widać resztki śmieci, więc: 1. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt 2. Otwórz Notatnik i wklej w nim: C:\Users\wangzhisong ShortcutWithArgument: C:\Users\ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1391967997&from=tugs&uid=HitachiXHTS543232L9A300_081003FB0440LEH7Y7HAX ShortcutWithArgument: C:\Users\ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1391967997&from=tugs&uid=HitachiXHTS543232L9A300_081003FB0440LEH7Y7HAX InternetURL: C:\Users\ja\Downloads\MSO 2010\WIĘCEJ PROGRAMÓW.url -> hxxp://adf.ly/kPnvX InternetURL: C:\Users\ja\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url -> hxxp://www.voga360.com Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\Program Files\Bench C:\Windows\system32\sru S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S2 PnkBstrB; C:\Windows\system32\PnkBstrB.exe [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391967997&from=tugs&uid=HitachiXHTS543232L9A300_081003FB0440LEH7Y7HAX&q={searchTerms} HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe C:\Program Files\Mobogenie EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log. jessi Odnośnik do komentarza
halu Opublikowano 31 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 Raport z cleanera http://www.wklej.org/id/1453921/ fix log http://www.wklej.org/id/1453930/ Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL). Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. przez SHIFT+DEL usuń pozostały folder C:\FRST Być może potrzebne bedą logi z pozostałych komputerów. jessi Odnośnik do komentarza
picasso Opublikowano 1 Września 2014 Zgłoś Udostępnij Opublikowano 1 Września 2014 jessika Usunęłaś poprawny folder systemowy C:\Windows\system32\sru należny do Windows 8: halu Jak sądzę ostatnia instrukcja (niestety czyszczenie kwarantanny) już wykonana. Sprawdź czy po restarcie system zregenerował ten folder. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się