dkdnt Opublikowano 5 Stycznia 2011 Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 System XP/32 Witam wszystkich, jestem pierwszy raz na tym forum:) W sieci znalazłem informacje, że tutaj znajdę profesjonalną pomoc na temat wirusów i innych robali... Ok tydzień temu zapora zgłosiła mi kilka systematycznych ataków na mój komputer, z kilku adresów IP jednej podsieci. Zablokowałem ten zbiór adresów ip, próby ataków z tych adresów powtarzały się jeszcze przez jakieś 4 dni 2 dni temu zauważyłem że komputer zaczął strasznie się zamulać, przy włączonym samym firefoxie szalał proces explorer.exe nic w tym czasie nie pobierałem itp. Dodatkowo zaczęły pojawiac się reklamy "...celldorado..." podczas otwierania okien ff i opery. zeskanowałem wszystkie dyski+pamięć antywirusem: znalazł i usunął: odmiana wirusa Win32/TrojanDownloader.Agent.QBH koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] odmiana wirusa Win32/TrojanDownloader.Agent.QBH koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] odmiana wirusa Win32/TrojanClicker.Agent.NJP koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] odmiana wirusa Win32/TrojanClicker.Agent.NJP koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] keygen_v.32.108.9.p.exe - odmiana wirusa Win32/Olmarik.AJN koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] Keygen.exe - prawdopodobnie odmiana wirusa Win32/Agent.JBRABKL koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1] Win32/Packed.Themida.D koń trojański - był częścią usuniętego obiektu prawdopodobnie odmiana wirusa Win32/Hacktool.VB.JLLZQIB koń trojański - był częścią usuniętego obiektu reklamy nadal się pojawiały Poprawiłem to jeszcze TFC.exe (na jakimś forum urzyto tego programu w celu usunięcia reklam celldorado) komputer przyspieszył do swojej standardowej prędkości ale raz podczas otwierania opery wyskoczyła mi ta reklama "cell..." puźniej już reklamy się nie pojawiały ale chciałbym się upewnić czy aby na pewno jest wszystko ok Logi z OTL: OTL.Txt Extras.Txt GMER: gmer.txt Ps. Co mogę jeszcze zrobić żeby, zabezpieczyć się przed tego typu zagrożeniami posiadam firewolla, codziennie aktualizuję bazy danych wirusów wszystko co pobiorę skanuje antywirem a mimo to złapałem jakieś świństwo Czy z wyżej podanych logów potraficie odczytać czy gdzieś mam jeszcze jakieś dziury itp? Z góry dziękuję za pomoc i pozdrawiam dkdnt Odnośnik do komentarza
Landuss Opublikowano 5 Stycznia 2011 Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 1. Wykonaj skan narzędziem Kaspersky TDSSKiller. Jeśli program coś znajdzie ustaw opcję Skip i wklej wynikowy raport. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\RadProbe.sys -- (RadProbe) FF - prefs.js..extensions.enabledItems: toolbar@alexa.com:2.01 [2010-12-23 01:49:20 | 000,000,000 | ---D | M] ("Alexa Toolbar") -- C:\Documents and Settings\DKD'nt\Dane aplikacji\Mozilla\Firefox\Profiles\010z1iyl.default\extensions\toolbar@alexa.com O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer. Odnośnik do komentarza
dkdnt Opublikowano 5 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 Dzięki za odpowiedź log z Kaspersky TDSSKiller: TDSSKiller.2.4.12.0_05.01.2011_14.21.52_log.txt Po restarcie zwiesił się podczas startu, zrestartowałem na twardo i dostałem taki log: OTLscrypt01052011_144357.log.txt Dodam, że w tym okresie miałem 2 takie przypadki, że zatrzymywał się podczas startu xp, ale niewykluczone, że dzieje się tak, ponieważ ten komputer ma już kilka ładnych lat ok 6-8 OTL: OTL.Txt Extras.Txt GMER: gmer.txt Odnośnik do komentarza
Landuss Opublikowano 5 Stycznia 2011 Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 Według spodziewań jest rootkit w MBR (to pewnie przez to te zatrzymania systemu): 2011/01/05 14:22:08.0875 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0) 2011/01/05 14:22:08.0875 ================================================================================ 2011/01/05 14:22:08.0875 Scan finished 2011/01/05 14:22:08.0875 ================================================================================ 2011/01/05 14:22:08.0906 Detected object count: 1 2011/01/05 14:34:39.0484 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Skip Czyli tym razem w Kasperskym daj opcję leczenia czyli Cure Po tej akcji wklejasz nowy log z Gmer i przejdziemy do czynności końcowych. Odnośnik do komentarza
dkdnt Opublikowano 5 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 Według spodziewań jest rootkit w MBR (to pewnie przez to te zatrzymania systemu): ... Czyli tym razem w Kasperskym daj opcję leczenia czyli Cure wyleczyłem kasperskim, system ładnie się zrestartował i włączyłem gmer'a tylko zaznaczyłem wszystkie opcje i bardzo długo to trwa. Teraz jest w połowie skanowania to pewnie potrwa to jeszcze z 2-3godziny :/.(teraz pisze z telefonu) A mam pytanie skoro miałem rootkita i kaylogera to znaczy ze dla bezpieczenstwa powinienem pozmieniac wszystkie ważne hasła do serwisów, banku i serwerów? czy nie ma potrzeby? I jak się przed takim zagrożeniem zabezpieczyć skoro antywirus tego nie wykrywa? Po tej akcji wklejasz nowy log z Gmer i przejdziemy do czynności końcowych. Log Gmer: gmer.txt W trakcie tych wszystkich operacji usunęło mi toolbar alexy...uważasz że działa on szkodliwie na bezpieczeństwo? pozdrawiam dkdnt Odnośnik do komentarza
Landuss Opublikowano 5 Stycznia 2011 Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 Gmer już nie wykazuje infekcji i wygląda, że już jest dobrze. Przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Obowiązkowo zaktualizuj oprogramowanie (nawet jeśli nie korzystasz): Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły w tym temacie: INSTRUKCJE. W trakcie tych wszystkich operacji usunęło mi toolbar alexy...uważasz że działa on szkodliwie na bezpieczeństwo? Celowo usunąłem skryptem alexe bo to zawsze był toolbar wątpliwej reputacji o ile dobrze pamiętam. A mam pytanie skoro miałem rootkita i kaylogera to znaczy ze dla bezpieczenstwa powinienem pozmieniac wszystkie ważne hasła do serwisów, banku i serwerów? czy nie ma potrzeby? Tak pozmieniaj sobie wszystkie hasła bo ta infekcja charakteryzuje się ich wykradaniem. I jak się przed takim zagrożeniem zabezpieczyć skoro antywirus tego nie wykrywa? Chyba nie ma dostatniego zabezpieczenia. Po prostu trzeba być ostrożnym w sieci. Odnośnik do komentarza
dkdnt Opublikowano 5 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2011 Zabieram się za sprzątanie OTL a przywracanie mam całkiem wyłączone to chyba niema sensu go włączać i wyłączac a tak w ogóle to Wielkie Dzięki za pomoc i wielki Szcun dla Ciebie i tego forum. jeszcze raz dzięki i pozdrawiam dkdnt Odnośnik do komentarza
Rekomendowane odpowiedzi