Raptor Opublikowano 28 Lutego 2016 Zgłoś Udostępnij Opublikowano 28 Lutego 2016 (edytowane) Witam Wszystkich, Piszę niniejszego posta, ponieważ potrzebuję pomocy przy usunięciu infekcji, które dziś przypadkiem wykryłem. Wykonywałem małe czyszczenie systemu za pomocą programu CCleaner i w zakładce Autostart zauważyłem dziwne wpisy: Tok-cirrhatus-3444 Bron-spizaetus Próba ich usunięcia za pomocą CClenera nie przyniosła efektu. Wpisy pojawiały się na nowo. Po sprawdzeniu w sieci czym są te programy okazało się, że to złośliwe oprogramowanie. W takich przypadkach zawsze z pomocą przychodził mi Combofix, więc go uruchomiłem. Niestety już w trakcie uruchamiania Combofixa laptop został zresetowany. Próba uruchomienia z pendriva pod zmienioną nazwą również zakończyła się reseten laptopa. Zacząłem więc czytać jak usunąć to oprogramowanie i trafiłem na stronę: hxxp://www.bleepingcomputer.com, na której znalazłem oprogramowanie zdolne do usunięcia wirusów. Przy próbie ściągnięcia jednak laptop po raz kolejny został zresetowany. Ponowna próba i kolejny reset. Cała sytuacja jest dla mnie zaskoczeniem, ponieważ laptop działa normalnie (może troszkę wolniej w niektórych sytuacjach). Swobodnie na nim pracuję, przeglądam internet. Reset następuje wyłącznie w momencie uruchomienia Combofixa i próbie uruchomienia innego oprogramowanie służącego do usuwania wirusów. Proszę o wsparcie w usunięciu tych wirusów. W załącznikach przesyłam logi z programu FRST. Niestety na chwilę obecną nie jestem w stanie przedstawić logów z Gmera, ponieważ przy uruchamianiu tego programu laptop przestaje pracować i wyskakuje "blue screen". Spróbuję jeszcze w jakiś sposób uruchomić Gmer i przesłać logi, ale piszę posta już w tym momencie, ponieważ widzę, iż problem jest poważny. Dodam jeszcze, że zarówno FRST jak i Gmer musiałem ściągnąć na innym komputerze i uruchomić z pendriva, ponieważ zainfekowany laptop był resetowany przy próbie ściągnięcia tych programów. EDIT: Udało mi się uruchomić GMER. Liczę na wsparcie użytkowników tego forum, ponieważ nie widzę na dzień dzisiejszy innego ratunku. Jeżeli ktoś zna ten typ wirusów to proszę dodatkowo o opis ich działania. Pozdrawiam Przemek Edytowane 23 Stycznia 2020 przez picasso Usuwam Załączniki. Nowsze logi w dalszym poście. //picasso Odnośnik do komentarza
Raptor Opublikowano 2 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 2 Marca 2016 (edytowane) Witam, Czy ktoś jest w stanie udzielić pomocy w moim przypadku? Usunąłem kilka starych, nieaktualnych i nieużywanych programów. Pozdrawiam Edytowane 23 Stycznia 2020 przez picasso Usuwam Załączniki. Nowsze logi w dalszym poście. //picasso Odnośnik do komentarza
Raptor Opublikowano 21 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2016 Sądząc po ilościach odpowiedzi w niniejszym temacie, to chyba ciężki temat zarzuciłem na forum. Na szczęście na priv dostałem jakiś czas temu od frantz12 instrukcje, która pomogła, za co dziękuję. Odnośnik do komentarza
Rucek Opublikowano 21 Marca 2016 Zgłoś Udostępnij Opublikowano 21 Marca 2016 Nie ma Picasso, która jest jedyną osobą upoważnioną do udzielania pomocy w tym dziale. Trzeba czekać, są duże zaległości. Odnośnik do komentarza
picasso Opublikowano 25 Marca 2016 Zgłoś Udostępnij Opublikowano 25 Marca 2016 Raptor, przeklej te instrukcje z PW do oceny (frantz12 nie jest autoryzowanym pomocnikiem) oraz dostarcz zestaw świeżych raportów FRST. Odnośnik do komentarza
Raptor Opublikowano 25 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2016 Poniżej przesyłam instrukcje. W załączniku nowe logi: Pokaż ukrytą zawartość Zacznij od wywalenia nieaktualnych programów: Adobe AIR Adobe Flash Player 15 Plugin Adobe Flash Player ActiveX Adobe Reader 9.1 - Polish e-Deklaracje Desktop Java 7 Update 75 Java™ 6 Update 2 Jeżeli potrzebujesz tych programów to zainstaluj najnowsze wersje... Do przeinstalowania również: Microsoft Visual C++ 2005 Redistributable Package. Sprawdź również wszystkie wtyczki przeglądarek pod kątem aktualności... No i wypadałoby zaktualizować Windowsa... chyba, że jest legalny inaczej... Uszkodzona usługa aktualizacji: [... S2 wuauserv; %systemroot%\system32\wuauserv.dll [X] ...] Natomiast jeżeli Windows jest legalny to zalecałbym naprawę usługi "wuauserv". Wklej do notatnika i zapisz jako fixlist.txt: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [Bron-Spizaetus] => C:\WINDOWS\ShellNew\RakyatKelaparan.exe [43319 2014-10-19] () HKLM\...\Winlogon: [Shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] () Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif [2014-10-19] () AlternateShell: cmd-brontok.exe HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Run: [Tok-Cirrhatus-3444] => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe [43319 2014-10-19] () HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-220523388-1220945662-839522115-500\...\Policies\Explorer: [NoFolderOptions] 1 S3 CiSvc; %SystemRoot%\system32\cisvc.exe [X] S2 ERSvc; %SystemRoot%\System32\ersvc.dll [X] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-220523388-1220945662-839522115-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-220523388-1220945662-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab 2015-08-30 21:50 - 2015-08-30 22:10 - 416425159 _____ () C:\Program Files\AlleBook_setup.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe 2016-02-16 20:59 - 2016-02-16 20:59 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 ____N () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe 2015-08-30 22:45 - 2015-11-13 11:00 - 0000170 _____ () C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-01-16 19:47 - 2014-10-19 15:41 - 00043319 ____N () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 00043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 00043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" CMD: netsh advfirewall reset EmptyTemp: Na koniec przeskanuj komputer MBAM oraz ADW Cleaner. Programy pobierz z fixitpc. FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Addition.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Marca 2016 Zgłoś Udostępnij Opublikowano 25 Marca 2016 W większości instrukcje poprawne. Ale mam uwagi do podanego skryptu: - Komenda "netsh advfirewall reset" nie miała prawa się wykonać, gdyż aplikuje się tylko dla systemów Vista i nowszych. Na XP należy użyć "netsh firewall reset". - Wszystkie wpisy grupy Policies\Explorer to był "naturalny" składnik tego konkretnego XP. Posiadasz niestandardowy Windows instalowany z modyfikowanej płyty zrobionej za pomocą nLite. Te wszystkie uszkodzenia to też skutek wycinania komponentów: Pokaż ukrytą zawartość Cytat Uszkodzona usługa aktualizacji: [... S2 wuauserv; %systemroot%\system32\wuauserv.dll [X] ...] Rozwiń ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ] R1 Tcpip; C:\WINDOWS\System32\DRIVERS\tcpip.sys [360576 2007-07-28] (Microsoft Corporation) [brak podpisu cyfrowego] U5 Messenger; C:\WINDOWS\system32\svchost.exe [14336 2004-08-04] (Microsoft Corporation) S3 CiSvc; %SystemRoot%\system32\cisvc.exe [X] S2 ERSvc; %SystemRoot%\System32\ersvc.dll [X] S2 wuauserv; %systemroot%\system32\wuauserv.dll [X] C:\WINDOWS\explorer.exe [2007-07-13 23:42] - [2007-07-13 23:42] - 0974848 ____A (Microsoft Corporation) 32F67215C57DF2C401BF93B7EE65987F C:\WINDOWS\system32\User32.dll [2007-07-10 14:06] - [2007-07-10 14:06] - 0642560 ____A (Microsoft Corporation) CE594E18FE0D0AF804F1F3694921CE62 Obecnie raporty nie wykazują, by robak Brontok był aktywny (tylko dwa foldery w Danych aplikacji widoczne i to dokasujemy potem), ale: 1. Brontok tworzy w predefiniowanych folderach multum plików-falsyfikatów powtarzając nazwę folderu w którym są. Przypadkowe uruchomienie takiego pliku przywraca infekcję. Log FRST jest bardzo selektywny i na jego podstawie nie da się stwierdzić gdzie takie pliki są. Jest niezbędny kompleksowy skan całego Windows. Został podany skan Malwarebytes, czy on został wykonany w trybie pełnym? 2. System nadal w krytycznym stanie aktualizacji: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 7 (Domyślna przeglądarka: IE) Zainstaluj ręcznie conajmniej SP3 + IE8 posiłkując się linkami w przyklejonym: KLIK. Z tym że to i tak za mało, brak wielu innych aktualizacji wydanych po i tu będzie problem w związku z tym, że w XP tym wycięto system automatycznych aktualizacji. Prawdopodobnie jest naruszone więcej niż tylko usługa i jej odbudowa to będzie za mało. Odnośnik do komentarza
Raptor Opublikowano 25 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2016 Ad 1: Został wykonany pełny scan za pomocą Malwarebytes (który zresztą jest uruchomiony i działa stale w tle). Program wykrył i usunął kilka infekcji. Od tego czasu nie zauważyłem, żeby działo się coś niepokojącego. Ad 2: Nie korzystam z IE. Jedyną przeglądarką z jakiej korzystam jest Firefox. Czy w takim przypadku również jest konieczne aktualizowanie IE? SP3 zainstaluję na weekendzie oraz przejdę przez procedurę dezynfekcji. Nie wiem czy dobrze rozumiem Twoją wypowiedź, ale czy obecny stan systemu oznacza konieczność przeinstalowania systemu? Mam również dodatkowe pytanie o zasadę działania wirusów, które mnie dopadły. Z historii wynikało, że miałem je od kilku miesięcy. Nie wiem co w tym okresie mogły zrobić, jakie miały zadanie. Czy ktoś jest w stanie odpowiedzieć na to pytanie? Dodam jeszcze (choć nie wiem czy to istotne), że od jakiegoś czasu mam problemy z aktualizacjami wtyczek do Firefoxa. Chodzi m. in. o wszystkie produkty Adobe, których albo nie mogę ściągnąć ze strony producenta, albo nie uruchamia się instalator. Nie wiem w czym jest problem, wersja przeglądarki aktualizowana na bieżąco. Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 (edytowane) Cytat Nie wiem czy dobrze rozumiem Twoją wypowiedź, ale czy obecny stan systemu oznacza konieczność przeinstalowania systemu? Rozwiń Twoja instalacja pochodzi z modyfikowanej płyty XP i nie zaktualizujesz systemu w taki sposób jak normalnego XP. Nawet jeśli uzupełnisz podstawowe instalacje SP3 i IE8, to i tak będzie brakować ogromnej ilości łat. Taki nieaktualizowany system to bomba zegarowa. Tu to w ogóle trzeba myśleć o całkowitym porzuceniu XP. W tym samym linku który podałam jest rozwinięcie tego tematu: KLIK. Z tym, że widać w raporcie, że komputer ma słabe parametry i zapewne nie spełnia warunków dla nowszego systemu. Cytat Nie korzystam z IE. Jedyną przeglądarką z jakiej korzystam jest Firefox. Czy w takim przypadku również jest konieczne aktualizowanie IE? SP3 zainstaluję na weekendzie oraz przejdę przez procedurę dezynfekcji. Rozwiń To nie ma znaczenia, że przeglądarki nie używasz, i tak jej silnik jest utylizowany przez określone programy. W linku, który podałam jest to wyraźnie zaznaczone. Cytat Dodam jeszcze (choć nie wiem czy to istotne), że od jakiegoś czasu mam problemy z aktualizacjami wtyczek do Firefoxa. Chodzi m. in. o wszystkie produkty Adobe, których albo nie mogę ściągnąć ze strony producenta, albo nie uruchamia się instalator. Nie wiem w czym jest problem, wersja przeglądarki aktualizowana na bieżąco. Rozwiń Być może to problem braku pakietu SP3. Obecnie wiele aplikacji nie działa na XP bez SP3. Edytowane 23 Stycznia 2020 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi