Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Resztki po dość poważnej infekcji mail.ru

zombi1555

Przez zombi1555
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

zombi1555

zombi1555

Opublikowano
Opublikowano (edytowane)

Witam tutaj pozdrawiam od razu administratorów, modelatorów jak i użytkowników.

 

 

 

 

Wprowadzenie :

Zaczęło się to od tego że chciałem pobrać sobie pięknego nowego androida.....
Niestety pobrany plik nie wyglądał obiecująco i zamiast go zostawić jak każda normalna osoba, kliknąłem raz (a uszkodzona mysz dokończyła dzieła)

 

Odrazy wyłączyła się zapora systemowa (a po minucie) comodo wywalił błąd krytyczny.... Zdziwiło mnie to więc odpaliłem go na nowo ale pokazywało tylko że to skrót bez odnośnika.
Odpaliłem zatem malvarebyte ale on też nie odpowiadał(błąd błąd a potem skrót do nieznanego pliku). Po 15 min od kliknięcia pc zamulił i bum pierwszy [BLUE SCREEN] (Po restarcie system nie wstał). Komputerowi brakowało plików [win 32] więc poszedł z płyty i odzyskał sprawność.
Po odpaleniu samego systemu wywaliło miliardy reklam a przeglądarki na zmianę odpalały się aż do zawieszenia pc[bLUE SCREEN] (I znowu brak tych samych plików).
Więc poszedł tryb awaryjny z obsługą sieci instalacja malvarebyte i Spyhunter. Infekcja wraca za każdym razem gdy przeglądarka wejdzie na stronę .ru pobiera się plik 10 mb (a przy prędkości 6mb/s to szybko) I zabawa zaczyna się na nowo..........


Skutki :

-Brak internetu
-Uszkodzony comodo
-Uszkodzony malvarebyte
-Każda przeglądarka ma przekierowania
-Cztery razy stanął system (BlueScreen) (Powody to : najczęściej problemy sterowników i informacja o przeładowaniu pamięci ram.)
-Nie mogę aktywować systemu z licencji (Napisałam dzisiaj do Microsoftu w tej sprawie)
-Komputer od czasu zainfekowania się strasznie długo startuje i zamyka się oraz co jakiś czas tak jak by stawał na 10 sec i pracował dalej (tzn przyśpiesza wiatrak procesora wszystko staje na 5-10 sec i wraca do normy)
-Każda gra muli a praca na programach do obróbki animacji 3D stała się nie możliwa (Przeinstaluję system jeżeli bd mogła przechować dane, informacje jak i wygląd Opery)
-Praca na przeglądarce powoduje pobieranie i infekcję na nowo. (Aktualnie komputer jest odłączony od sieci domowej a serwer sformatowany i przeinstalowany)
-Nie można otworzyć nic co zaczyna się na Windows, raportów blescreen jak i dziennika zdarzeń

 

 

Co zrobiono (Tryb Awaryjny):

-Malvarebyte wykrył trojana i pozbył się go na trybie awaryjnym.
-Pobrałem Spy hunter który nic nie wykazał niestety (Lecz wersja Crackowana 12H na cele osobiste. Więc nie ma co się dziwić Program odinstalowany)
-Reinstalacja mozilli nie pomogła
-System przywrócony z płyty niestety pokazywał brak licencji (zastosowałam aktualnie aktywator a czykolwiek napisałam do Microsoftu jak mogę przywrócić licencję bo aktualnej nie czyta.)
-Reinstalacja sterowników dźwiękowego jak i graficznego
-Przywrócenie poprawnego startu systemu jak i działanie systemu

 

 

Na czym mi zależy i w czym właściwie mam problem:


-Odzyskanie kontroli bez opcji reinstalacji opery
-Odzyskanie opcji windows defender itp.
-Odblokowanie mojej licencji (Z czym że czekam również na odpowiedz Microsoft'u w tej sprawie)
-Czy klucz produktu mógł zostać jakoś zablokowany przez jakieś oprogramowanie ponieważ również nie działa żadna usługa typu Windows Update defender itp. I czy będę musiał kupować nową licencję na Windows :/

 

-Jaki program polecacie do ochrony przed atakami tego typu.

 

-Czy da się skopiować jeżeli tak to gdzie (aktualne ustawienia przeglądarki razem ze skinami z Stylish.)

 

 

Jeżeli czegoś bd brakować proszę o poinformowanie. Naturalnie po udzieleniu pomocy tak jak zawsze poleci duża dotacja pomagaliście mi nie raz i wierzę że pomożecie i tym razem.

 

 

 

Nie mogłem wrzucić txt z malvarebyte nwm dlaczego więc ręcznie wpiszę te dane :

 

Pierwsze skanowanie:

Klucze rejestru: 12
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\TYPELIB\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\INTERFACE\{2170BCBA-E35C-42A5-9CDB-691334845FA4}, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\INTERFACE\{23B8D468-7358-408C-B1AC-8BAE2A610C41}, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}\INPROCSERVER32, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\IESearchPlugin.MailRuBHO.1, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{8E8F97CD-60B5-456F-A201-73065652D099}, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\IESearchPlugin.MailRuBHO, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
PUP.Optional.SysNet, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{81778A6B-00B2-4091-BE66-CEA72B1EB702}, Usunięcie-po-restarcie, [bff0b82da1f946f029e04349ff03e917],
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{BAAD6C72-2D22-4885-A358-88CECA7DB2BE}, Usunięcie-po-restarcie, [c7e8a73efaa0b77f4b5a5757ed13b64a],
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\fupdate, Usunięcie-po-restarcie, [d7d8ebfae3b7e254795808a6a25e847c],
PUP.Optional.SysNet, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\sysnet, Usunięcie-po-restarcie, [e6c94b9aa8f250e6fc0ea4e835cd6898],

 

Wartości rejestru: 2
PUP.Optional.SysNet, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{81778A6B-00B2-4091-BE66-CEA72B1EB702}|Path, \sysnet, Usunięcie-po-restarcie, [bff0b82da1f946f029e04349ff03e917]
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{BAAD6C72-2D22-4885-A358-88CECA7DB2BE}|Path, \fupdate, Usunięcie-po-restarcie, [c7e8a73efaa0b77f4b5a5757ed13b64a]

 

Dane rejestru: 0
(Nie wykryto zagrożeń)

 

Foldery: 1
PUP.Optional.SysNet, C:\Users\XxX\AppData\Local\sysnet, Przeniesiono do kwarantanny, [1c93a144f6a455e118efcac26f939070],

 

Pliki: 6
PUP.Optional.RussAd, C:\Users\XxX\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll, Przeniesiono do kwarantanny, [05aa964fdbbf62d49bd83876a65a9967],
Adware.LoadMoney, C:\Users\XxX\AppData\Local\Temp\lC8fIiqvae1W.exe, Przeniesiono do kwarantanny, [e8c79e47d3c753e370a05bc41ce436ca],
Adware.LoadMoney, C:\Users\XxX\AppData\Local\fupdate\fupdate.exe, Przeniesiono do kwarantanny, [911e9b4a8b0f3cfab65a30efea16f40c],
Trojan.Agent, C:\Windows\System32\Tasks\fupdate, Przeniesiono do kwarantanny, [0ba4865f396103337063723c9d637090],
PUP.Optional.SysNet, C:\Users\XxX\AppData\Local\sysnet\sysnet.exe, Przeniesiono do kwarantanny, [1c93a144f6a455e118efcac26f939070],
PUP.Optional.SysNet, C:\Windows\System32\Tasks\sysnet, Przeniesiono do kwarantanny, [783744a1603a2b0b3a2163842ad9e21e],

 

Sektory fizyczne:15
(Wykryto zagrożenia integralności systemu, odmowa dostęu)

 

(end)


Drugie skanowanie :

Klucze rejestru: 1
PUP.Optional.StartPage, HKU\S-1-5-21-1974380397-4061749477-1577027054-1000\SOFTWARE\START PAGE, Przeniesiono do kwarantanny, [aa05db0adcbec86e6dbd5a21e81bcd33],

 

Wartości rejestru: 2
PUP.Optional.StartPage.Generic, HKU\S-1-5-21-1974380397-4061749477-1577027054-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|onjazzlxgt, explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=B4B0331A9A080D3898059E997F9C7190&utm_d=20161210",Przeniesionodo kwarantanny, [a807a4416e2cac8ae767a4e7b64c956b]
PUP.Optional.StartPage, HKU\S-1-5-21-1974380397-4061749477-1577027054-1000\SOFTWARE\START PAGE|Start Page, http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=B4B0331A9A080D3898059E997F9C7190&utm_d=20161210, Przeniesiono do kwarantanny, [aa05db0adcbec86e6dbd5a21e81bcd33]

 

Dane rejestru: 0
(Nie wykryto zagrożeń)

 

Foldery: 0
(Nie wykryto zagrożeń)

 

Pliki: 0
(Nie wykryto zagrożeń)

 

Sektory fizyczne:15
(Wykryto zagrożenia integralności systemu, odmowa dostęu)

(end)


skany z Gmer :
Skanik.txt
Skany z FRST :
Addition.txt
FRST.txt
Shortcut.txt

 

Moje dokonania:
AdwCleanerC0.txt

 

Lecz nadal występuje problem Opery :/

 

 

 

EDIT: A więc są postępy tzn :
Pozbyłem się mail.ru z firefoxa jak i z explorera. Reinstalacja Opery nic nie dała to siedzi gdzieś głębiej i wyjść nie chce :/

 

EDIT2: Temat do zamknięcia poradziłem sobie sam w skanie z OTL i FRST wszystko było widać jak na dłoni pozdrawiam.

 

Użyłem do dezynfekcji :

 

-Malvarebyte ( i ich produkty)
-AdvCleaner
-Comodo
-Avasta
-OTL
-Frst
-Combofix
-GMER
I płytę z systemem.

 

Znalazłem sposób na znalezienie infekcji w przeglądarce..... Użyłem notatnika C++ z opcją skanowania plików dla znalezienia frazy mail.ru
W ten sposób wyedytowałem pliki przeglądarki i pozbyłem się szkodliwych llinijek genu ;)

 

Stanowczo nie polecam takiej infekcji....

Edytowane przez Rucek
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...