Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zainfekowany komputer

daniels

Przez daniels
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

daniels

daniels

Opublikowano
Opublikowano

Witam. Znów zwracam się z pomocą do ekspertów.

Ostatnio znalazłam na swojej stronie wirusa. Oczywiście rozpoczęłam skanowanie komputera i Malwarebytes' Anti-Malware znalazł zainfekowany folder i dwa pliki.

Problem jest, ale szczerze boję się sama go rozwiązywać bez pomocy fachowców...

 

 

SKANY:

Malwarebytes' Anti-Malware 1.50.1.1100

http://wklejto.pl/98341

 

 

GMER

http://wklejto.pl/98353

 

 

OTL

http://www.wklejto.pl/98342

http://www.wklejto.pl/98343 (extras)

 

 

Zrobiłam pełne skanowanie z OTL, nie te szybkie.

Nie wiem czy to ma związek z tym, ale zauważyłam, że ostatnio gdy chcę włożyć do komputera jakąkolwiek (nawet nową) kartę pamięci z telefonu/aparatu, to traci mi sie obraz i komputer się zawiesza. USB natomiast działa bez zażutów

 

 

Chciałam dodac, ze tera zna dodatek zaczyna mi się zacinać muzyka gdy procesor chodzi szybciej:(

 

Sorry za pisanie psota pod postem, ale proszę, zainteresujcie się moim problemem, bo przez niego cała moja praca stoi bo jak zaloguję się na jakiejś z swoich stron to będę mieć wirusa znów:(

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

daniels odpowiadamy w takim czasie w jakim potrafimy i gdy jesteśmy obecni.

 

Log z GMER robiony w złym środowisku, przy czynnej emulacji SPTD (KLIK):

 

DRV - [2009-07-08 13:50:42 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

W logach nie widać znaków infekcji czynnej. Wyniki z MBAM trudno ocenić, to zresztą wygląda na pliki o charakterze niewykonywalnym i jeśli pochodzą z infekcji, to są to pliki poboczne a nie główne body. Ale widzę że nie podjęłaś tu żadnej akcji ("No action taken") i plik wykrywany przez MBAM nadal jest na dysku:

 

[2005-12-24 01:02:54 | 000,211,704 | -H-- | C] () -- C:\Users\Kate s\AppData\Roaming\cglogs.dat

 

Co najwyżej drobnostki można tu skorygować, usuwając resztki po paskach narzędziowych Ask i DAEMON. To rzecz jasna nie ma nic wspólnego z infekcją.

 

1. W spisie zainstalowanych programów widzę pozycję DAEMON Tools Toolbar. Spróbuj to odinstalować (choć możliwe, że to tak nędzny odpadek iż się nie da).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-03-07 15:44:53 | 000,002,567 | ---- | M] () -- C:\Users\Kate s\AppData\Roaming\Mozilla\Firefox\Profiles\rf1p5gm4.default\searchplugins\askcom.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKCU..\Run: [AdobeBridge]  File not found
O4 - HKCU..\Run: [EA Core]  File not found
O4 - HKCU..\Run: [RMF FM Miasto Muzyki]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij proces opcją Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log.

 

3. Przedstaw log z usuwania i nowy log z OTL wyprodukowany opcją Skanuj (Extras mi niepotrzebne po raz drugi).

 

 

Ostatnio znalazłam na swojej stronie wirusa. Oczywiście rozpoczęłam skanowanie komputera i Malwarebytes' Anti-Malware znalazł zainfekowany folder i dwa pliki.

 

Powyższe wyniki z MBAM raczej nie mogą mieć tu związku. Jeśli infekcję znalazłaś na swojej stroie (w jaki sposób / czym / oraz w czym), to jest to sprawa strony serwerowaj i tego nie jestem w stanie "wyleczyć". Należy:

- Ręcznie usunąć infekcję z kodu strony.

- Pozmieniać wszystkie hasła dostępowe (FTP etc.) i nie korzystać z ich autozapamiętywania w klientach FTP

- Zaktualizować klienta FTP, u Ciebie jest FileZilla Client 3.3.5.1, a najnowsza wersja to FileZilla Client 3.5.0.

- Zainteresować się jak szczelny jest soft na którym postawiono stronę. Strona może zostać zainfekowana ponownie, z winy oprogramowania strony serwerowej.

 

 

 

.

Odnośnik do komentarza
daniels

daniels

Opublikowano
  • Autor
Opublikowano

Picasso, jesteś wielka. Na lepszego eksperta trafić nie mogłam:)

Już biorę się do roboty, i w editcie zaraz wrzucę logi.

Z GMERem spróbuję jeszcze raz, ale nie wiem cyz isę uda, bo ostatnie dwie próby włączenia go przy innych ustawieniach skończyły się tym samym co włożenie karty pamięci.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie zapomnij w MBAM usunąć tego co znalazł. Nie odpowiedziałaś mi na pytanie: "Jeśli infekcję znalazłaś na swojej stroie (w jaki sposób / czym / oraz w czym)". Czyli co odnotowało infekcję na stronie i w jakim jej składniku była ona obecna.

 

 

Z GMERem spróbuję jeszcze raz, ale nie wiem cyz isę uda, bo ostatnie dwie próby włączenia go przy innych ustawieniach skończyły się tym samym co włożenie karty pamięci.

 

To nie jest potrzebne, bo w GMER nie widzę nic szkodliwego. Tylko komentowałam, że środowisko złe i na przyszłość należy dokładnie wykonać instrukcje z ogłoszenia.

 

 

 

.

Odnośnik do komentarza
daniels

daniels

Opublikowano
  • Autor
Opublikowano

A tak, zapomniałam - infekcja na stornie nie wiem w jaki sposób się znalazła. Możliwe, że dostała się z komputera drugiego admina, który mógł miec hasła zapisane w kliencie ftp:/

Usunęłam to co znalazł MBAM, zrobiłam ponowny skan z niego oraz z OTL po wykonaniu skryptu.

 

OTL

http://wklejto.pl/98451

 

MBAM (wykazął, że jest czysto ale i tak dodaję)

http://wklejto.pl/98452

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czyli rozumiem, że infekcja została usunięta ze strony? Możesz jeszcze przeskanować swoją stronę tymi skanerami: Unmask Parasites + Wepawet.

 

A poza tym, tu na Twoim komputerze w OTL nadal widzę poniższy plik, ale skan OTL został wykonany przed skanem MBAM, więc zakładam, że OTL pokazuje to co już nie istnieje.

 

[2005-12-24 01:02:54 | 000,211,704 | -H-- | C] () -- C:\Users\Kate s\AppData\Roaming\cglogs.dat

 

Zakończ sprawę:

 

1. Jakoś ominęłam ten pusty wpis:

 

O4 - Startup: C:\Users\Kate s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Multiply AutoUploader.lnk =  File not found

Wejdź do widzianego tu folderu i ręcznie skasuj martwy skrót.

 

2. W OTL uruchom Sprzątanie.

 

3. Aktualizacje:

 

Internet Explorer (Version = 7.0.6002.18005)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 24
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{977CCCA9-B420-405A-9A4A-2A610F28D10F}" = Opera 11.10
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"FileZilla Client" = FileZilla Client 3.3.5.1
"Mozilla Firefox (3.5.17)" = Mozilla Firefox (3.5.17)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

- (Obowiązkowo) O Filezilli już mówiłam..... Zaktualizuj wszystkie przeglądarki, Java i Adobe Reader: INSTRUKCJE.

- (Opcjonalnie) Nowe Gadu-Gadu można zastąpić lżejszym programem, bez reklam. W temacie Darmowe komunikatory popatrz na opisy WTW i Mirandy. Skype też wypada zaktualizować....

 

4. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...