Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Malware ze strony www, powodujące blue screen

nitek

Przez nitek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

nitek

nitek

Opublikowano
Opublikowano

witam,

 

to mój pierwszy post u was na forum, więc przy okazji witam wszystkich!

 

wczoraj wchodząc na jedną ze stron (adresu nie jestem w stanie podać, gdyż miałem otwartych ponad 20 kart), w trayu pojawiła mi się jakaś aplikacja krzycząca, że cały komputer jest zainfekowany, że mozilla firefox ma keylogera, który wykrada moje hasła i inne podobne komunikaty. cały program wyglądał jak oprogramowanie antywirusowe. gdy tylko to się pojawiło, odłączyłem kompa od interentu i nic nie klikałem w tych wyskakujących okienkach. ctrl+schift+c nie działało, z informacją, że taskmgr.exe jest zainfekowany. podobnie nie dało uruchomić się services.exe.

zrobiłem shutdown kompa i uruchomiłem go ponownie. po uruchomieniu zauważyłem, że na dysku C, pojawił się plik o nazwie "fsqwr.bmp" (w załączniku przekonwertowany do png), w którym jest screenshot bluescreena - jego data zgadza się z całą awarią.

wyczyściłem wszystkie katalogi temp, uruchomiłem NODa32, który usunął dwa problemy, potem uruchomiłem ComboFix.

Na koniec wykonałem 3 zalecane przez was raporty.

Prośba o sprawdzenie, czy udało mi się wszystkiego pozbyć z kompa, czy też coś jeszcze zostało? Z góry dzięki! :)

 

Oto raport z security check (pozostałe w załączniku):

 

 

Results of screen317's Security Check version 0.99.12

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

ESET NOD32 Antivirus

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 20

Out of date Java installed!

Flash Player Out of Date!

Adobe Flash Player 10.2.153.1

Adobe Reader 7.0.5

Out of date Adobe Reader installed!

Mozilla Firefox (x86 pl..)

Mozilla Thunderbird (3.1.4) Thunderbird Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

Extras.Txt

OTL.Txt

gmer.txt

ComboFix.txt

post-2228-0-27028300-1306665140_thumb.png

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie podałeś co usuwał NOD32. ComboFix poradził sobie likwidując losowy pliki EXE tej infekcji. W logach z OTL i GMER nie widzę żadnych znaków infekcji (poza tym plikiem BMP z "Bsodem").

 

1. Czyli usuń ten plik:

 

[2011-05-28 14:01:46 | 001,228,854 | ---- | M] () -- C:\fsqwr.bmp

2. Odinstaluj ComboFix w prawidłowy sposób, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej polecenie:

 

"c:\documents and settings\hp\Moje dokumenty\Downloads\ComboFix.exe" /uninstall

 

3. Software do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05ADEEC8-BD58-43D9-A9E3-1F53B0DA117A}" = Opera 10.51
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{AC76BA86-7AD7-1033-7B44-A70500000002}" = Adobe Reader 7.0.5
"FBDBServer_1_5_is1" = Firebird 1.5.5
"FileZilla Client" = FileZilla Client 3.4.0
"Mozilla Thunderbird (3.1.4)" = Mozilla Thunderbird (3.1.4)

Szczegóły aktualizacyjne w tym temacie: INSTRUKCJE. Należy podkreślić, że Adobe Reader jest tu w wersji z luką zwiększającą podatność na infekcje z iframe.

 

 

 

.

Odnośnik do komentarza
nitek

nitek

Opublikowano
  • Autor
Opublikowano

dziękuję za informacje.

 

już mowię, czym zajął się NOD:

 

1. C:\Documents and Settings\hp\Ustawienia lokalne\Temporary Internet Files\Content.IE5\ZJ47CP6N\XvidSetup[1].exe - odmiana wirusa Win32/Adware.HotBar.H aplikacja - wyleczony przez usunięcie - poddany kwarantannie [1]

2. C:\my\programs\revelation\Revelation.exe - odmiana wirusa Win32/PSWTool.SnadBoy.B potencjalnie niebezpieczna aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania

3. C:\my\programs\revelation\Revelation.exe - odmiana wirusa Win32/PSWTool.SnadBoy.B potencjalnie niebezpieczna aplikacja - usunięty - poddany kwarantannie

 

Liczba znalezionych zagrożeń: 2

Liczba wyleczonych obiektów: 2

Uwagi:

[1] Obiekt został usunięty, ponieważ zawierał wyłącznie kod wirusa.

 

wszystkie aktualizacje oczywiście zaraz wykonam :)

dzięki!

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Te dwa wyniki to nie infekcja:

 

2. C:\my\programs\revelation\Revelation.exe - odmiana wirusa Win32/PSWTool.SnadBoy.B potencjalnie niebezpieczna aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania
3. C:\my\programs\revelation\Revelation.exe - odmiana wirusa Win32/PSWTool.SnadBoy.B potencjalnie niebezpieczna aplikacja - usunięty - poddany kwarantannie

Ten program do wyciągania haseł jest chyba notowany we wszystkich skanerach jako "niepożądany". Tylko dlatego, że jego rolą jest podgląd haseł.

Edytowane przez picasso
29.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...