Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Niezidentyfikowany wirus, internet explorer zalewa mnie chińskimi stronami

hygy

Przez hygy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

hygy

hygy

Opublikowano
Opublikowano

Witam. Od tygodnia mam problem. Korzystam z firefoxa, mam xp proffesional service pack 3, noda 32 (który nic mi nie wykrywa. Objawy są takie, że pracując na kompie wyskakuje mi okienko internet explorera i wyrzuca chińskie znaczki. Zaczęło się tak:

 

chiskiestronki.th.jpg

 

Później wyrzucał takie komunikaty:

 

takikomunikat.th.jpg dzisiajg.th.jpg

 

Oczywiście tworzył różne procesy i spowalnia te prawidłowe. Części się pozbyłem, dzisiaj się nawróciły takie pod inną nazwą:

 

morda.th.jpg

 

Te foldery xhguge-1.exe i xhsb-1.exe sam utworzyłem żeby się nie kopiowały te pliki (tak pierwsze procesy się nazywały tego wirusa). Teraz ujawnia się pod różnymi nazwami np. xhguge-6.exe albo gg.exe gg-1.exe. Cały czas się nawraca. Jak się tego pozbyć? sprawdzałem już i OTL i kasowałem później te procesy. Gmer nic nie wykrył. Ad-aware wykrył 2 cookie i zaraz po skończeniu scana wyrzuciło znowu te procesy. (chociaż przez 4 dni od utworzenia folderów xhguge-1.exe i xhsb-1.exe było spokój) nie wiem w jaki sposób to się odnawia. Pomocy. Jesteście ostatnią moją deską ratunku.

 

log OTL:

http://www.wklejto.pl/70042

extras OTL:

http://www.wklejto.pl/70043

 

a przed chwilą nod się obudził:

 

trojanf.th.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Zastrzeżenia do logów:

- Logi robione na cudzych ustawieniach z innego forum. Proszę je robić wg naszych ustawień. Jeśli miałby być tu prowadzony skan niedomyślny to całkiem inny. Już się dużo zmieniło, a to co widzę to stary model robienia skanu.

- Nie wklejaj logów na tym dziwacznym wklejto. Jeśli już to wklej.org. Pisałam o tym w ogłoszeniu.

- Nie została w ogóle zdjęta emulacja wirtuali:

 

DRV - [2009-09-09 09:53:26 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Która jest podstawą do tego:

 

Gmer nic nie wykrył.

 

Ale co to znaczy "nic nie wykrył"? Jeśli log jest niepusty musi być pokazany niezależnie od tego co Tobie się wydaje, bo nie wszystkie aktywności rootkit są malowane przez GMER na czerwono. Czyli sprecyzuj bardzo dokładnie co widzisz po skanie pełnym. Okno nie jest u Ciebie na pewno puste, bo to nie jest możliwe przy aktywnych softach, które widzę.

 

 

 

*******************************************************

 

Na chwilę obecną odnoszę się do zawartości OTL. Są dwie usługi zamontowane i jakoś nie mówisz, byś je ruszał. Wyrzucam też wszystkie pliki zdefiniowane przeze mnie jako malware oraz utworzone przez Ciebie foldery (to nie blokuje infekcji / generują się pliki pod nowymi nazwami).

 

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej skrypt:

 

:OTL
SRV - [2010-06-14 16:15:30 | 000,339,084 | ---- | M] () [Auto | Running] -- C:\WINDOWS\safeset.exe -- (mn)
SRV - [2010-06-08 08:41:06 | 010,596,383 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\System32\helpsvcs.url -- (helpsvcs) 
[2010-06-14 16:24:34 | 000,054,272 | ---- | M] () -- C:\WINDOWS\Down(0).exe
[2010-06-14 16:21:32 | 000,653,901 | ---- | M] () -- C:\WINDOWS\System32\gg.exe
[2010-06-14 16:15:30 | 000,339,084 | ---- | M] () -- C:\WINDOWS\safeset.exe
[2010-06-14 16:05:54 | 000,653,901 | ---- | M] () -- C:\WINDOWS\System32\gg-1.exe
[2010-06-08 08:41:06 | 010,596,383 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\helpsvcs.url
[2010-06-08 08:40:58 | 000,065,536 | ---- | M] () -- C:\WINDOWS\System32\SysS.xml
[2010-06-10 22:53:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xhsb-1.exe
[2010-06-10 18:38:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xhguge-1.exe
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces czyszczenia przez Run Fix. Po restarcie będzie z tego log.

 

2. Pokazujesz: log z usuwania OTL oraz nowy zestaw OTL (robiony wg naszej konfiguracji) oraz GMER (skan pełny a nie preskan).

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wg wykazów, zadanie zostało wykonane i nie widzę, by coś tu powróciło. To implikuje przejście do czyszczenia kopii przygotowującego czyste pole dla innego skanera.

 

1. W OTL wywołaj funkcję CleanUp. To ma usunąć jego kwarantannę i samo narzędzie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware (masz zainstalowany, czy na pewno sprawny + najnowsza wersja?) i zgłoś się tu z wynikami. Przy okazji: Ad-aware do deinstalacji, to jakaś stara wersja z datowaniem na 2008.

 

 

 

 

.

Odnośnik do komentarza
hygy

hygy

Opublikowano
  • Autor
Opublikowano

log malwarebytes:

http://wklej.org/id/350654/

 

Wcześniej on też nic nie wykrywał to ad-aware wykrył 2 ciasteczka. Swoją drogą dobrze że tu trafiłem. Z polecenia znajomego. Chciałbym jeszcze się dowiedzieć czy to było coś groźnego, gdyż nikt nie potrafił mi udzielić na to odpowiedzi. Czy teraz mogę czuć się bezpiecznie? Czy zrobić jeszcze jakiś scan? A te foldery przywracania systemu wystarczy wyłączyć? Może powinienem je wyłączyć prze3d usuwaniem tych procesów? Skąd to ogólnie się wzięło na komputerze, skoro używam firefoxa i korzystam tylko ze znanych portali. NOD chyba nie spełnia swojej roli?

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Log nic nie wykazał więc temat można uznać za zakończony.

 

Chciałbym jeszcze się dowiedzieć czy to było coś groźnego, gdyż nikt nie potrafił mi udzielić na to odpowiedzi. Czy teraz mogę czuć się bezpiecznie? Czy zrobić jeszcze jakiś scan?

 

Zwykła infekcja, ale nic bardzo powaznego. Skany sobie możesz robić kiedy chcesz, ale w tej sytuacji akurat już nie widzę takiej potrzeby.

 

A te foldery przywracania systemu wystarczy wyłączyć? Może powinienem je wyłączyć prze3d usuwaniem tych procesów?

 

Dostałeś linka i tam wszystko zostało napisane. Przywracanie systemu powinno się wyzerować po pomyślnym usunięciu infekcji ponieważ tam znajdują się często kopie wirusów. Nie ma znaczenia kiedy to wyłączysz. Jeśli chcesz możesz tą opcje zostawić wyłączoną na stałe jeśli nie zależy ci na tworzeniu punktów przywracania.

 

Skąd to ogólnie się wzięło na komputerze, skoro używam firefoxa i korzystam tylko ze znanych portali. NOD chyba nie spełnia swojej roli?

 

Skąd to się wzięło to ci nie odpowiem, ale oczywistym jest, że z sieci. NOD spełnia swoją rolę, ale nic nie jest idealne i każdy program puszcza infekcje. Temat zamykam.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...