donass Opublikowano 25 Grudnia 2011 Zgłoś Udostępnij Opublikowano 25 Grudnia 2011 Witam, jak w temacie. Gdy próbuje włączyć obojętnie jaką stronę WWW, otwiera się zakładka w firefoxie z adresem MEDIASHIFTING.xxxxxxxxxxxx.COM (x- roznego typu wpisy) po czym po 2 sekundach przechodzi do google w tej samej zakładce. Dodatkowo w Mcaffe Wyrzuciło mi zaporę z automatu, p oręcznej próbiwe uruchomienia. ciągle wywala na wył. Centrum zabezpieczeń również nie ma. więc już znam powód dlaczego się Mcaffe wykrzacz( w usługach też CZ nie ma;/) walczyłem Combofixem(wiem że nie miałem), MalwareByte i TDSSKILLER i co znalazło usunelem , ale problem wciaz pozostaje. system Win 7 64bit Dzięki OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Grudnia 2011 Zgłoś Udostępnij Opublikowano 25 Grudnia 2011 walczyłem Combofixem(wiem że nie miałem), MalwareByte i TDSSKILLER i co znalazło usunelem W takim razie musisz zaprezentować log z ComboFix oraz z TDSSKiller gdyż musimy wiedzieć co tam zostało ewentualnie usunięte. Nie zawsze to co jest wykryte jest szkodliwe. Odnośnik do komentarza
donass Opublikowano 25 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 25 Grudnia 2011 W takim razie musisz zaprezentować log z ComboFix oraz z TDSSKiller gdyż musimy wiedzieć co tam zostało ewentualnie usunięte. Nie zawsze to co jest wykryte jest szkodliwe. TDSSKiller.2.6.25.0_25.12.2011_10.42.15_log.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 27 Grudnia 2011 Zgłoś Udostępnij Opublikowano 27 Grudnia 2011 Co to za "FIX.REG" stosowałeś? Podaj skąd i jaka zawartość. To co jest w TDSSKiller mam nadzieję, że nie usuwałeś .... Pliki punktowane skanerem są prawidłowymi plikami, tylko są oznaczone jako niesygnowane, co swoją drogą jest nienaturalne = tak dużo wyników, że można zwątpić czy problemem jest brak sygnatury czy coś co przeszkadza sygnatury sprawdzić (np. pad systemu kryptograficznego). Infekcję właściwą usuwał ComboFix, konkretnie: ZeroAccess. Na systemie 64-bit ta infekcja działa zupełnie inaczej niż w systemach 32-bit, dlatego narzędzia typu Kaspersky TDSSKiller czy ESET Sirefef Remover to nie tu (narzędzia dedykują 32-bitowy wariant infekcji). Przy okazji: HijackThis też nie tu, aplikacja w ogóle niezgodna z 64-bitami i przedstawia głupoty. Dodatkowo w Mcaffe Wyrzuciło mi zaporę z automatu, p oręcznej próbiwe uruchomienia. ciągle wywala na wył.Centrum zabezpieczeń również nie ma. więc już znam powód dlaczego się Mcaffe wykrzacz( w usługach też CZ nie ma;/) Twierdzisz, że Centrum zabezpieczeń jest skasowane. Wg wyciągu z Dziennika zdarzeń widać też, że poleciała cała konstrukcja Zapory systemu Windows (Podstawowy aparat filtrowania (BFE) + Zapora (MpsSvc) zostały skasowane). Error - 2011-12-25 06:08:56 | Computer Name = PC-Komputer | Source = Service Control Manager | ID = 7003Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującejusługi: BFE. Ta usługa może nie być zainstalowana. Error - 2011-12-25 10:06:48 | Computer Name = PC-Komputer | Source = Service Control Manager | ID = 7003Description = Usługa McAfee Personal Firewall Service zależy od następującej usługi:MpsSvc. Ta usługa może nie być zainstalowana. Usługi same się nie zrekonstruują i muszą być zaimportowane ich struktury do rejestru oraz odtworzone uprawnienia (system Windows 7 ma specjalne konta dostępowe). 1. Usunięcie folderów-szczątków po infekcji, wątpliwych zadań w harmonogramie (po dziwadłach Dll-Files.com Fixer + RegCure) oraz wpisów oznaczonych jako "puste". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-12-25 10:40:19 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\PonF4amH5W7E8R [2011-12-25 10:26:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\76871 [2011-12-25 10:25:38 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\FUUVVelIB [2011-12-25 10:25:34 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\brrzzPNNyxAuv2o [2011-12-25 10:25:32 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\s33oonGG4aH6sJ [2011-12-25 10:25:31 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\BgTZqqjYCwkIr [2011-12-25 10:25:26 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\eEEEL88gTZqhCwU [2011-12-25 10:25:25 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\u77ffRLL9gXqjCe [2011-06-18 16:16:55 | 000,000,292 | ---- | M] () -- C:\Windows\Tasks\RDReminder.job [2011-11-13 12:09:35 | 000,000,416 | ---- | M] () -- C:\Windows\Tasks\RegCure Program Check.job [2011-11-13 12:09:35 | 000,000,398 | ---- | M] () -- C:\Windows\Tasks\RegCure.job IE - HKU\S-1-5-21-946895887-3485042716-126150702-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55253 O2 - BHO: (QuickNet BHO) - {EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - C:\Program Files (x86)\RegTweaker\key.dll File not found O4 - Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_70904604.lnk = C:\Users\PC\AppData\Local\Temp\_uninst_70904604.bat () Klik w Wykonaj skrypt. 2. Rekonstrukcja usługi Centrum zabezpieczeń systemu Windows: KLIK. 3. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK. 4. Restart systemu i sprawdź czy usługi wróciły na miejsce. 5. Podaj nowe logi z OTL zrobione opcją Skanuj i opisz dokładnie co się dzieje w systemie. . Odnośnik do komentarza
donass Opublikowano 27 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2011 FIX-a miałem z tego postu: http://www.fixitpc.p...5653#entry45653 po restarcie.. usługi wrocily, lecz nie na długo.. przy ponownym restarcie juz znow zapora zamknieta i juz BRAK usług. TDSSKiller - wszystko nim usunąłem co się tylko dało z hukiem. Narzedzia SetACL nie rozumniem- możesz pomóc ? wypakowałem do C:/Windows z rozszezeniem .EXE bo w paczce jest jeszcze z .OCX i co dalej ? wkleiłem pierwszy zestaw do notatnika , zapisalem jako backup.txt i co dalej ? co z tą komendą ? SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\fix.txt ?? gdzie mam to wkleić ?? i co z kolejnymi zestawami ? ponadawac kolejne nazwy backup1.txt itd ? no i te komendy znów. Odnośnik do komentarza
picasso Opublikowano 27 Grudnia 2011 Zgłoś Udostępnij Opublikowano 27 Grudnia 2011 TDSSKiller - wszystko nim usunąłem co się tylko dało z hukiem. I huk tu może być = uszkodzenie systemu własną ręką. Nie mam jednak żadnej pewności co Ty tu zrobiłeś. Wyszukaj wszystkie logi z TDSSKiller na dysku i wstaw tu do porównania. po restarcie.. usługi wrocily, lecz nie na długo.. przy ponownym restarcie juz znow zapora zamknieta i juz BRAK usług. Nie wiem do czego to odnosisz. Do akcji przed moim postem czy po moim poście. Narzedzia SetACL nie rozumniem- możesz pomóc ? wypakowałem do C:/Windows z rozszezeniem .EXE bo w paczce jest jeszcze z .OCX i co dalej ? wkleiłem pierwszy zestaw do notatnika , zapisalem jako backup.txt i co dalej ?co z tą komendą ? Oczywiście, że mowa o SetACL.exe a nie OCX i to SetACL.exe z folderu x64 (kompilacja 64-bitowa). Co do reszty: stworzyłeś fix.txt (mam, nadzieję, że w nim wkleiłeś tylko to co jest ujęte szarym tłem), otwierasz cmd jako Administrator i wklejasz komendę numer 1. Gdy się wykona, modyfikujesz plik fix.txt wklejając w nim drugi zestaw i w cmd wklejasz drugą dopasowaną komendę. Akcja wykonana w sumie dwa razy. Plik cały czas nazywa się tak samo (przecież w komendach jest używana jedna i ta sama nazwa pliku), tylko jego zawartość ulega zmianie. . Odnośnik do komentarza
donass Opublikowano 27 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2011 po restarcie.. usługi wrocily, lecz nie na długo.. przy ponownym restarcie juz znow zapora zamknieta i juz BRAK usług.to było przed proszeniem jeszcze o pomoc. No między czasie się coraz bardziej krzaczy.. wyszedłem sobie na chwilę od kompa i po chwili przybywszy.. zobaczyłem mega duze screeny z wykrytymi wirusami przez jakieś dziadostwo typu USUŃ WIRUSY ale najpierw zapłać! to: Win 7 Security 2011 nie mogłem wogóle neta uruchomić wciąż wyskakiwały te okienka od razu więc uruchomiłem Combofixa (bo innych się nie dało) i usunął to: c:\users\PC\AppData\Local\ovd.exe c:\users\PC\AppData\Local\sfaxau.exe c:\users\PC\AppData\Local\Temp\{FFA82390-7E60-4762-B632-DAC0378FEB55}\ISBEW64.exe c:\windows\system32\java.exe i całe szczescie mogę Ci odpowiedzieć bo net się pojawił uff a innego na tę chwile dostepu do pc nie mam.. tak wiec wszystkie logi TDSKILLERA w zalacznikach nie dodaje jeszcze wyniku skanu OTL zrobie po restarcie gdy by znow neta nie bylo zameiszczam poki to co jest teraz EDIT: zapora w MC już działa lecz systemowa nadal nie w uslugach nadal niema Centrum Zabezpieczen i Defendera skanuje OTL .... Juz Logi w załączniku co do opisu , to oprocz tej nieznosnej zapory, i brak odpowiednich Usług dręczy kazdorazowe wlaczenie firefoxa i brak internetu pomaga dopiero odptaszkowanie w opcjach BEZ PROXY.. po wyalczeniu znow zmienia na proxy o IP 127.00.1, no i do tego stabilnosc systemu spadła nieźle ~~~~posty połączone~~~~ Witam, pomoże ktoś ? ~~~~posty połączone~~~~ Dlaczego usuwacie moje posty ? TDSSKiller.2.6.25.0_24.12.2011_15.02.00_log.txt TDSSKiller.2.6.25.0_24.12.2011_23.00.02_log.txt TDSSKiller.2.6.25.0_25.12.2011_00.34.36_log.txt TDSSKiller.2.6.25.0_25.12.2011_10.37.25_log.txt TDSSKiller.2.6.25.0_25.12.2011_10.41.23_log.txt TDSSKiller.2.6.25.0_25.12.2011_10.42.15_log.txt TDSSKiller.2.6.25.0_25.12.2011_11.17.37_log.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2012 Zgłoś Udostępnij Opublikowano 6 Stycznia 2012 (edytowane) Dlaczego usuwacie moje posty ? Nikt postów nie usuwa, zostały połączone, to normalna procedura w dziale (zapobiegająca X postów w serii). My widzimy kto nie otrzymał odpowiedzi i odpowiadamy gdy jesteśmy obecni / zdolni to wykonać. Były święta. Temat wbrew pozorom nie jest ukończony, mimo że kontynuowałeś na innym forum (i nic szczególnego tam się nie stało). Drobny komentarz, usuwano tam to: [2011-11-15 18:18:30 | 000,000,198 | ---- | M] () -- C:\Windows\Tasks\{74FAE564-F4E2-4B44-82D7-F08E929610F3}.job Przecież w logu z ComboFix były dane od czego to pochodzi, to (było) zadanie Skype a infekcja: Zawartość folderu 'Zaplanowane zadania'.2011-11-15 c:\windows\Tasks\{74FAE564-F4E2-4B44-82D7-F08E929610F3}.job- c:\program files (x86)\Skype\Phone\Skype.exe [2011-10-13 08:27] Na temat tutejszego TDSSKiller: widzę, że tu była także inna infekcja (nowy typ bootkita SST), a z raportów wynika, że poczyniłeś następujące szkody: 23:05:36.0330 4792 Detected object count: 323:05:36.0330 4792 Actual detected object count: 323:09:12.0792 4792 HKLM\SYSTEM\ControlSet001\services\MREMP50 - will be deleted on reboot23:09:13.0012 4792 HKLM\SYSTEM\ControlSet002\services\MREMP50 - will be deleted on reboot23:09:13.0053 4792 C:\PROGRA~2\COMMON~1\Motive\MREMP50.SYS - will be deleted on reboot23:09:13.0054 4792 MREMP50 ( UnsignedFile.Multi.Generic ) - User select action: Delete23:09:13.0070 4792 HKLM\SYSTEM\ControlSet001\services\MRESP50 - will be deleted on reboot23:09:13.0086 4792 HKLM\SYSTEM\ControlSet002\services\MRESP50 - will be deleted on reboot23:09:13.0088 4792 C:\PROGRA~2\COMMON~1\Motive\MRESP50.SYS - will be deleted on reboot23:09:13.0088 4792 MRESP50 ( UnsignedFile.Multi.Generic ) - User select action: Delete23:09:13.0093 4792 HKLM\SYSTEM\ControlSet001\services\stppp - will be deleted on reboot23:09:13.0146 4792 HKLM\SYSTEM\ControlSet002\services\stppp - will be deleted on reboot23:09:13.0147 4792 C:\Windows\system32\DRIVERS\stppp.sys - will be deleted on reboot23:09:13.0147 4792 stppp ( UnsignedFile.Multi.Generic ) - User select action: Delete00:28:03.0390 5568 Deinitialize success Wybrałeś na kasację sterowniki Thompson Speedttouch (stppp.sys) + Printing Communications (MREMP500). Aktualna postać raportu z TDSSKiller mówi mi, że to rzeczywiście się wykonało, bo takie sterowniki nie są notowane. Odtworzenie tego (gdy okaże się to konieczne) będzie wymagało reinstalacji poszkodowanego oprogramowania. Niewykluczone, że ten błąd z Dziennika zdarzeń jest pochodną Twojej akcji: Error - 2012-01-04 13:46:15 | Computer Name = PC-Komputer | Source = Service Control Manager | ID = 7034Description = Usługa SpeedTouch 330 Manager niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Biorę poprawkę na to, że na innym forum z obszaru faktycznych obiektów infekcji skasowano tylko dwa foldery nr601be46s74wvr75xq2cs i zalecono ... powtórzenie fiksów rekonstruujących usługi z tutejszego tematu. Za odnośnik biorę ostatni log z OTL z tamtego forum z 4 stycznia (wykazuje różnice w stosunku do OTL stąd). 1. System w międzyczasie został pozbawiony pliku HOSTS: Hosts file not found Ze skutkami w postaci błędów w Dzienniku zdarzeń: Error - 2012-01-04 13:54:43 | Computer Name = PC-Komputer | Source = Microsoft-Windows-DNS-Client | ID = 1012Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. Widzę w raporcie taką oto kopię pliku, ale jest ona zerobajtowa i ten plik usuń (SysNative = system32, to jest ten sam folder, tylko to kwestia "nazewnictwa" w logu tzn. 32-bitowy OTL stosuje alias, by dostać się do danych 64-bit): [2011-12-28 17:01:22 | 000,000,000 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.old Należy plik zrekonstruować. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 2. W Firefox nadal notowane proxy: FF - prefs.js..network.proxy.http: "127.0.0.1"FF - prefs.js..network.proxy.http_port: 55253FF - prefs.js..network.proxy.type: 1 Mówiłeś: dręczy kazdorazowe wlaczenie firefoxa i brak internetu pomaga dopiero odptaszkowanie w opcjach BEZ PROXY.. po wyalczeniu znow zmienia na proxy o IP 127.00.1 Brak jakichkolwiek wypowiedzi na temat postępowania końcowego. Ostatni OTL proxy pokazuje, czy zostało zlikwidowane? 3. Odinstaluj w prawidłowy sposób ComboFix (co także zresetuje foldery Przywracania systemu). Z klawiatury kombinacja klawisz z flagą Windows + R i wklej komendę: C:\Users\PC\Desktop\ComboFix.exe /uninstall 4. Wykonaj nowy log z OTL opcją Skanuj (dla przedstawienia, że plik HOSTS wrócił do normy, proxy usunięte oraz nic nowego się nie ujawniło) oraz przedstaw wyniki skanowania z zainstalowanego w systemie Malwarebytes' Anti-Malware. . Edytowane 13 Lutego 2012 przez picasso 13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi