Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wykryto CONFICKER'a.

ObawiamSie

Przez ObawiamSie
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ObawiamSie

ObawiamSie

Opublikowano
Opublikowano

Witam,jestem nowym użytkownikiem na forum i liczę że mi pomożecie.

Od jakiegoś czasu wyskakiwały mi wirusy,mianowicie Konie Trojańskie.

Taki temat założyłem na innym forum - http://forum.dobrepr...je-t477305.html

Logi podałem i chyba wszystko zostało wyleczone (tak sądzę).

Pod koniec dnia postanowiłem jeszcze raz przeskanować swój komputer i wsykoczyły mi błędy,ten temat również zakładany był na innym forum - http://forum.dobrepr...ow-t477515.html

Logi kazano mi pokazać na nowym temacie - http://forum.dobrepr...gi-t477530.html

Przepraszam bardzo że daję linki, ale tam znajdują się wszystkie informacje nt. mojego problemu.

Można zauważyć, że w logu wykryto "CONFICKER'a." ,czytałem że to bardzo groźny i popularny robak.

Zostało mi polecone zadanie aby wykonać skrypt w programie OTL. Jak mi polecono,tak też postanowiłem zrobić,ale rezultat mnie zdziwił,program się zaciął,komputer również,wyskoczyło okienko "brak odpowiedzi".

I tutaj Was,forumowicze proszę o pomoc,co w takim wypadku mam zrobić,nie chcę logować się na żadne strony gdyż boję się że ktoś przechwyci moje dane itp. Czułem że miałem keylogerra (było w 1 linku prawdopodobnie) ,a skończyło się na groźnym robaku,którego nie daję rady usunąć.Chciałbym wreszcie czuć się,że tak powiem "bezpiecznie",bez żadnego wirusa,jak wcześniej..

Pewien użytkownik tamtego forum polecił mi Was,więc liczę że tu znajdę odpowiedź.

Pozdrawiam i czekam na komentarze.

 

PS.System to Windows XP.32 bit,SP2.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Logi w tamtym temacie swoją drogą. Ja wymagam bieżących logów z teraz (OTL + GMER).

 

A OTL to może zawiesił się, bo wskazano do usuwania komponenty rootkit oraz rzeczy nieistniejące. OTL to nie jest dobre narzędzie do usuwania rzeczy widzianych w GMER. Nawiasem mówiąc to komenda :Services to tu raczej nic nie robiła. Dzień wcześniej usuwano już bezplikową usługę:

 

SRV - File not found [Auto | Stopped] -- -- (zumqqvw)

 

W GMER zaś jest powiedziane:

 

HKLM\SYSTEM\ControlSet002\Services\zumqqvw\Parameters (not active ControlSet)

 

To jest wpis w alternatywnej konfiguracji.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie widzę tu oznak czynnej infekcji, ale:

 

1. Wpis szczątkowy po rootkicie w nieaktywnej kopii konfiguracyjnej jak był tak jest nadal widoczny w GMER (skrypt OTL nic nie wykonał). Uruchom MiniRegTool. W oknie wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\zumqqvw

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. Przedstaw zawartość wynikowego loga z usuwania.

 

2. Chcesz być "bezpieczny", a system niezmiennie w krytycznym stanie aktualizacji, tu nie może pozostać SP2 (sito sitem pogania):

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)

 

Proszę uzupełnij wszystkie aktualizacje: INSTRUKCJE.

 

3. Apropos:

 

skanowałem dziś komputer programem Dr.Web, w pewnym momencie wyrzuciło mnie ze skanowania i zawitało coś takiego : System Error RC=0xC0000005

Gdy kliknąłem ok wyświetliło mi się "Wystąpił problem z aplikacją cea77_xp.exe i zostanie ona zamknięta. Przepraszamy za kłopoty."

 

Plik cea77_xp.exe to składnik wewnętrzny CureIt ekstraktowany do pamięci podczas skanowania. Proces ma nazwę losową. Tu porównanie z mojej wirtualnej maszyny XP:

 

cureitrandom.png

 

Trudno powiedzieć skąd ten błąd, to nie musi jednak oznaczać wcale wpływu infekcji. Nawiasem mówiąc pobrałeś "gorszą" wersję CureIt o stałej nazwie launch.exe. Dobreprogramy podają co innego niż producent. Na stronie producenta jest skaner o nazwie losowanej: KLIK. A tu lista na FTP: KLIK. Oba pliki mają jednak podpis cyfrowy z dnia 6 lutego.

 

Dodatkowa uwaga: Spybot - Search & Destroy to przestarzały program. I skasuj sobie z dysku folder tego adware:

 

[2011-12-15 16:30:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Warwick\Dane aplikacji\OpenCandy

 

 

 

 

.

Odnośnik do komentarza
ObawiamSie

ObawiamSie

Opublikowano
  • Autor
Opublikowano

Więc tak,zainstalowałem Service Pack 3.

Na innym forum dostałem odpowiedź co do tego wirusa,polecono mi zrobić takie coś :

Sądząc po nowych logach, to po Confickerze zostały tylko wspomnienia:

>>Start >>> Uruchom >>> wybierz (lub wpisz)
REGEDIT
>>OK>

>rozwiń ten klucz,klikając na (+):

>(+)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
>

>zaznacz:
Svchost
>

>w okienku po prawej zaznacz:
NetSvcs
>>prawoklik>>
Modyfikuj
>>w okienku, które wyskoczy wyszukaj i zaznacz:
zumqqvw
>>prawoklik>>usuń >OK

>zwiń ten klucz, klikając na (-).

czy tamten wirus już usunąłem i tak zostawić?

 

I tak wczoraj wieczorem zrobiłem,a tu troszkę później dostałem poradę,więc teraz nie wiem,mam pobierać ten program ,czy tamten wirus już usunąłem i tak zostawić?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wiem, że to podane (w końcu do ostatniej chwili temat sprawdzałam, by uniknąć duplikowania instrukcji). I to nie ma związku z tym co widzi GMER. Przyjrzyj się uważnie: to co zadałam do usuwania to jest kompletnie inny klucz w ControlSet002 (nieaktywna kopia konfiguracyjna = (not active ControlSet)).

 

---- Registry - GMER 1.0.15 ----
 
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@DisplayName                                                         aasusummy
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@Type                                                                32
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@Start                                                               2
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@ErrorControl                                                        0
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@ImagePath                                                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@ObjectName                                                          LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw@Description                                                         Dostarcza interfejs i model obiektowy w celu uzyskiwania dost?pu do informacji zarz?dzania o systemie operacyjnym, urz?dzeniach, aplikacjach i us?ugach. Je?li ta us?uga zostanie zatrzymana, wi?kszo?? oprogramowania opartego na systemie Windows nie b?dzie dzia?a? w?a?ciwie. Je?li ta us?uga zostanie wy??czona, uruchomienie us?ug od niej zale?nych nie powiedzie si?.
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw\Parameters (not active ControlSet)                                  
Reg             HKLM\SYSTEM\ControlSet002\Services\zumqqvw\Parameters@ServiceDll                                               C:\WINDOWS\System32\tjcgsqf.dll

 

Klucz ten pierwotnie zadano do usuwania skryptem OTL, co się nie wykonało wcale (tu dostarczony późniejszy GMER nadal to pokazuje). I od momentu podania tutaj GMER na tamtym forum nie zaszły żadne operacje to usuwające. Ostatnie co było sprawdzane to usługi w GMER (i nie wiem po co, skoro usługa już dawno skasowana z CurrentControlSet, dzień wcześniej to nastąpiło KLIK). SRV w OTL = CurrentControlSet = tu ControlSet001, bo ControlSet002 wg GMER to gałąź nieaktywna.

 

Kasacja klucza z ControlSet002 nadal aktualna.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

O to chodzi. Log z usuwania pokazuje "deleted successfully" = klucz pozostawiony po rootkicie pomyślnie skasowany. W związku z tym, że zaszły tu kolejne zmiany, jeszcze raz wyczyść foldery Przywracania systemu: KLIK.

 

 

Więc tak,zainstalowałem Service Pack 3.

 

Jak mówiłam "Proszę uzupełnij wszystkie aktualizacje", czyli czy po instalacji SP3 udałeś się na Windows Update w celu uzupełnienia reszty? Instalacja SP3 to jest zaledwie połowa zadania, od momentu jego publikacji (rok 2008) zostało wydane wiele krytycznych łat.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

ObawiamSie odnoszę wrażenie, że nie czytasz uważnie. Otrzymałeś dwie wskazówki:

- Ponowne czyszczenie folderów Przywracania systemu

- Uzupełnienie wszystkich aktualizacji z Windows Update aż do dnia bieżącego (sama instalacja SP3 nie wystarcza, to aktualizacja prawie sprzed 4 lat, przez 4 lata to mnóstwo kolejnych aktualizacji wydano ...)

 

 

 

.

Odnośnik do komentarza
ObawiamSie

ObawiamSie

Opublikowano
  • Autor
Opublikowano

Dobrze,teraz już wszystko zrobiłem,przepraszam,wcześniej zapomniałem zaktualizować resztę :)

Więc tak,SP3 zainstalowane,czyszczenie folderów przywracania systemu jest wykonane (nie wiem ile się czeka pod zaznaczeniu opcji "wyłącz przywracanie na wszystkich dyskach",ja to zrobiłem tak,zaznaczyłem,zastosowałem,dałem OK,potem kolejny raz w to wszedłem i odznaczyłem).

Aktualizacje również wszystko zostały zainstalowane pomyślnie,jakieś inne kroki zostały do wykonania?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
czyszczenie folderów przywracania systemu jest wykonane (nie wiem ile się czeka pod zaznaczeniu opcji "wyłącz przywracanie na wszystkich dyskach",ja to zrobiłem tak,zaznaczyłem,zastosowałem,dałem OK,potem kolejny raz w to wszedłem i odznaczyłem).

 

Operacja jest błyskawiczna. Samo zatwierdzenie przestawienia opcji jest wystarczającym czasokresem.

 

 

Aktualizacje również wszystko zostały zainstalowane pomyślnie,jakieś inne kroki zostały do wykonania?

 

Jeżeli na pewno wykonałeś wszystkie rundy i ponownie uruchomiona strona Windows Update nie zwraca już nic, zakończyliśmy sprawę.

 

 

 

.

Odnośnik do komentarza
ObawiamSie

ObawiamSie

Opublikowano
  • Autor
Opublikowano

No dobrze,ktoś na innym forum zwrócił mi uwagę że ten plik jest również podejrzany "tjcgsqf.dll" ,ale skoro to nie zostało tu wykryte,to mogę stwierdzić że już mogę bezpiecznie logować się na inne strony bez obaw przed keylogger itp. programami ? Ta odpowiedź mi jest bardzo potrzebna,gdyż nie chcę ryzykować :)

Ponadto skanowałem Dr.Web i znów stanął w miejscu,zawsze tak jest,skanuje i przestaje,zawieszając przy tym system,raz w połowie,raz na koniec,raz na początek.

Dobrze,czekam na odpowiedź dotyczącą logowania :)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
No dobrze,ktoś na innym forum zwrócił mi uwagę że ten plik jest również podejrzany "tjcgsqf.dll" ,ale skoro to nie zostało tu wykryte

 

Ekhm ... Ten plik już dawno został usunięty. Ponownie wróć do posta z dnia piątego lutego i usuwania tego oto wpisu (wpis bezplikowy, pierwotnie miał związanie z tjcgsqf.dll):

 

SRV - File not found [Auto | Stopped] -- -- (zumqqvw)

 

On nawet nie byłby widzialny w OTL, gdyby rzeczywiście plik był na dysku i to w formie (wtedy cała usługa byłaby widziana w GMER i byłby status ostrzeżeniowy "ROOTKIT").

 

Mówiłam przecież, że w skrypcie z dnia 6 lutego, który doprowadził do zawieszenia OTL, próbowano usuwać nieistniejące już rzeczy (usługę w CurrentControlSet i plik do niej należny).

 

 

Ponadto skanowałem Dr.Web i znów stanął w miejscu,zawsze tak jest,skanuje i przestaje,zawieszając przy tym system,raz w połowie,raz na koniec,raz na początek.

 

To weź inny skaner np. ponownie Kaspersky Virus Removal Tool, ESET Online Scanner ...

 

 

to mogę stwierdzić że już mogę bezpiecznie logować się na inne strony bez obaw przed keylogger itp. programami ? Ta odpowiedź mi jest bardzo potrzebna,gdyż nie chcę ryzykować

 

Mogę ocenić tylko to co widzę: w raportach nie widzę elementów infekcji, skanery tu były używane. Ale na wszelki wypadek zmień wszędzie hasła logowania w serwisach.

 

Na dalszą metę sugeruję wymianę całego systemu z archaicznego XP na Windows 7. Windows XP nie stoi na tym samym poziomie co nowsza generacja i nie dogoni tego. System sprzed 10 lat.

 

 

 

 

.

Odnośnik do komentarza
ObawiamSie

ObawiamSie

Opublikowano
  • Autor
Opublikowano

Witam ponownie.

Ostatnio miałem kilka wirusów i uzyskałem tutaj pomoc i liczę że ją znów tu otrzymam :)

Dziś rano komputer mi się sam wyłączył,nie wiem z jakiego powodu,wyskoczył komunikat "monitor going to sleep",monitor specjalnie wyłączyłem na noc,już tak drugi raz mam.

Lecz martwi mnie to że "aktualizacje automatyczne" zostały wyłączone,przy czym wyskoczył komunikat "komputer może być zagrożony" czy coś takiego(była czerwona tarcza),nie mam pojęcia czemu się aktualizacje wyłączyły,na szczęście mogłem je przywrócić,czyli je włączyłem.Stało się to po restarcie systemu gdy monitor wyświetlił tamten komunikat.

Dla świętego spokoju chciałbym aby ktoś mi sprawdził logi,bo przeczuwam że w komputerze siedzi coś "złego".

Zamieszczam tu już logi z OTL.

 

PS.System Windows XP z SP3.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...