hipopotam Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Witajcie. Jakiś czas temu (chyba ok. 2 tygodni) miałem problem z wirusem BKA-Trojaner. Usunąłem go zgodnie z poleceniami na tej stronie http://scareware.de/...s-unit-achtung/ Kontrola z boot-cd Avira AntiVir Rescue System nie znalazła wówczas żadnej infekcji. Gdy skanuję z normalną avirą, to jest znajdowany jakiś ukryty obiekt i pojawia się komunikat o konieczności sprawdzenia boot-cd. Kontrola ta nic nie wykazuje. Po prawdopodobnym wykasowaniu (obecnie nie jestem tego na 100% pewien, ale o tym poniżej) tego BKA-Trojaner zacząłem mieć problemy z hibernacją windowsa. Gdy klikam na włączenie hibernacji, komputer zaczyna przechodzić w ten stan, pojawia się niebieski ekran, jednak po chwili wraca z powrotem do windowsa. Kolejną niedogodnością jest strasznie długa praca komputera po włączeniu windowsa i podłączeniu internetu - twardy dysk potrafi przez 20-30 minut, czasem i dłużej, mocno pracować, tak że niemożliwa jest praca z komputerem. Zdaję sobie sprawę z tego, iż mam już dosyć stary komputer i obecne programy go mocno obciążają, jednak w ostatnim czasie problem ten nasilił się (być może jest to spowodowane jakimś wirusem?). Wyżej napisałem, iż nie jestem teraz do końca przekonany czy usunąłem ten wirus. W ostatnich dniach parę razy byłem na stronach sklepów internetowych (amazon, e-bay). Gdy w wyszukiwarkę na tych stronach wpisałem nazwę jakiegoś produktu i wcisnąłem enter, to pojawiała mi się prośba o weryfikację moich danych poprzez podanie danych z karty kredytowej. Za każdym razem informacja ta była dopasowana graficznie do strony, na której byłem. Wcześniej nigdy nie pojawiały się te informacje, no i na tym etapie zakupów taka weryfikacja nie jest potrzebna. Mam nadzieję, że udało mi się w miarę jasny sposób opisać moje problemy. Będę bardzo wdzięczny za pomoc. Poniżej zamieszczam wymagane logi. Results of screen317's Security Check version 0.99.32 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Avira Free Antivirus Avira successfully updated! ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Java™ 6 Update 25 Java version out of date! Adobe Flash Player 10.3.181.34 Flash Player out of Date! Adobe Reader X (10.1.2) Mozilla Firefox (11.0.) ```````````````````````````````` Process Check: objlist.exe by Laurent Avira Antivir avgnt.exe Avira Antivir avguard.exe ``````````End of Log```````````` OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Gdy skanuję z normalną avirą, to jest znajdowany jakiś ukryty obiekt i pojawia się komunikat o konieczności sprawdzenia boot-cd. Kontrola ta nic nie wykazuje. (...) twardy dysk potrafi przez 20-30 minut, czasem i dłużej, mocno pracować GMER sugeruje obecność bootkita. Zwykle z rootkitem MBR określonej wersji w kolekcji są też te dwa sterowniki widzialne u Ciebie: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Przeprowadź skan za pomocą Kaspersky TDSSKiller, przy wykryciu czegokolwiek wynikom przyznaj Skip i tylko zaprezentuj raport do oceny. . Odnośnik do komentarza
hipopotam Opublikowano 3 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Dziękuję za szybką reakcję! Oto raport z Kaspersky TDSSKiller. TDSSKiller.2.7.25.0_03.04.2012_22.48.04_log.txt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 Kaspersky potwierdza moją diagnozę, czynny rootkit w obszarze rozruchowym dysku. Narzędzie rozpoznaje precyzyjnie typ, toteż zostanie użyte do leczenia MBR. 1. Uruchom Kaspersky TDSSKiller i dla wyniku Rootkit.Boot.Sinowal.b przyznaj domyślną akcję zaproponowaną przez narzędzie. Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\6ih9812.sys -- (6ih9812.sys) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files netsh firewall reset /C :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Wygeneruj do oceny nowe logi: GMER + OTL z opcji Skanuj (Extras po raz drugi nie jest potrzebne). Dołącz raport z wynikami usuwania z punktu 2. . Odnośnik do komentarza
hipopotam Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Oto nowe logi OTL i GMER oraz raport z wykonania skryptu OTL. GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-04-04 08:59:24 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HTS541080G9SA00 rev.MB4IC60R Running: l65692hd.exe; Driver: C:\DOCUME~1\Tomek\USTAWI~1\Temp\kgndypod.sys ---- System - GMER 1.0.15 ---- SSDT F8BC1F14 ZwClose SSDT F8BC1ECE ZwCreateKey SSDT F8BC1F1E ZwCreateSection SSDT F8BC1EC4 ZwCreateThread SSDT F8BC1ED3 ZwDeleteKey SSDT F8BC1EDD ZwDeleteValueKey SSDT F8BC1F0F ZwDuplicateObject SSDT F8BC1EE2 ZwLoadKey SSDT F8BC1EB0 ZwOpenProcess SSDT F8BC1EB5 ZwOpenThread SSDT F8BC1F37 ZwQueryValueKey SSDT F8BC1EEC ZwReplaceKey SSDT F8BC1F28 ZwRequestWaitReplyPort SSDT F8BC1EE7 ZwRestoreKey SSDT F8BC1F23 ZwSetContextThread SSDT F8BC1F2D ZwSetSecurityObject SSDT F8BC1ED8 ZwSetValueKey SSDT F8BC1F32 ZwSystemDebugControl SSDT F8BC1EBF ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \FileSystem\Fastfat \Fat A765FD20 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 156296388 ---- EOF - GMER 1.0.15 ---- OTL.Txt 04032012_231547.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Nie komentujesz zachowania systemu, czy wszystkie niepożądane objawy ustąpiły? Operacja pomyślnie ukończona, ustąpiły czynności rootkit w GMER. Wykonaj kolejną porcję zadań: 1. Za poźno doedytowałam wczoraj plik skryptu. Dodałam tam komendę resetu reguł zapory (są autoryzacje rootkita MBR), wykonałeś plik skryptu bez tego. Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 2. Uporządkuj po używanych narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. Ewentualne wykrycia zaprezentuj. . Odnośnik do komentarza
hipopotam Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Hibernacja działa, avira nie wykrywa ukrytych obiektów i komputer chyba szybciej się uruchamia, ale to jeszcze muszę poobserować. Ah, na amazon dzisiaj nie pojwiło się to okno do weryfikacji danych. Objawy infekcji ustąpiły. Teraz wykonam tę kolejną porcję zadań. Aktualizacja 5.4: Wykonałem wszystkie polecenia, Kaspersky nie znalazł żadnej infekcji. Czy to znaczy, że cała procedura jest zakończona czy może jeszcze da się coś zrobić, aby usprawnić działanie komputera? Odnośnik do komentarza
picasso Opublikowano 5 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 Na zakończenie: 1. Prewencyjnie zmień hasła logowania w serwisach. 2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych są widoczne wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 25"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu" = Gadu-Gadu 7.7 Przy okazji: po co się męczyć na kalekim GG7 (brak pełnej obsługi własnej sieci, niski poziom bezpieczeństwa ze względu na brak szyfrowania). Proponuję wymianę nowoczesną alternatywą WTW. Opis znajdziesz w moim artykule Darmowe komunikatory. . Odnośnik do komentarza
hipopotam Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Aktualizacje wykonane. Z tego starego GG korzystam właśnie ze względu na to, że nie zajmuje tyle miejsca i nie ma niepotrzebnych dodatków. Próbowałem z WTW, ale chyba to jest dla mnie zbyt skomplikowane (nie daję rady już na etapie importu kontaktów z serwera gg). Może jak będę bardziej wyspany, to spróbuję jeszcze raz z tym programem. W każdym razie ogromne dzięki za pomoc!!! Komputer działa o wiele lepiej :) Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 (edytowane) Próbowałem z WTW, ale chyba to jest dla mnie zbyt skomplikowane (nie daję rady już na etapie importu kontaktów z serwera gg). Opisz dokładnie z czym masz problem, gdzie jest przeszkoda z tym importem. Edytowane 7 Maja 2012 przez picasso 7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi