Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja - prawdopodobnie rootkit

yas

Przez yas
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

yas

yas

Opublikowano
Opublikowano

Witam.

Chcialabym zwocic sie o pomoc o usuniecie infekcji z pc. Jakis czas temu kliknelam w linka, ktory przeslano mi skypie. Wtedy cos sie autozainstalowanlo.

Objawy:

-pc zaczal b a r d z o wolno chodzic,

-nie moge wejsc na strony z programami antywirusowymi.

-2 dni temu sklonowano mi karte kredytowa, (wykonalam transackje online), nie wiem czy ma to zwiazek z infekcja

-niektore strony wyswietlaja sie b. mala czcionka, nie do odczytania

Proby pozbycia sie wirusa:

w jednym z forum wloskich polecano uzycie combofix i tak tez zrobilam, tylko nie wiem co zrobic z logiem :blink: Juz po uzyciu combofiksa dotarlam do Waszego forum. Zainstalowalam tez program clearprog, ktory mial Wyczyscic pc. Nie moge go teraz uruchomic.

Przeczytalam w internecie, ze objawy mojego pc moga wskazywac na rootkit.

Czy ktos mi pomoze?

Dziekuje z gory

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

yas, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje, należy korzystać z opcji Edytuj. Posty powyżej sklejam.

 

Podałaś tylko log z ComboFix, ale gdzie są obowiązkowe logi o które prosiłam (OTL+GMER)? Wstępnie juz widzę, że system jest zainfekowany rootkitem. Jak mówię, oczekuję na logi z podanych programów, a po uzyskaniu kompletu informacji przejdę do precyzyjnego usuwania.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Chcialam zainstalowac OLT i pojawil mi sie komunikat otl can not be run from a temporary folder. Please download it to your desktop or other suitable location.

...i co teraz? Nie wiem jak zainstalowac na desktop.

 

OTL nie jest programem instalacyjnym. Najwyraźniej pobrałaś plik do folderu tymczasowego i stamtąd chcesz go uruchamiać. Jeszcze raz: w temacie z prawokliku na link pobierania OTL wybierz opcję typu "Zapisz element docelowy jako..." i wskaż miejsce zapisu dla pliku, czyli swój Pulpit. I z Pulpitu uruchamiasz plik przez dwuklik. A dalej to jak na obrazkach w przyklejonym.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

yas, logi należy doczepić techniką załączników (w edytorze Więcej opcji). Przemieszczam. Nie został tu dostarczony log z GMER. W związku z tym, że dane ciekną bardzo mozolnie, już zadaję usuwanie:

 

1. Na dowolnym sprawnym systemie na pendrive umieść pomoce konieczne do przeprowadzenia usuwania, czyli narzędzie BlitzBlank oraz plik tekstowy z dyrektywami do BlitzBlank. Otwórz Notatnik i wklej w nim:

 

DeleteFile:
C:\Windows\system32\ovbxua.dll
 
DeleteFolder:
"C:\Documents and Settings\Administrator\Dati applicazioni\Uhcuez"
"C:\Documents and Settings\Administrator\Dati applicazioni\Odezx"
"C:\Documents and Settings\Administrator\Dati applicazioni\Awry"
 
DeleteRegKey:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zskbdrva

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Zapisz plik tekstowy pod dowolną nazwą.

 

2. Podepnij do zainfekowanego systemu ów pendrive. Uruchom BlitzBlank i w karcie Script wklej zawartość przygotowanego wcześniej pliku tekstowego:

 

DeleteFile:


C:\Windows\system32\ovbxua.dll


 


DeleteFolder:


"C:\Documents and Settings\Administrator\Dati applicazioni\Uhcuez"


"C:\Documents and Settings\Administrator\Dati applicazioni\Odezx"


"C:\Documents and Settings\Administrator\Dati applicazioni\Awry"


 


DeleteRegKey:


HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zskbdrva

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]


"Iwawcuyfte"=-


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]


"Start Page"="about:blank"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]


"Start Page"="about:blank"


[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]


 


:Files


netsh firewall reset /C


C:\Documents and Settings\All Users\Desktop\eBay Startseite.lnk


C:\Documents and Settings\Administrator\Desktop\Continue SweetIM Installation.lnk


C:\Documents and Settings\Administrator\Dati applicazioni\OpenCandy


 


:OTL


NetSvcs: zskbdrva - File not found


O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\catchme.sys -- (catchme)


 


:Commands


[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami usuwania.

 

4. Przedstawiasz: log z BlitzBlank wygenerowany w punkcie 2, log z usuwania OTL wygenerowany w punkcie 3 oraz nowe logi utworzone już po usuwaniu, czyli OTL z opcji Skanuj oraz zaległy GMER.

 

 

 

.

Odnośnik do komentarza
yas

yas

Opublikowano
  • Autor
Opublikowano

Gmer udalo mi sie uruchomic wczoraj wieczorem z mojego komputera i loga dodalam dzisiaj.

Za instrukcje b. dziekuje. Przyznam, ze to dla mnie "czarna magia", sprobuje zrobic wszystko po kolei.

Dziwi mnie jedna rzecz, praktycznie od wczoraj komputer, jakby "ozyl", a jeszcze niczego nie usuwalm. Jest o wiele bardziej szybszy i niektore strony, na ktore wczesniej nie moglam wejsc, teraz mi sie otwieraja.... czarna magia )

Moj rootkit jest pewnie czuly na wszystkie "mile slowka", ktore uslyszal pod swoim adresem i zwatpil... zartuje oczywiscie

 

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Akcja pomyślnie przeprowadzona. BlitzBlank na spółkę z OTL usunęły co wskazałam. Niestety pojawiły się nowe składniki infekcji. Wykonaj następujące operacje:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1059664662-2146885747-2336954287-500..\Run: [Windows Init] C:\Documents and Settings\Administrator\Dati applicazioni\xmpcukb2gqwhlifrcifsilvucjiaqykg\svcnost.exe ()
[2012/06/06 13.31.29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dati applicazioni\xmpcukb2gqwhlifrcifsilvucjiaqykg
[2012/05/15 01.00.45 | 000,001,626 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Avvio\Programmi\eBay Startseite.lnk
 
:Files
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Uruchom MiniRegTool i w oknie wklej:

 

HKLM\SYSTEM\ControlSet003\Services\zskbdrva

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. Wynikowo powstanie log delete.txt.

 

3. Wygeneruj do oceny nowe logi OTL + GMER. Dołącz także logi pozyskane z operacji usuwania w punktach 1+2.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt z OTL pomyślnie wykonany, czekam więc na ukończenie reszty zadań i nowe logi do oceny.

 

 

Nie wiem jak dziala miniregtool.zip-win.rar Otworzyl mi sie po wlosku i nie mam pojecia gdzie mam wkleic "HKLM\SYSTEM\ControlSet003\Services\zskbdrva". Kliknelam prawa myszka i nie ma opcji wklej.

 

Przeklejanie przez skróty klawiaturowe: podswietlasz tę linię w poście i CTRL+C (wpis skopiowany do schowka), następnie w MiniRegTool ustaw kursor na puste pole i CTRL+V (wklejenie ze schowka).

 

 

 

.

Odnośnik do komentarza
yas

yas

Opublikowano
  • Autor
Opublikowano

Nie dziala, cos zle robie, ale nie wiem co......... Na polu jest symbol teczki- cartella i 2 kropki, pod spodem drugi symbol teczki z napisem miniregtool modificato il 27/12/2011 21.56 kursor nie mroga na pustym polu pod spodem

czy okno MiniRegTool ma tak wygladac?

"http://www.hitupmyspot.com/s/index.php?q=MiniRegTool"

Jesli tak, to mi sie zupelnie cos innego wyswietla i nie moge tego uruchomic. Mam miniregtool z ikonka 4 zwiazanych ksiazek. MiniRegTool.zip - WinRAR. Po otwarciu wyswietla mi sie sie wszystko po wlosku. U gory sa 4 ksiazki z napisem archivia, estrai in, verifica, visiona, itd Nie ma przycisku go/start/ vai nic z tych rzeczy.

 

Komputer znowu zaczyna mie "zacinac",. wchodze na dana strone,po chwili pojawia mie sie komunikat, strona nie moze byc otworzona i znika, a po chwili otwira mi si ok 50 okien....

 

 

Odnośnik do komentarza
yas

yas

Opublikowano
  • Autor
Opublikowano

Nie dziala, cos zle robie, ale nie wiem co......... Na polu jest symbol teczki- cartella i 2 kropki, pod spodem drugi symbol teczki z napisem miniregtool modificato il 27/12/2011 21.56 kursor nie mroga na pustym polu pod spodem

czy okno MiniRegTool ma tak wygladac?

"http://www.hitupmyspot.com/s/index.php?q=MiniRegTool"

Jesli tak, to mi sie zupelnie cos innego wyswietla i nie moge tego uruchomic. Mam miniregtool z ikonka 4 zwiazanych ksiazek. MiniRegTool.zip - WinRAR. Po otwarciu wyswietla mi sie sie wszystko po wlosku. U gory sa 4 ksiazki z napisem archivia, estrai in, verifica, visiona, itd Nie ma przycisku Delete Keys - "Elimina" /Values including Locked/Null embedded go/start/ vai nic z tych rzeczy.

 

Komputer znowu zaczyna mie "zacinac",. wchodze na dana strone,po chwili pojawia mie sie komunikat, strona nie moze byc otworzona i znika, a po chwili otwira mi si ok 50 okien....

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Mam miniregtool z ikonka 4 zwiazanych ksiazek. MiniRegTool.zip - WinRAR. Po otwarciu wyswietla mi sie sie wszystko po wlosku

 

Chwileczkę, czy Ty rozpakowałaś to narzędzie z ZIP? To archiwum, nie otwieraj tego przez dwuklik, tylko rozpakuj za pomocą WinRAR do nowego folderu np. na Pulpit i dopiero wtedy uruchom narzędzie przez dwuklik.

 

 

Komputer znowu zaczyna mie "zacinac",. wchodze na dana strone,po chwili pojawia mie sie komunikat, strona nie moze byc otworzona i znika, a po chwili otwira mi si ok 50 okien....

 

Podasz nowe logi, jak już mówiłam wcześniej.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...