CIĄGLE wirusy!


(Kristof222) #1

Witam!

Przepraszam za ten krzykliwy tytuł wątku, ale już naprawdę jestem zrezygnowany.

Co gorsza, jestem informatykiem, więc na komputerze się jako tako znam - mimo to... ale po kolei.

Przez kilka lat nie miałem żadnego wirusa, od czasu do czsau wykonywałem jakieś sporadyczne skany - czysto!

Nagle stała się katastrofa - jakiś wirus wykradł mi wszystkie hasła z Total Commander i tym sposobem zainfekował ponad 30 stron moich klientów.

Sprzątanie tego syfu zajęło mi ponad tydzień.

Mam oryginalnego windowsa XP Home, od kolegi dostałem oryginalnego NOD32 security.

W przeciągu tygodnia zainstalowały mi się jakieś 3 trojany, które usunąłem Spybotem S&D. Do tego ciągle robiłem jakieś skany online, analizowałem logi itp.

Doszedłem do TOTALNEJ PARANOI.

Zainstalowałem w systemie nod32 z firewalem + comodo firewall + teatimer.

Wczoraj normalnie wieczorem wyłączyłem komputer.

Dzisiaj rano włączam i nie uruchamia się ani nod32 ani comodo. Po skanowaniu Spybotem okazało się że mam nowe 2 trojany, które podmieniły pliki startowe z noda i comodo.

Powiedzcie mi dlaczego mimo ochrony ciągle instalują się wirusy? Robie update windowsa regularnie, uzywam tylko firefoxa. Nie wchodze na strony z crackami ani porno.

Prosze - poradzcie cos, bo albo mamy jakis armageddon albo musze zainstalowac linuxa....

Z GORY WIELKIE DZIEKI ZA POMOC!

pozdrawiam

Adam


(Spandau) #2

Dwa firewalle to o jeden za dużo (nie wspomnę o systemowym)

Pobierz Combofix przeskanuj system i daj log na forum.

Na czas pobierania i skanowania Combofixem wyłącz wszystkie programy ochronne (antywirus, zapora, itp)

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(Kristof222) #3

Zrobię to jak tylko wrócę do domu - teraz jestem w pracy i piszę z Maca (jestem bezpieczny :slight_smile:

Ja sobie jakoś usunę te trojany, które mam teraz i znowu będzie czysto, ale chodzi o to, że za kilka dni pewnie pojawią się nowe. Jak się od tego ustrzec, bo z tego co wynika antywiry nic nie wykrywają.

Np. TeaTimer nie wykrył rezydentnie tych 2 trojanów a potem podczas skanowania już je widział (S&D), więc ten programik jest dla mnie bezużyteczny.

Może już na przyszłość doradzicie mi zestaw: antywirus, firewall, rezydentny anty-(mal/spy/ad)-ware.


(StG 44) #4

Lepiej zrób dokładnie to, co Ci user spandaupol napisał powyżej, bo widocznie słabo się na usuwaniu wirusów znasz, jeśli walczyłeś z nimi ponad tydzień i pewnie nie usunąłeś wszystkiego syfu (nie można także zapominać o tzw. fałszywych alarmach, które czasami generują antywirusy, także trzeba się na czytaniu wyników skanowania trochę znać).

Jeśli nie chcesz łapać wirusów to wystarczy myśleć tzn. nie klikać we wszystkie linki w e-mail-ach , instalować soft z pewnych źródeł itd. ESET Smart Security zupełnie wystarczy do ochrony.


(rogacz) #5

Miałem ESET SMART SECURITY 2 tygodnie i nie polecaj go nikomu, net z 2mb mi spadł na 256kb, onet się uruchamiał 5 minut po prostu program do niczego.

Teatimer nie wykrywa trojanów, on kontroluje ustawienia systemu czy się nie zmieniają. Do trojanów był dobry kiedyś MKS-VIR nie wiem czy jeszcze istnieje.

PS: Nie używasz torrentów i innego śmiecia?


(Kristof222) #6

Najpierw przeskanowalem w awaryjnym sdfixem. Oto log:

http://wklej.org/id/73992/

A potem combofixem:

http://wklej.org/id/73993/

Z góry dzięki za pomoc i analizę.

Instaluję teraz avasta, bo mam czyściutki system (bez antywira i firewala).

Firewalla wybiorę w następnej kolejności.

-- Dodane 04.04.2009 (So) 17:49 --

Na razie nie odpisał nikt, ale nic nie szkodzi - mam nowe spostrzeżenia:

Skanuje komputer jakimś Dr.Webem CleanIt i zauważyłem coś niepokojącego.

W folderach:

windows/temp/

oraz

Documents and settings/nazwausera/ustawienia lokalne/temp/

ciągle pojawiają się nowe trojany.

Odnoszę wrażenie, że już samo uruchomienie przeglądarki i wejście na kilka stron powoduje wrzucenie się tam trojanów.

To chyba jednak armageddon.

Myślę, że bez przesiadki na linuxa tego problemu nie da się rozwiązać...

Szkoda tylko tego 300 zł wybulone na windowsa...

-- Dodane 05.04.2009 (N) 8:01 --

Wygląda na to że chyba mam czysto, ale jedna rzecz mnie dziwi.

Zaraz po załączeniu komputera mam wiadomość, że NOD zablokował f.exe.

Potem w dzienniku wygląda to tak:

Skąd się tam wziął ten adres http? Czyżby jakiś program z autostartu próbował połączyć się z tą witryną? A może ta witryna jakoś sama próbuje wepchać mi ten f.exe do komputera?


(Spandau) #7

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Po tym Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz Malwarebytes' Anti-Malware przeskanuj wszystkie dyski usuń co znajdzie daj log na forum

Następnie pobierz Dr.WEB CureIt! wykonaj pełne skanowanie daj raport na forum


(Kristof222) #8

Dzięki za odpowiedź.

Oto moje logi:

  1. Log po wykonaniu CFScript.txt na combofixie:

http://wklej.org/id/74846/

  1. Log antimalware:

nic nie znaleziono.

  1. Raport Dr.Web:

http://wklej.org/id/74848/

  1. dodatkowo log z hijackthis:

http://wklej.org/id/74849/

Z góry dzieki.


(Spandau) #9

Przeskanuj ten plik C:\ setup95.exe tutaj http://www.virustotal.com/pl/ daj raport na forum

Opróżnij kwarantanne DrWeb

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Kristof222) #10

Plik c:\setup95.exe był czysty na virus tutal, ale i tak go usunąłem.

Oto nowy log:

http://wklej.org/id/74947/

Mam tez kolejny problem.

Jakiś z tych virusów pozmieniał mi w uruchamianych usługach windows update i innych z %systemroot% na %fystemroot%, próbowałem to pozmieniać w regedit w trybie awaryjnym, ale znowu wróciło do fystemroot i nie wiem czy ciągle virus mi siedzi jeszcze czy co...

Dodatkowo skanowanie Spybotem w awaryjnym wyłącza mi komputer w środku skanowania...


(Spandau) #11

Sprawdź czy masz plik c:\windows\system32\ svchost.exe - w tej lokalizacji jest prawidłowy

Jeśli nie to naprawa za pomocą konsoli windows http://www.searchengines.pl/index.php?s ... entry76658

Wszystko o konsoli tutaj http://www.searchengines.pl/index.php?showtopic=14270


(Kristof222) #12

Tak, mam, ale zauważ że tam jest % f ystemroot%

Męczyłem się żeby to zmienić w awaryjnym bez rezultatu, ale teraz właśnie sprawdziłem i wydaje mi się, że jest w końcu ok.

całkiem możliwe, że ten ostatni syf:

c:\windows\system32\drivers\86e4f4e8.sys

powodował, że to ciągle powracało.


(Spandau) #13

Podaj nowy log HijackThis


(Kristof222) #14

chyba jest ok:

http://wklej.org/id/74965/

czy to mozliwe ze to koniec moich męczarni z infekcją? sam w to nie wierzę...

PS. Napiszcie mi proszę czego wy używacie do analizy tych logów z combofixa?


(Spandau) #15

Tak teraz jest OK

Opróżnij kwarantanne DrWeba możesz przeskanować ponownie dla pewności wyłącz wcześniej przywracanie systemu.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Raz jeszcze Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

:slight_smile:


(Kristof222) #16

jeszcze jedno:

Po tych wszystkich operacjach zostały mi porty pootwierane czy w seconfigxp powinienem zamknac te otwarte?

A czy w WWDC powinienem tez zamknac te zółte?

Mam internet radiowy, nic niesharuje, nie jestem w sieci lokalnej.

porty2.gif


(Spandau) #17

Tak zamknij