Inteligentny wirus, blokuje combofix i hijackthis


(Emulat0r) #1

Siemanko, wczoraj wieczorem złapałem jakieś świństwo nie obrażając tutaj żadnych zwierząt hodowlanych i tych dzikich ale jednak! Sprytny wirus unieszkodliwił mojego najaktualniejszego NOD'a v4.x.x powodując, że po restarcie komputera ma problem "z jądrem" - no bez jaj xD. W efekcie ten bezjajowiec uniemożliwia mi normalną pracę na moim leciwym rzęchu!

Kilka razy już mnie uchronił przed formatem combofix lecz tym razem jakaś harda bestia się napatoczyła.

Studiując w necie kilka tematów próbowałem combofixowi zmieniać nazwy, uruchamiać go w awaryjnym ale nic z tego.

To samo hijackthis. Po odpaleniu programików ładuje się pasek do połowy po czym gaśnie a kolejne uruchomienie oczywiście już jest zablokowane z super komunikatem "że ja nie mam uprawnień administratora" --> pan i władca tego złomu nie ma praw xD. Otóż mam, żeby to nikogo nie zmyliło bo to bydle kłamie.

Opierając się o jeden wątek z tego forum a mianowicie:

wirus-blokuje-combofix-log-hijackthis-t307660.html

jedyne co mi się udało to jakimś cudem ściągnąć z neta SDfix i go uruchomić. Objawy podobne co autor tamtego tematu lecz tych "szkodników" wymienianych przez panów nie odnalazłem.

Tutaj RAPORT sdfix!:

http://wklej.to/Kn3VM

oraz ss moich procesów:

W oko mi się rzucił oczywiście pierwszy z góry ten multimilioner.exe xD znaczy te cyferki 54356254535345345

oraz IEXPLORER.exe

pierwszego procesu nie da się wyłączyć normalnie ani zmienić priorytetu ani zamknąć całego drzewa po prostu nietykalny.

IEXPLORER.exe natomiast sprytną nazwę przyjął od przeglądarki, która nawet nie jest używana, kończąc proces po chwili sam się uruchamia.

Natomiast yztoolbar.exe to proces z nakładki na windowsa, jest on całkowicie bezpieczny i w niczym na pewno nie przeszkadzał ani tym bardziej pomagał jeżeli chodzi o wirusy.

Bardzo proszę o pomoc.

Na kompie posiadam aktualnie combofix, sdfix, hijackthis oraz avenger

co po kolei mam zrobić aby uniknąć tego nieszczęsnego formata. dzięki z góry za jakieś wskazówki.


(krzych5610) #2

skorzystaj z pomocy skanerów nagrywanych na CD ( obraz ISO ):

1 z Dr web live cd - http://www.instalki.pl/programy/downloa ... iveCD.html

2 z Kaspersky rescude disk 10 - http://support.kaspersky.com/pl/faq/?qid=208282170.


(Spandau) #3

To inteligentne zwierze hodowlane ma nazwę :slight_smile: niestety rootkit zeroaccess To będzie długa walka zobaczymy jak się skończy

Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa ... reator.zip Rozpakuj, uruchom

Wklej do niego

Klikasz Create wygenerowany log dasz później na forum

Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum


(Emulat0r) #4

dummy creator

http://wklej.to/manGK

po restarcie tdsskiller i skip

http://wklej.to/wRh0U


(Spandau) #5

Niestety Kasperski w tym przypadku udostępni chyba tylko opcje Delete a nie opcje Cure SPRAWDŹ, jeśli tak to nie możemy go użyć Dlatego

Użyj zgodnie z instrukcją Webroot AntiZeroAccess [http://www.fixitpc.pl/topic/8-dezynfekc ... entry37213](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 37213#entry37213) podaj raport na forum


(Emulat0r) #6

raport przed i po czyszczeniu ww programem

http://wklej.to/WzAOR


(Spandau) #7

No to teraz przechodzimy do finału Oby

Proszę pobrać czystą kopię Combofixa (jest to konieczne) i uruchomić dwuklikiem (zgodnie z instrukcją) http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ raport wynikowy oczywiście podasz na forum


(Emulat0r) #8

Nie da rady, dzieje się to samo co opisałem w 1 poście.

Pasek ładuje się do połowy po czym proces zanika, oraz nie da się uruchomić ponownie combofixa. Ide na zakupy.


(Spandau) #9

Pobierz inherit http://www.bezpieczenstwosystemow.pl/in ... pic=5943.0 Pobierz Ponownie Combofixa (zmień mu nazwę na svchost.exe) Wejdź w tryb awaryjny windows i spróbuj uruchomić Najpierw przeciągnij jego ikonkę na ikonkę inherit następnie uruchom dwuklikiem Jak się nie uda pisz zmienimy metodę.


(Emulat0r) #10

inherit pomógł uruchomić combofixa pod nazwą svchost.exe

oto końcowy log

http://wklej.to/rg1Re

jednak mam wrażenie, że nie bardzo to pomogło ponieważ nod w dalszym ciągu ma problem z jądrem. Chyba, że po prostu wirus go tak unieszkodliwił że będzie wymagał najzwyczajniej reinstalacji.

Proszę o sprawdzenie logów i poinstruowanie co dalej. Dzięki bardzo.


(Spandau) #11

Jak skończymy to sam powiem :slight_smile: Jeszcze nie jest koniec Dokładnie niektóre programy po tej infekcji polecą z komputera bo nie nadają się do użytku i tyle Najpierw Eset nawet proszę nie pytać dlaczego Do tego celu użyjesz deinstalatora znajdziesz go w tym linku http://www.searchengines.pl/Deinstalato ... 45565.html

Następnie do usunięcia przez Dodaj Usuń programy Hamachi i Java Co potwierdza Combofix Proszę usunąć i nic na razie nie instalować Jeśłi będzie problem z usunięciem proszę pisać.

wklej do notatnika:

Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.


(Emulat0r) #12

nod usunięty przy pomocy programu appremover

java i hamachi usuniete za pomocą "usuń lub dodaj programy" z panelu sterowania

wszystko przebiegło bez problemów

CFDscript.txt przeciąniety na combofix. oto końcowy log

http://wklej.to/UGsAw


(Spandau) #13

Przez Shift+Del usuń foldery

oraz folder Qoobox ten chyba jest na dysku D sprawdź to proszę Znajdź go i usuń

Następnie Przeczyść system oraz rejestr CCleaner

Następnie Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Następnie pobierz KVRT http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html wykonaj pełny skan Jak program coś znajdzie proszę nic nie usuwać tylko podać raport na forum Jeśli nic nie znajdzie odinstaluj go.

Następnie pobierz OTL wykonaj skan i podaj raport na forum otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Po tym przejdziemy do aktualizacji i instalacji oprogramowania ochronnego


(Emulat0r) #14

skanowanie z kasperskiego, myślę że tymi "alertami" z dysków D,E,F raczej nie ma co się przejmować. No chyba, że chodzi o ścieżkę ...\System Volume Information... ponieważ to nie są moje foldery/pliki. Jednak zdaję się na specjalistę doktora ds. komputerów :slight_smile:

http://wklej.to/0ap4c

skanowanie z OTL:

http://wklej.to/bCsok

otl extras:

http://wklej.to/YswDY


(Spandau) #15

Użyj JavaRa i odinstaluj pozostałości Javy z systemu http://www.programosy.pl/program,javara.html

Odinstaluj Kasperskiego

Przeskanuj plik C:\WINDOWS\system32\drivers\ Hmonitor.sys http://www.virustotal.com/ Jeśli któryś skaner coś znajdzie pokaż raport na forum

Resztę usuniemy OTL'em Będę usuwać pozostałości po: Combofixie (nie usunąłeś tego chociaż zalecałem), Esecie Wyczyścimy także punkty przywracania systemu czyli to co znajduje się w katalogu SystemVolumeInformation

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Emulat0r) #16

javara wyczyszczone

potem skaner online:

File name:

Hmonitor.sys

Submission date:

2011-09-24 12:21:17 (UTC)

Current status:

queued queued analysing finished

Result:

0/ 43 (0.0%)

plik po wykonaniu skryptu OTL:

http://wklej.to/B0W0N

dodatkowy skan otl:

http://wklej.to/l6tBM


(Spandau) #17

Teraz to sprawdź czy działa Eset :slight_smile: Prosiłem żebyś nic nie instalował Dałem do usuwania pozostałości po Esecie a ty chyba zdążyłeś go zainstalować

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Log z usuwania na forum

Sprawdź czy możesz przez Shift+Del usunąć folder C:\Qoobox Jeśli nie Pobierz ponownie Inherit.exe http://www.bezpieczenstwosystemow.pl/in ... pic=5943.0 Przeciągnij ten folder Qoobox na ikonkę inherit Jak narzędzie skończy pracę, spróbuj usunąć folder przez Shift+Del.

Uruchom OTL klikasz Sprzątanie

Przeczyść system oraz rejestr CCleaner

Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program


(Emulat0r) #18

Dzięki, wszystko działa. System chyba czyściutki jak po formacie.

Tak zainstalowałem ESETa ale już zrobiłem reinstall.

Mam nadzieję, że więcej takiego świństwa już nie złapię.

Dziękuję za pomoc.