Podejrzenie infekcji komputera


(Teterous) #1

Witam, ostatnimi czasy mam małe problemy z kompem. Skanowałem go ESET Online Skanerem, AVASTem oraz Spybotem, wykryło parę świństw i podobno 'wyleczyło', ale dalej jest problem z przeglądarkami. Często się wyłączają, otwierają nową kartę oraz przekierowują na inną stronę , kiedy klikam w linki wyszukane przez google. Załączam log z OTL'a i proszę o pomoc!

OTL:

http://www.wklej.eu/index.php?id=8d54f90482

EXTRAS:

http://www.wklej.eu/index.php?id=e57d76058f


(Krzych Wiel) #2

Skorzystaj z pomocy skanera CCE. Uruchom w trybie Aggressive Mode to znaczy mechanizm agresywnego uruchamiania - wystarczy przytrzymać klawisz Shift aby program zakończył wszystkie niebezpieczne procesy i umożliwił swobodną pracę.

http://forums.comodo.com/polski-polish/ ... #msg572836

http://forums.comodo.com/polski-polish/ ... #msg573012

-- Dodane 01.01.2012 (N) 20:44 --

Otwórz OTL. Wklej podany tekst. Wykonaj skrypt. Zgoda na restart. Pokaż raport. Wykonaj OTL-sprzątanie.


(Teterous) #3

Raport z wykonania skryptu:

http://wklej.eu/index.php?id=e06aafd9f9

Dalej mnie przekierowywuje.


(Krzych Wiel) #4

Skorzystaj z pomocy CCE. Wykonaj skanowanie - Smart Scan

http://forums.comodo.com/polski-polish/ ... #msg572836


(Teterous) #5

Skanowałem, wykryło 2 pliki, później już nic nie wykrywało, a niczego nie zmieniło. Teraz robię Full Scan.


#6

teter91 , na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swoje posty i poprawić co trzeba. Niezastosowanie się do prośby będzie skutkowało przeniesieniem tematu do śmietnika.


(Spandau) #7

Widzę folder kwarantanny Combofixa

Czy już go użyłeś? Jeśli tak dlaczego nie podałeś raportu.


(Teterous) #8

Chciałem użyć, ale nie mogłem ze względu na antivira, którego mogę wyłączyć tylko za pomocą hasła, którego nie posiadam (laptop jest służbowy ojca) ;c

Wciąż jedynym problemem jest przekierowywanie stron z google na 95p.com.


(Spandau) #9

No jest problem ponieważ masz rootkita zero access Proszę pobrać ponownie Combofixa - to konieczne, wejść w tryb awaryjny windows i uruchomić program. Jak wszystko pójdzie dobrze i narzędzie skończy pracę pokaż raport na forum. Instrukcja http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/


(Teterous) #10

Niestety, wchodzę w tryb awaryjny, po 2-3 minutach wyskakuje blue screen i się resetuje komp...


(Krzych Wiel) #11

Infekcja ( USUWANIE INFEKCJI ZEROACCESS ) sposób postępowania został opisany na http://forums.comodo.com/polski-polish/ ... #msg573008


(Teterous) #12

KillSwitch pokazuje tylko CCMonitor.exe jako FLS.UNKNOWN , czy to coś groźnego? Jeszcze w Quick Repair zmienione mam tylko w Global Profile DNS i Hosts, gdzie DNS sam wpisywałem, żeby mieć neta, a Hosts nie da się naprawić. oraz w User mam Exe File jako Disabled.


(Krzych Wiel) #13

Zgodnie z zaleceniem.Po restarcie (zakończonym skanowaniu) otwieramy narzędzie KillSwitch (CCE> killswitch.exe) i moduł Qucik Repair:


(Teterous) #14

Naprawiło tylko DNS ,a problem przekierowywania wciąż jest.


(Spandau) #15

Nie odzywałem się w tym temacie, ale teraz muszę nie wykonuj poleceń miki25 bo są śmieszne. Nie ma obecnie narzędzia które potrafi w całości usunąć tego rootkita. Wyjątkiem jest Combofix (chociaż nie zawsze) na 64 bitowych systemach. To co jest podane usuwa całkiem inną wersje rootkita

Spróbujemy usuwania normalnie

Pobierz ponownie Combofixa (koniecznie zmień mu nazwę na svchost.exe)

wklej do notatnika:

Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki svchost.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę svchost.exe powinno rozpocząć się usuwanie po tym daj log na forum.


(Krzych Wiel) #16

-->spandaupol. To co podałem to nie jest moje opracowanie, proszę o przeanalizowanie tych informacji ( opr. morphiusz ) - http://forums.comodo.com/polski-polish/ ... #msg573008


(Spandau) #17

Chyba nie sądzisz, że nie patrzyłem zanim napisałem posta. Wpisy ładownia rootkita na systemach 64 i 32 bitowych są inne. http://www.securelist.com/en/blog/493/M ... _platforms Zobacz sobie przykład http://www.fixitpc.pl/topic/4990-win32malware-gen/ (to tylko przykład, jedna z odmian rootkita) To co Ty pokazałeś to jest tylko jeden komponent rootkita i nie widzę aby Comodo czy Malwarebytes usuwały resztę. Przynajmniej jak do tej pory. Rzecz w tym że user myśli że po użyciu Comodo pozostała drobnostka czyli przekierowanie strony, a przecież to wynika z faktu, że rootkit nadal ma się dobrze. Nawet jeśli to przekierowanie by ustało to nie znaczy, że nie pozostały jeszcze inne elementy infekcji.


(Krzych Wiel) #18

Rozumiem i dziękuję za wyjaśnienia


(Spandau) #19

Nie zrozum mnie źle. Ja chciałbym aby taką infekcję można było usunąć skanerem, ale to nie jest takie proste. Na przykład narzędzie typu Webroot AntiZeroAccess chociaż przeznaczone do usuwania tej właśnie infekcji na 32 bitowych systemach również nie usuwa jej w całości. Nieumiejętne użycie skanera może natomiast spowodować więcej problemów niż pożytku (może usunąć zainfekowane pliki programów, a niekiedy sterowniki) Combofix w pewnych określonych warunkach jest w stanie je podmienić na znalezioną czystą kopię. Nie wspomnę że może naprawić np naruszony winsock. Zobacz np ten temat pomocy-przegladarka-otwiera-dziwna-strone-skan-nie-dziala-t471792.html Comodo niby znalazł infekcje

To jest na bazie Twojego przykładu

a kto ją usunął - Combofix


(Teterous) #20

Kurde, mama wyłączyła mi, jak było oczekiwanie na raport, tak więc dopiero jutro go dodam -.- ale zauważyłem, że problem przekierowań został naprawiony. Jest jeszcze 1 sprawa, zniknęły mi ikonki od office, tj. jakby nie wykrywał programu, ale jak kliknę 2 razy na plik to otwiera normalnie, np. w wordzie...