Podmiana strony startowej i brak update w antymalware


(danyll) #1

Witam. Piszę bo nie wiem jakie logi potrzebne będą do tego (z których programów). Mam taki problem że podmieniła mi się strona startowa. Z tym sobie poradziłem bo wystarczyło ją zmienić w opcjach przeglądarki. Chciałem przeskanować system i pobrać jakiś antymalware. Pobrałem malwarebytes lecz nie chciał się zaktualizować(więc pewnie nic nie znajdzie:/). Mam jeszcze testową wersję IObit Security 360 i w połowie skanu mam już 3 znalezione zakażone pliki (jednak to wersja testowa to trzeba będzie je dokładnie przejrzeć). Chciałem pobrać avasta home ale strona się wyłącza jakby coś ją blokowało. Nie można pobrać z oficjalnej strony (na nią wejść w ogóle się nie da) ani z dp bo się wyłącza tak jakby łącze było zerwane. Jakie dać logi aby można było to usunąć? [-o<


(Henio Mazurek) #2

Daj na początek z OTL i gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

Logi wklej na www.wklej.org a tutaj tylko link do wklejki.


(danyll) #3

Log OTL:

http://www.wklej.org/id/125970/

i log z gmer'a:

http://www.wklej.org/id/125997/

Dodam że IObit Security 360 sygnalizuje próbę startu aplikacji servises.exe w C:\Windows\System32. Wg mnie jest to na 99.99% coś szkodliwego bo normalnie to powinno być services a nie servises ? :o

Aha nie chce mi się zainstalować avast... No i mam w menadżerze zadań 10 razy svchost.exe a normalnie to było ok 5:/


(Henio Mazurek) #4

Tutaj jest cięższa sprawa. Użyj na to ComboFix, wklej log

viewtopic.php?p=1170959#p1170959

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.


(danyll) #5

No to tak, wiedziałem że coś siedzi więc dałem update Security 360 i znalazł mi 38 zainfekowanych plików jednak system się zawiesił i nie mogłem usunąć. Uruchomiłem pc, zapuściłem jeszcze raz skan aby usunąć (w międzyczasie poszedłem na grilla) a jak wróciłem to:

-zmieniona tapeta typu WARNING, niebieskie tło

-na pulpicie nowe ikony że niby antywirusy itp i otwarte okno jednego z nich, proszące o update w celu usunięcia wirów (haha, nie skorzystałem)

-w zasobniku systemowym masa alertów

-co nie otworzyłem to pojawiało się okienko że plik zarażony, nawet prawy myszy na pulpicie nie działał żeby zobaczyć właściwości, wszystko się od razu wyłączało

Dałem tryb awaryjny i skan MAlwarebytes który tu w awaryjnym się uruchomił (bo nirmalnie to pisało że zainfekowany), znalazł 32 pliki:

http://wklej.org/id/126069/ i je usunął.

Przeszedłem do trybu normalnego i niby ok ale dam loga bo nigdy pewnie sam program wszystkiego nie usunie.


(deFco247) #6

No tak... System Security. Tylko on jest tak "wredny". :wink:

Mimo to pokaż log z Combofix, bo nie wiadomo co ten syf naściągał...


(Henio Mazurek) #7

Tutaj była gorsza sprawa od System Securiy.

Strumień NTFS podpięty pod plik systemowy. Niektóre potrafią niszczyć pliki systemowe, dlatego w tym wypadku log z ComboFix to priorytet. Pewnie i tak trzeba będzie przeczyścić foldery systemowe.


(danyll) #8

Niestety nie mogę zarzucić loga z Combofixa, bo się wyłącza. Będzie trzeba użyć czegoś innego. A pliki się odbudowały w system32 bo mam poustawiane w liście wg daty modyfikacji to szybko widać co nowego wlazło :cry:

Aha, w tych ostatnio zmodyfikowanych mam svchost.exe czyli plik systemowy zarażony:/


(deFco247) #9

Pozostaje jeszcze jedno narzędzie...

Pobierz program SDFix

-


(danyll) #10

Uruchomiłem w awaryjnym SDFix i zaczął skanowanie, zrestartował i kończył kończył kończył, a nic nie robił, nawet dioda dysku nie migała że czytane jest coś z dysku, a ponad godzina skanowania na nic to przesada:/ W ogóle nic nie zrobił, tak jakby się zawiesił.. Czy po formacie będzie nadal ten wir?? Bo szybciej pójdzie mi zainstalowanie systemu od początku niż usunięcie tego badziewia. Ale nie wiem, czy to nie rootkit albo coś co po sformatowaniu nadal będzie na dysku:/


(Henio Mazurek) #11

SDFix nie potrafi tego usuwać. Skoro już masz zamiar robić format to jeszcze jedną rzecz zrób.

Najpierw pobierz ERUNT i wykonaj kopię rejestru

http://www.larshederer.homepage.t-online.de/erunt/

Potem pobierz najlepiej nowy ComboFix, jeszcze nie uruchamiaj.

Otwórz gmer, przejdź pod zakładkę Procesy i zabij wszystko (PPM na proces => Zabij proces) oprócz tych co na rysunku

gmer.th.gif

Ten numerkowy proces to gmer, pamiętaj by go nie zabijać.

Potem w polu przy Uruchom podajesz ścieżkę do ComboFix.exe, potem klikasz Uruchom.

Wystąpią błędy przy backupie rejestru (dlatego każę to zrobić wcześniej) ignorujesz je i klikasz "Tak", po zakończeniu pracy ComboFix'a w tym wypadku potrzebny będzie twardy reset. Log znajdziesz w lokalizacji wskazanej przez ComboFix.

U mnie działało w każdym razie.


(danyll) #12

Ciemnowidz dzięki za cierpliwość ale nie pomogło, zabiłem wszystkie procesy które kazałeś prócz tych na zdjęciu i później w zakładce cmd dałem żeby uruchomiło combofixa prosto z C: bo tam go umieściłem żeby krótsza ścieżka dostępu była, nie odpalił tzn pasek przeszedł i nic. Dałem też w oknie procesy tam na dole i uruchom, to samo czyli brak reakcji.

Normalnie uruchamiając combofixa bez gmeru to wyskakiwało takie coś: 4fdc9bbc2aaaa34dm.png

Dodam tylko że w programie Security 360 pokazywało że to coś uruchamiało zawsze Usługę terminalową mimo że w services.msc była wyłączona, a w msconfig całkowicie odchaczona ze startowania:/

Format /\/\/\/_________________________________________________ bip, bip

Ps. mam nadzieję że nikt tego nie będzie miał bo strasznie ciężko się usuwa. Szybciej pójdzie sformatowanie i wgranie wszystkiego (ok 1h). Dzięki:)


(Henio Mazurek) #13

Nie wiem czy tutaj było więcej Twoich plików czy wirusów.

Skoro był Virut w dodatku to najlepszy byłby format wszystkich partycji.

Wszelkie programy/instalki/sterowniki/etc pobierasz czyste z sieci.