Privacy Protection W32 Blaster- Obrona przed zainfekowaniem

Dranebek · 6 Grudzień 2011 21:24

Witam was drodzy użytkownicy! Wczoraj dnia 06.12.2011r mój komputer został zainfekowany po raz drugi przez trojana Privacy Protection.

Za pierwszym razem wyłączyłem go komendą wpisaną w “Uruchom” “taskkill.exe /F /IM privacy.exe” a następnie ze skanowałem i usunąłem plik privacy.exe programem Norton Power Eraser. Wszystko było w porządku, jak mówiłem wczoraj mój komputer zainfekował się drugi raz . Tak samo wprowadziłem komendę “taskkill.exe /F /IM privacy.exe” lecz tym razem Norton niczego nie wykrył, więc włączyłem Avast! do skanowania systemu, znalazł kilka plików które przeniosłem do kwarantanny. Moje pytanie brzmi jak się bronić przed tym wirusem?

PS. Zawsze gdy wirus się pojawiał podczas przeglądania stron WWW wyskakiwał błąd Javy że jest niezaktualizowana. Już ją zaktualizowałem.

Bardzo proszę o pomoc i pozdrawiam

log OTL

http://wklej.to/fYMLP

extras.txt

http://wklej.to/4vr4o

anon89827741 · 6 Grudzień 2011 21:32

Dranebek , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku image.php?album_id=20&image_id=4038

Poza tym, na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba.

W przypadku zignorowania prośby temat poleci do śmietnika.

stalesz · 6 Grudzień 2011 22:39

Uruchom regedit,sprawdż czy zainfekował Rejestr…Jeśli potrafisz-usuń wpisy…z jego nazwą.Mozesz zainstalowac Spybot Searche & Destroy…Obciąża system,ale może być skuteczny…

Acorus · 7 Grudzień 2011 09:13

Odinstaluj Akamai NetSession Interface Service,AutocompletePro,ooVoo Video Chat Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKCU…\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll (DeviceVM, Inc.) IE - HKCU…\URLSearchHook: {e5a1e26f-0d1d-4307-868f-fbd9a374ab54} - C:\Program Files (x86)\ooVoo_Video_Chat\prxtbooVo.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultthis.engineName: “ooVoo Video Chat Customized Web Search” FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=827316” FF - prefs.js…extensions.enabledItems: pdfforge@mybrowserbar.com:4.1 FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&SearchSource=2&q=” [2011-12-02 19:38:34 | 000,000,000 | —D | M] (ooVoo Video Chat Community Toolbar) – C:\Users\W7\AppData\Roaming\mozilla\Firefox\Profiles\vxmyry8t.default\extensions{e5a1e26f-0d1d-4307-868f-fbd9a374ab54} [2010-12-23 14:57:06 | 000,000,000 | —D | M] (“AutocompletePro - Your handy search suggestions tool”) – C:\Users\W7\AppData\Roaming\mozilla\Firefox\Profiles\vxmyry8t.default\extensions\support@predictad.com [2011-07-18 14:00:00 | 000,000,935 | ---- | M] () – C:\Users\W7\AppData\Roaming\Mozilla\Firefox\Profiles\vxmyry8t.default\searchplugins\conduit.xml O2:64bit: - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\64\AutocompletePro64.dll (SimplyGen) O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll (SimplyGen) O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (ooVoo Video Chat Toolbar) - {e5a1e26f-0d1d-4307-868f-fbd9a374ab54} - C:\Program Files (x86)\ooVoo_Video_Chat\prxtbooVo.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (ooVoo Video Chat Toolbar) - {e5a1e26f-0d1d-4307-868f-fbd9a374ab54} - C:\Program Files (x86)\ooVoo_Video_Chat\prxtbooVo.dll (Conduit Ltd.) O4 - HKCU…\Run: [] File not found O4 - HKCU…\Run: [iSUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found O4:64bit: - HKLM…\RunOnce: [NoIE4StubProcessing] C:\Windows\system32\reg.exe DELETE “HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components” /v “NoIE4StubProcessing” /f File not found O4 - HKCU…\RunOnce: [sPReview] “C:\Windows\System32\SPReview\SPReview.exe” /sp:1 /errorfwlink:“http://go.microsoft.com/fwlink/?LinkID=122915” /build:7601 File not found O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) :Commands [emptytemp]

Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

spandaupol · 7 Grudzień 2011 09:40

Dranebek , Nie wykonuj tego durnego skryptu bo on nic nie usuwa. Masz rootkita zeroaccess Pobierz Combofix instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Klikasz prawym przyciskiem myszy na ikonkę Combofixa z menu wybierasz Uruchom jako administrator Jak wszystko pójdzie dobrze i narzędzie skończy pracę pokażraport na forum

Dranebek · 7 Grudzień 2011 10:01

spandaupol raport wstawię dopiero po 16 ponieważ musialem wyjsc na egzaminy.

spandaupol · 7 Grudzień 2011 10:03

Dobrze. Czekamy na raporty Po wykonanym skanie Combofixem Uruchom ponownie OTL klikasz Skanuj i pokaż także nowy raport OTL.txt

Dranebek · 7 Grudzień 2011 15:11

Dobrze już jestem, wykonałem skan ComboFixem lecz ten znalazł aktywny program antywirusowy którego nie ma na dysku (kiedyś był NOD32 Antyvirus 4.2) nacisnąłem OK

log: http://wklej.to/NCkiA

PS Czy ten rootkit jest bardzo poważny? Nie obejdzie się bez jego usunięcia? Czy usuwanie potrwa długo? czy dzisiaj powinniśmy się wyrobić (niestety o 17 znów muszę wyjść).

spandaupol · 7 Grudzień 2011 15:21

Tak musimy go usunąć. Gdzie jest raport z usuwania Combofix Pllik Combofix.txt bo nic się nie usunęło? Usuwania nie musimy zakończyć dzisiaj i pewno nie skończymy

Dranebek · 7 Grudzień 2011 15:25

Nie miałem takowego pliku, jak mówiłem wyskoczył mi błąd że uruchomiony jest NOD a NOD’a odinstalowałem.

spandaupol · 7 Grudzień 2011 15:27

Proszę pobrać ponownie Combofixa Wejść w tryb awaryjny windows i ponownie klikasz prawym przyciskiem myszy na ikonkę Combofixa z menu wybierasz Uruchom jako administrator Jak wszystko pójdzie dobrze i narzędzie skończy pracę pokażraport na forum

Dranebek · 7 Grudzień 2011 16:00

Comobfix skończył skanować lecz pisze teraz z awaryjnego ponieważ gdy uruchomi normalnie internet nie chce sie włączyć taksamo jak sporo innych aplikacji ;/

firefox itp.

Raport Comobofixa:

http://wklej.to/IhgNb

log OTL:

http://wklej.to/g1uNI

Hmm… zastanawiam się czy nie oddać komputera do informatyka u którego komputer składałem, tam wszystko załatwili by za mnie i było by po problemie, czy orientujesz się może ile by to kosztowało?

spandaupol · 7 Grudzień 2011 16:05

Internetu nie ma ponieważ naruszony jest łańcuch winsock i trzeba go zrekonstruować, to na początek Mogłeś od razu tak napisać nie traciłbym swojego czasu. Nikt nie mówił, że będzie łatwo. Nie wiem ile to kosztuje. Naprawiamy system, albo idziesz do informatyka, się zdecyduj. Ja tam się nie obrażę

Dranebek · 7 Grudzień 2011 18:08

Zadecydowałem że oddam komputer do informatyka ponieważ nie mam zbyt dużo wolnego czasu by móc naprawiać ten system, dzięki i przepraszam

Edit:

Uruchomiłem windows w tryb Ostatniej poprawnej konfiguracji i już dziala