Problem- Virusheat/ W32.Myzor.Fk@yf i Spyware Cyberlog - X

Dla specjalistów Bezpieczeństwo
#1

Witam serdecznie. Mam problem z trojanami sciagnietymi przez meza ze stron prono. W trakcie proby obejrzenia jakiegos clipu pojawil sie mu komunikat, ze musi sciagnac brakujace komponenty by moc go obejrzec i niestety kliknal zainstaluj :cry:

W tej chwili sytuacja wyglada tak, ze w tool barze miga mi caly czas komunikat, ze komp jest zainfekowany back door Trojanem, co rusz wyskakuje info, ze jest krytyczny blad i zainstalowany spyware ( Spyware Cyberlog-X) lub trojan (W32.Myzor.FK@yf) , ktore zbieraja prywatne info z mojego kompa. Co chwile tez wyskakuje “propozycja” zeby zainstalowac program antyspyware i antivirus o nie wiadomym dla mnie pochodzeniu.

Zmienila sie tez strona glowna w Internet Explorer, teraz otwiera sie przez safestarts.com i od razu wyskakuja komunikaty o zagrozeniu i rozwiazaniu problemu.

Jak wyszukam cos przez google to klikajac na linki, zostaje przekierowywane na jakies inne strony.

Robilam skana Symantec Antivirus i wylapalo mi sporo syfu m.in Virusheat 4.3 exe, Performance optimizer, trojan horse i mnostwo innych. Czesc usunelam, czesc jest w kwarantannie, ale problem wciaz istnieje.

Baaaaardzo prosze o pomoc. Zaznacze, ze jestem calkiem zielona w sprawach komputerowych, wiec prosze o przystepne wyjasnienie jak pozbyc sie tego klopotu. Z gory dziekuje za pomoc :slight_smile:

a to moj log z Hijack This

http://www.wklej.org/id/98fc96b6b7

#2

sfixuj :

C:\Program Files\NetProject\scit.exe

C:\Program Files\NetProject\sbmntr.exe

C:\Program Files\NetProject\scm.exe

C:\Program Files\NetProject\sbsm.exe

O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)

O2 - BHO: e404 helper - {D4FEDE82-C500-4AA4-BB99-A4DAE5A65A46} - C:\Program Files\Helper\1205432732.dll

O4 - HKLM…\Run: [broadbandadvisor.exe] “C:\Program Files\Virgin Broadband\advisor\Broadbandadvisor.exe” /AUTORUN

O4 - HKLM…\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe

O4 - HKLM…\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

O9 - Extra ‘Tools’ menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm (file missing)

O9 - Extra ‘Tools’ menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm (file missing)

pozatym zrób scan tym:

http://housecall.trendmicro.com/

zainstaluj innego antyvirusa bo ten co posiadasz to badziew

#3

jeszcze dla pewności zrób scan tym:

http://dobreprogramy.pl/index.php?dz=2& … Build+2521

#4

Dziekuje bardzo zaraz zrobie to co napisales. Mam nadzieje, ze poskutkuje, bo mi teraz gole d… same na monitorze wyskakuja :shock:

A jaki antyvirus jest dobry?

Pozdrowka.

#5

A jeszcze jedno sfiksowac mam tylko te dwa wpisy, ktore zaznaczyles na zielono ?

#6

te wszystkie co zaznaczyłem:)

jeśli chodzi o antywira to np taki:

http://dobreprogramy.pl/index.php?dz=2& … .06.00.270

te wpisy sfixuj:

C:\Program Files\NetProject\scit.exe

C:\Program Files\NetProject\sbmntr.exe

C:\Program Files\NetProject\scm.exe

C:\Program Files\NetProject\sbsm.exe

O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)

O2 - BHO: e404 helper - {D4FEDE82-C500-4AA4-BB99-A4DAE5A65A46} - C:\Program Files\Helper\1205432732.dll

O4 - HKLM…\Run: [broadbandadvisor.exe] “C:\Program Files\Virgin Broadband\advisor\Broadbandadvisor.exe” /AUTORUN

O4 - HKLM…\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe

O4 - HKLM…\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

O9 - Extra ‘Tools’ menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm (file missing)

O9 - Extra ‘Tools’ menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm (file missing)

#7

Niestety takie są skutki wizyt na takich stronach. :slight_smile:

Fakt jest słaby.

Avast i Avira nie zapewnią dobrej ochrony przy takich wizytach. Przyzwoitą ochronę ale nie stu procentową do takich rzeczy może zapewnić komercyjne oprogramowanie zabezpieczające. Np. oprogramowanie firmy Kaspersky Lab.

#8

według mnie warto zainstalować pakiet zabezpieczający ZoneAlarm Security Suite,sam go używam od około 4 lat i 0 wirusów,bardzo dobry firewall,antyspyware,antywirus Kaspersky 6 i nie muli kompa umnie cały pakiet zżera 6mb pamięci:)

#9

Ok troche to trwalo i nie obylo sie bez problemow.

Jak zrobilam scan HiJack This zeby sfiksowac to tych wpisow mi wcale nie pokazalo:

C:\Program Files\NetProject\scit.exe

C:\Program Files\NetProject\sbmntr.exe

C:\Program Files\NetProject\scm.exe

C:\Program Files\NetProject\sbsm.exe

a tych nie moglam usunac

O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll

O4 - HKLM…\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe

O4 - HKLM…\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

O9 - Extra ‘Tools’ menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

pokazywal sie komunikat, ze Hijack ma zamiar usunac BHO i korespondujace z nim pliki z systemu i ze mam pozamykac wszystkie okna Internet i Windows Explorer. Zamykalam ale i tak nic to nie dawalo.

Probowalam zrobic scana tym programem housecall, ale nie moglam go zainstalowac, bo wyskakiwal komunikat o problemie z softwarem od bluetootha. Nie wiem o co moglo chodzic.

Chwycilam sie wiec ostatniej deski ratunku, przeskanowalam TrojanRemoverem i to bylo to. Wydaje mi sie, ze caly badziew sie pousuwal. Nic mi juz nie wyskakuje i wszystkie opisane problemy zniknely.

Zastanawia mnie tylko czy aby do konca wszystko jest w porzadku, bo na pulpicie pozostaly mi dwie ikony, ktore sie zainstalowaly wczoraj razem z trojanami.

Sa to ikony Online Security Guide i Security Troubleshooting jak wejde we wlasciwosci to pokazuje URL http://www.safestarts.com/soft/?c=141354 i http://www.safestarts.com/test/?c=341359.

Na wszelki wypadek wklejam jeszcze raz log do sprawdzenia.

I baaaaaaaardzo, baaaaardzo dziekuje za pomoc. No i zycze milego weekendu wszystkim :smiley:

http://wklej.org/id/89dcb56ce8

#10

nom log jest czysty:)

#11

pewnie w kompie siedzą jeszcze obiekty typu spyware tak więc zrób scana tym:

http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314

#12

Daj log z combofix!

#13

Dzieki baldys16 bardzo za pomoc. :smiley: Przeskanowalam tym programem Spyware Terminator i znalazlo jeszcze 3 spywary , 2 niegrozne i 1 dosc niebezpieczny. Teraz mam nadzieje moj komputerek jest czysty jak lza.

arek malek oto log z combofix

http://wklej.org/id/49233c282a

Pozdrawiam

#14

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#15

Ok. zaraz sprobuje zrobic to co mi napisales. Tylko zastanawia mnie dlaczego zaznaczyles do usuniecia

C:\Program Files\»ĂĎëÓÎϷϵÁĐ

bo jest to ulubiona gierka mojego synka. Czy cos z nia jest nie tak?

Pozdrawiam.

#16

Skoro tak to plik powinien wyglądać tak

:slight_smile:

#17

Co za stres :? To chyba za duzo dla prawdziwej blondynki :smiley:

Zrobilam tak jak napisales tzn prawie, bo najpierw zamiast notepada uzylam wordpada i combofix nie chcial tego uznac. Pamietalam jednak o wylaczeniu przywracania systemu.

Cos sie namieszalo, ze nie mialam po tym w ogole neta i zestresowalam sie maksymalnie, ze cos sknocilam na amen.

Wlaczylam z powrotem przywracanie systemu - logika blondynki- ale neta dalej nie mialam. Zrestartowalam wiec komputer i polaczenie z siecia wrocilo zapislam wszystko w notepadzie, wrzucilam do Combofixa i zaczelo mielic. Tylko jedno ale… zapomnialam przed tym ponownie wylaczyc przywracania systemu. Co teraz?

Oto log z Combofix:

http://wklej.org/id/19f88555d0

#18

Log czysty

przywracanie systemu włączyłaś to dobrze

brak neta po Combo to nic strasznego wystarczy 1 lub 2 restarty

usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

zrób optymalizacje autostartu http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

:slight_smile: