skuban
(Sebastian)
26 Lipiec 2011 12:05
#1
Problemy objawiają się przekierowywaniem przeglądarki na inne strony oraz blokowaniem dostępu do niektórych stron (np. gmail), przy czym występują głównie w IE8, natomiast w Chrome już nie.
Ponadto ogólna wolna praca komputera i czasowy problem z działaniem niektórych programów.
Próbowałem dostępnych na forum programów, znajdują problemy, ale brak jest ich skutecznego usunięcia.
Podaję dotychczasowe efekty:
OTL - http://wklej.org/id/567401/
Malwerbytes - http://wklej.org/id/567404/
Combofix - http://wklej.org/id/567405/
MBRCheck - http://wklej.org/id/567406/
ESET (stały antywirus) - http://wklej.org/id/567411/
Z góry dziękuję za wszelką pomoc.
skuban
(Sebastian)
26 Lipiec 2011 16:11
#3
Pełny skan DrWeb zrobiony - wykrył “BackDoor…” w 3 miejscach.
Podaję też log z MBR (tzn. program włączył się i za sekundę zniknął, pozostawiając to na pulpicie):
http://wklej.org/id/567553/
Jest dobrze Czy są jeszcze jakieś problemy?
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
skuban
(Sebastian)
27 Lipiec 2011 08:30
#5
Wykonałem skrypt, oto log po restarcie komputera:
http://wklej.org/id/567906/
Problem niestety nie zniknął, czy mogę liczyć jeszcze na jakieś sugestie ?
W takim razie proszę o raport Gmera Jak prawidłowo przygotować system i wykonać skan Gmerem tutaj http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/ Dodatkowo proszę o nowy raport OTL
skuban
(Sebastian)
27 Lipiec 2011 10:08
#7
Nowy raport GMER (po skanowaniu pojawiło się okno wskazujące na obecność ROOKIT’A):
http://wklej.org/id/567943/
Nowy raport OTL:
http://wklej.org/id/567944/
OJ będzie co usuwać Teraz postaramy się dobrać narzędzie do usunięcia Rootkita z MBR
Pobierz i użyj Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814 ](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś znajdzie wybierz Opcje Skip i zaprezentuj raport na forum
skuban
(Sebastian)
27 Lipiec 2011 11:03
#9
Więc po kolei Uruchom ponownie Kasperskiego jak znajdzie
Wybierasz teraz opcje Cure Po wykonanym czyszczeniu Wykonaj nowy skan i podaj nowy raport Kasperskiego w celu potwierdzenia że infekcja usunięta.
Następnie
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
skuban
(Sebastian)
27 Lipiec 2011 11:26
#11
Uruchom OTL klikasz Sprzątanie
Oczywiście sprawdź jak teraz działają przeglądarki
skuban
(Sebastian)
27 Lipiec 2011 11:43
#13
Wygląda, że wszystko jest ok. Jedyne co mnie trochę martwi, to że przy uruchamianiu systemu przez kilka sekund wyświetla się informacja, że komputer może być zagrożony, następnie uruchamia się NOD i wszystko jest już ok - nie jestem pewien ale kiedyś chyba taka informacja chyba się nie pojawiała.
Druga sprawa, to fakt że dotychczas zainfekowany komputer podłączony mam w sieci lokalnej z innymi - czy zasadne byłoby sprawdzenie logów z pozostałych komputerów (brak jest na nich tych samych objawów, jedynie w historii dziennika NOD’a są jakieś zapisy o zablokowanych/usuniętych plikach/infekcjach), a jeśli warto to z jakich progamów należy podać logi.
Wklej do notatnika
Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg
Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.
Wykonaj pełne skanowanie systemu NODem Logi warto podać, przynajmniej z OTL + Kasperski TDSSKiller
skuban
(Sebastian)
27 Lipiec 2011 13:44
#15
Czyli dla pewności podaję jeszcze logi z pozostałych komputerów w sieci.
komp1:
http://wklej.org/id/568121/ OTL
http://wklej.org/id/568123/ OTL EXtras
http://wklej.org/id/568124/ TDSSKiller - tu zoś znalazł, ale zaproponował “skip”
komp2:
http://wklej.org/id/568125/ OTL
http://wklej.org/id/568127/ OTL EXtras
komp3:
http://wklej.org/id/568128/ OTL
http://wklej.org/id/568129/ OTL EXtras
Dziękuję serdecznie za dotychczasową pomoc.
Czy podać też logi z komputera, który przed chwilą oczyściliśmy?
Wszystko w porządku Zaktualizuj
Tutaj wszystko w porządku Uaktualnij
Zainstalowałeś dodatkowo do Exeta
Jeśli wszystko działa to OK Było podpinane jakieś urządzenie przenośne?
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Log z usuwania na forum
Zobacz temat Jak zabezpieczyć się przed infekcją z mediów przenośnych http://www.fixitpc.pl/topic/56-zabezpie … zenosnych/ Uaktualnij
Tak