Shakowany komputer

Sopariev · 4 Grudzień 2011 18:03

Na komputerze mojej siostry zauważyłem następujące objawy:

ktoś zaczął za nią pisać w otwartym okienku gg, gdy rozmawiała z koleżanką. Słowa te nie miały większego sensu (coś w stylu “kiedy przyjedziesz?”, “co się dzieje?”)
ktoś logował się na jej profil na Facebooku i klikał gdzieniegdzie “lubię to” czy coś w tym stylu. Zmieniał jej też dwukrotnie hasło na ten portal, zostawiając na koniec stare.
siostra powiedziała mi o tym dość późno, natychmiast przeskanowałem komputer avastem (brak wyników). W pewnym momencie po skanowaniu, gdy chciałem włączyć CCleaner nagle wyskoczył jakiś komunikat, że explorer musi zostać zamknięty ze względu na próbę włamania (czy jakoś tak, nie pamiętam)
zmieniliśmy hasła na mocniejsze (okazało się, że były żenująco słabe…)

Pytania:

co mam zrobić w tej sytuacji?
czy jest szansa, że na drugi komputer przeniesie się ten syf? Mamy router (livebox)

rogacz · 4 Grudzień 2011 23:58

Nie słuchaj @djkarateka - widać że się nie zna skoro każe używać combofixa.

Zrób logi z OTL zgodnie z zasadami to ci ludzie znający się sprawdzą.

Sopariev · 5 Grudzień 2011 08:35

W takim razie przesyłam log z OTLa:

http://wklej.org/id/641192/

EDIT: teraz zauważyłem także drugi plik wygenerowany przez OTL - “extras”, przesyłam:

http://wklej.org/id/641194/

Ze skanowaniem programami G Data i malwarebytes w takim wypadku poczekam…

Acorus · 5 Grudzień 2011 08:56

Odinstaluj DAEMON Tools Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com IE - HKU\S-1-5-21-1078081533-299502267-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com FF - prefs.js…browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…browser.search.selectedEngine: “SweetIM Search” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.12.2.100008 FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…keyword.URL: “http://search.sweetim.com/search.asp?src=2&q=” [2010-11-07 10:32:32 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\m5x5cqcg.default\extensions\DTToolbar@toolbarnet.com [2011-11-08 17:28:15 | 000,000,000 | —D | M] (“PandoraTV Toolbar”) – C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\m5x5cqcg.default\extensions\toolbar@ask.com [2010-11-07 10:32:07 | 000,002,059 | ---- | M] () – C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\m5x5cqcg.default\searchplugins\daemon-search.xml [2011-10-03 13:15:14 | 000,003,915 | ---- | M] () – C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\m5x5cqcg.default\searchplugins\sweetim.xml O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1078081533-299502267-682003330-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-1078081533-299502267-682003330-1003…\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) [2011-12-04 20:01:00 | 000,000,240 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptytemp]

Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Sopariev · 5 Grudzień 2011 09:27

Po zrestartowaniu komputera (jednak po restarcie miałem czarny ekran… musiałem go jeszcze raz zrestartować przyciskiem):

http://wklej.org/id/641216/

Skan OTLem:

http://wklej.org/id/641214/

Extras:

http://wklej.org/id/641213/

Acorus · 5 Grudzień 2011 09:35

W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

Sopariev · 5 Grudzień 2011 12:01

Malwarebytes znalazł ponad 51 trojanów, w tym jakichś “agentów” i “backdoor” wziąłem “usuń zaznaczone”… czy jest już po zagrożeniu? W pozostawionym logu przy każdym pliku widnieje informacja, że “udało się usunąć / przenieść do kwarantanny”, czy jakoś tak.

Drugi program wskazał do aktualizacji IE 6.0 i Firefoxa. Tu spytam czy IE w ogóle można usunąć i zostawić tylko Firefoxa?

Acorus · 5 Grudzień 2011 12:11

Powinno być dobrze.IE się nie usuwa tylko aktualizuje.Zaktualizuj do wersji 8.

Sopariev · 5 Grudzień 2011 16:10

Na razie jest wszystko ok, wielkie dzięki za pomoc temat do zamknięcia