Spam na fejsbuku - podejrzana infekcja trojanem


(kurzel131) #1

Dziś po 3 rano zaczęły się wysyłać linki z hostingu, spam dostały wybrana grupa osób pewnie niektóre po 2 jak koleżanka. Podejrzewam działanie trojana jednak nie lajkowałęm oficjalnego profilu hostu sendspace więc winę można by zwalić na inne profile albo trojana załapanego przy ściąganiu.

Z senspace.pl rzeczywiście korzystałem bo uploadowałem sejw do gr jednak to było 3 dni temu a dziś popołudniu kolega zauważył link i myślałem ,że znów przez obciążenie zasobów kompa poszło tam gdzie nie trzeba.

losowe linki to:

http://www.sendspace.com/pro/dl/alddql?4k

http://www.sendspace.com/pro/dl/8e71np?1Q

http://www.sendspace.com/pro/dl/3pkzah?L9

http://www.sendspace.com/pro/dl/8g2dbe?3a

podczas gdy mój to

http://www.sendspace.pl/file/95e6ea7254 ... 5/save1deb

Jakie logi potrzebujecie?


(fejku) #2

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741 OTL na http://www.wklej.org albo http://www.wklej.to.


(kurzel131) #3

http://wklej.to/knaMV

http://wklej.to/2Xem9

sorry musiało się źle wkleić


(Atis) #4

Brakuje logu Extras.

Czy znasz te programy?

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(kurzel131) #5

dodane

Nie znam, kompa dziele ze starymi i pewnie stary coś ściągnął do rejestru itd

http://wklej.to/yjb6f

tu mała uwaga v9 wcześniej usunąłem bo jest to zbędny toolbar obciążający przeglądarkę i komputer.


(Atis) #6

Odinstaluj programy skoro nie wiesz do czego służą.

Ten pierwszy uruchomił własną usługę i cały czas działa w tle.

Jeżeli nie można odinstalować w panelu sterowania to sprawdź czy folderze nie ma pliku Uninstall.

Później kliknij Skanuj i pokaż nowy log.


(kurzel131) #7

http://wklej.to/v76Er

http://wklej.to/W4aEU

przez revo unistaller oba się usunęły

//to są logi po usunięciu tych 2 programów


(Atis) #8

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji odznacz Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html


(kurzel131) #9

Log z security check i Malwarebytes-AntiMalware dam popołudniu reszta zrobiona puki co jest dobrze

//adobe ma się nijak do ochrony kompa a nie będę go dobijał bo 11 za dużo zasobów pobiera


(fejku) #10

Właśnie, że Adobe ma do ochrony, czasami właśnie przez lukę w tym programie komputer zostaje zainfekowany.


(kurzel131) #11

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

Wersja bazy: v2012.09.07.08

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Kurzel :: KURZEL-828E2885 [administrator]

Ochrona: Włączona

2012-09-07 15:30:58

mbam-log-2012-09-07 (21-43-16).txt

Typ skanowania: Pełne skanowanie (C:|D:|E:|F:|)

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 279951

Upłynęło: 4 godzin(y), 40 minut(y), 30 sekund(y)

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

wykrytych folderów: 1

C:\WINDOWS\system32\28463 (Keylogger.Ardamax) -> Nie wykonano akcji.

Wykrytych plików: 13

C:\Program Files\hp deskjet 845c series\printpcl.exe (Trojan.Pirminay) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\AKV.exe (Trojan.Ardamax.FSGEN) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.007 (PUP.ArdamaxKeyLogger) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.exe (Trojan.Ardamax) -> Nie wykonano akcji.

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temp\NOD27DB.tmp (Worm.Conficker) -> Nie wykonano akcji.

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temp\tmp123.exe (Trojan.Agent) -> Nie wykonano akcji.

E:\MOJE PLIKI\2011-05-25\Soft do PC\Advanced SystemCare 3.6.0.709 Pro\Keygen\Keygen.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.

E:\MOJE PLIKI\2011-05-25\Soft do PC\Dzienniczki Ucznia (Organizery)\Marinius15(dobreprogramy.pl).exe (Adware.Onlinegames) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.001 (Keylogger.Ardamax) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.002 (Keylogger.Ardamax) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.005 (Keylogger.Ardamax) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.006 (Keylogger.Ardamax) -> Nie wykonano akcji.

C:\WINDOWS\system32\28463\QNVF.007 (Keylogger.Ardamax) -> Nie wykonano akcji.

(zakończone)

No to robię update


(fejku) #12

Z tego co tu widzę to do usunięcia wszystko, potem będziesz musiał sobie zainstalować od nowa sterowniki do drukarki, bo jeden z plików jest zainfekowany.


(kurzel131) #13

To w tej chwili najmniejszy problem szkołę skończyłem 2 lata temu i mało teraz drukuję, problem co prawda poruszony w innym temacie ale folder system 32 lubi się chować nie jest ukryty a fizycznie go nie ma choć procesy typu winlogon.exe są. Są jakieś klucze do rejestru odpowiedzialne za widoczność tego folderu?


(adam9870) #14
  1. Zdecyduj co zrobisz z tym co znalazł Malwarebytes Anti-Malware, w razie dalszych problemów pokaż nowe logi z OTL. Opcjonalnie przeskanuj też: Dr.WEB CureIt! i Kaspersky Online Scanner

  2. Odinstaluj Adobe Reader 6. Pobierz i zainstaluj Adobe Reader X 10.1.4

  3. Czy sam wyłączałeś Centrum zabezpieczeń?

  4. Co do “niewidzialnego” system32: Niewidoczny folder system32


(kurzel131) #15

1a Usunąłem wszystkie infekcje od malware

1b znów do popołudnia ze skanami trza czekać

2 mam błąd http://imageshack.us/photo/my-images/805/45256570.jpg/

3 nie chyba ,że jakiś proces z autostartu od tego jest w co wątpię

chyba został zmieniony klucz

zmiana binarna kluczy ShowSupperHidden i SuperHidden z 0 na 1 pomogła

skany się przeciągną, wgram też aktalizację

nie da rady lżejszych skanerów ? nie wiem jak kaspersky bo strona nie hula ale dr web tak pobiera zasoby ,że anuluj nie chce zaskoczyć

Mój komputer to:

System operacyjny Microsoft Windows XP Professional Dodatek service pack systemu operacyjnego Dodatek Service Pack 3

Typ procesora AMD Athlon XP, 900 MHz (9 x 100)

Pamięć fizyczna 256 MB (PC2100 DDR SDRAM)

Karta wideo NVIDIA GeForce2 MX/MX 400 (64 MB)

Dysk fizyczny ST340810A (40 GB, 5400 RPM, Ultra-ATA/100)

Dysk fizyczny WDC WD1600BB-00GUC0 (149 GB, IDE)

Comodo Cleaning Essentials jest imo górną granicą a skanowanie i tak leci 6h gdy się nic nie robi

Dodane 09.09.2012 (N) 16:45

nie mogę znaleźć instalki do tego kaspersky online scanner (szukam 7.0) to ten link http://www.tkqlhce.com/click-2349352-10 … SID=234234 ??

weba uruchomiłem w trybie normalnym o 1634 i do tej pory żadnego okna, ikony w tray-u choć w procesach śmiga

to jak zalecacie skan comodo?

Dodane 15.09.2012 (So) 23:37

dobra temat do zamknięcia zrobiłem skan comodo