StarWindSerciveAE.exe i może coś więcej

Band1t · 3 Wrzesień 2011 12:05

Witam, nałapałem trojanów czy tam innego gówna przed chwilą cały czas włączał się po ułamku sekundy wygaszacz, mam też duży problem z portami USB, co opisałem w innym temacie ale niestety bez odpowiedzi. Proszę o pomoc. Wspomniany problem z usb

http://wklej.to/wjrwT

http://wklej.to/zRuYn

krzych5610 · 3 Wrzesień 2011 16:23

ComboFix - http://www.dobreprogramy.pl/ComboFix,Pr … 15526.html. Nie uruchamiaj trybu konsoli odzyskiwania. Wyłącz przed skanowaniem antywirusa jeżeli takowy występuje. Logi na forum.
Skan za pomocą KRD-10 (ISO) - http://www.dobreprogramy.pl/Kaspersky-R … 12771.html
Instalacja - CIS 5.5 ( firewall + antywirus) bez tzw pomocy techn. http://www.dobreprogramy.pl/Comodo-Inte … 12952.html

KONFIGURACJA / ochrona pro-aktywna
ANTYWIRUS / przy dostępie ( ochrona USB )
FIREWALL / tryb bezpieczny // KONFIGURACJA / ZAAWANSOWANE - zaznaczyć poz 1 - 4 (5)
ANTYWIRUS / zmienić na PRZY DOSTĘPIE /
USTAWIENIA SKANERA /skaner rezydentny - poz 2, 3 , 4, heurystyka niska. do 40 MB. Skanowanie ręczne. Zaznacz wszystkie poz. , heurystyka średnia, do 2000 MB. Zatwierdź mimo protestów. Zaplanowane skanowanie, tak jak dla ręcznego, tylko zakres do 1048 MB.

spandaupol · 3 Wrzesień 2011 16:39

Pewne wpisy w logu OTL mogą świadczyć o obecności rootkita w MBR dlatego na początek proszę o loga Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje proszę wybrać opcje Skip

Band1t · 4 Wrzesień 2011 10:45

Witam, oto log z COMBOFIX’a http://wklej.to/A5K6r

Niestety, nagrałem ten obraz płytki ale z tego co zdążyłem zauważyć na ekranie pojawiło się coś w stylu “Nieprawidłowy plik boot.ini” i nastąpił rozruch windy.

TDSSKiller nic nie wykrył (3x skanowałem)

CIS jeszcze nie instalowałem, mam noda na komputerze i boje się, że instalując oba coś mogę popsuć. Powinienem odinstalować nod’a zanim zainstaluje CIS 5.5??

spandaupol · 4 Wrzesień 2011 11:04

To, że kasperski nic nie wykrył, znaczy tylko tyle że kasperski nic nie wykrył, a nie znaczy że nic nie ma. Nie używa się takich narzędzi jak Combofix, bez wyraźnego powodu

Proszę pobrać i użyć AswMbr instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry22656](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 22656#entry22656) klikasz Scan log wynikowy na forum

Band1t · 4 Wrzesień 2011 11:12

Jednak są http://wklej.to/u8dva

Combofix’a użyłem bo krzych5610 kazał

nadal nie wiem jak z tym CIS’em, a problem z USB nadal występuje co bardzo utrudnia mi prace na pc.

spandaupol · 4 Wrzesień 2011 11:18

Dlatego odpowiedziałem w poście poniżej co podejrzewam i co należy zrobić Combofix takiej infekcji nie usunie. Użyj AswMBR z opcją Fix zgodnie z instrukcją w linku powyżej Lub jeśli ta opcja będzie nieaktywna użyj FixMBR Po tym pokaż nowy raport z narzędzia wykonany z opcji Scan Zobaczymy czy czysto wtedy przejdziemy do usunięcia pozostałości OTL

Na razie nie instaluj

Band1t · 4 Wrzesień 2011 11:31

Była tylko opcja fixMBR, wyskoczył komunikat, że mogę na stałe uszkodzić partycje, po krótkim namyśle kliknąłem TAK i w mgnieniu oka pc się zrestartował, po włączeniu na samym początku ESET wyświetlił (opcja leczenie niestety nic nie dała)

http://wklej.to/k8vNh

(nadal wyświetla dwie czerwone linijki, ale wcześniej wyświetlał bodaj 4)

spandaupol · 4 Wrzesień 2011 12:11

Wykonaj pełny skan Dr.WEB CureIt! Napisz czy udało mu się usunąć infekcje Po tym usuniemy pozostałe elementy rootkita OTL’em

Band1t · 5 Wrzesień 2011 01:10

log z drweb’a ma 36 mb, muszę go uploadować?

http://wklej.to/KC334

http://wklej.to/Y526e

spandaupol · 5 Wrzesień 2011 11:29

Na razie nie. Pytanie czy Eset nadal wykrywa infekcje?

Co do odczytu ASWMBR rzecz w tym, że nie została zdjęta emulacja, więc odczyt może być nieprawidłowy. Na razie proszę wykonać to

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL Files: c:\windows\system32\drivers\xpsec.sys c:\windows\system32\drivers\xcpip.sys :Services xcpip xpsec :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] “65533:TCP” =- “52344:TCP” =- “5353:TCP” =- “9206:TCP” =- “4146:TCP” =- “7959:TCP” =- “4135:TCP” =- “2193:TCP” =- “2102:TCP” =- “4724:TCP” =- “1725:TCP” =- “2071:TCP” =- “7384:TCP” =- “5302:TCP” =- “6211:TCP” =- “2138:TCP” =- “5959:TCP” =- “4881:TCP” =- “7631:TCP” =- “9068:TCP” =- “9069:TCP” =- “6271:TCP” =- “3224:TCP” =- “8869:TCP” =- “6068:TCP” =- “5115:TCP” =- “6177:TCP” =- “4584:TCP” =- “8568:TCP” =- “1522:TCP” =- “9381:TCP” =- “9292:TCP” =- “3183:TCP” =- “6835:TCP” =- “3405:TCP” =- “6928:TCP” =- “6413:TCP” =- “8491:TCP” =- “4480:TCP” =- “3694:TCP” =- “4460:TCP” =- “5944:TCP” =- “2527:TCP” =- “2496:TCP” =- “4683:TCP” =- “8522:TCP” =- “4350:TCP” =- “1746:TCP” =- “4623:TCP” =- “4668:TCP” =- “2808:TCP” =- “5897:TCP” =- “4319:TCP” =- “9136:TCP” =- “3340:TCP” =- “5647:TCP” =- “7528:TCP” =- “4980:TCP” =- “3931:TCP” =- “4194:TCP” =- “4638:TCP” =- “3225:TCP” =- “9318:TCP” =- “6230:TCP” =- “8099:TCP” =- “4335:TCP” =- “3074:TCP” =- “5198:TCP” =- “9275:TCP” =- “7974:TCP” =- “8006:TCP” =- “6568:TCP” =- “6693:TCP” =- “7369:TCP” =- “5193:TCP” =- “8417:TCP” =- “6990:TCP” =- “3431:TCP” =- “1559:TCP” =- “2146:TCP” =- “7541:TCP” =- “9473:TCP” =- “4912:TCP” =- “2646:TCP” =- “2323:TCP” =- “2209:TCP” =- “4224:TCP” =- “2693:TCP” =- “6150:TCP” =- “9317:TCP” =- “8864:TCP” =- “2068:TCP” =- “2287:TCP” =- “7621:TCP” =- “8122:TCP” =- “8161:TCP” =- “2443:TCP” =- “5388:TCP” =- “8520:TCP” =- “2771:TCP” =- “5418:TCP” =- “8114:TCP” =- “2810:TCP” =- “5802:TCP” =- “8246:TCP” =- “1764:TCP” =- “5497:TCP” =- “3646:TCP” =- “3990:TCP” =- “9963:TCP” =- “5740:TCP” =- “7885:TCP” =- “5365:TCP” =- “5167:TCP” =- “8834:TCP” =- “1599:TCP” =- “9543:TCP” =- “4308:TCP” =- “6918:TCP” =- “8786:TCP” =- “8708:TCP” =- “8583:TCP” =- “5960:TCP” =- “4643:TCP” =- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “65533:TCP” =- “52344:TCP” =- “5353:TCP” =- “9206:TCP” =- “4146:TCP” =- “7959:TCP” =- “4135:TCP” =- “2193:TCP” =- “2102:TCP” =- “4724:TCP” =- “1725:TCP” =- “2071:TCP” =- “7384:TCP” =- “5302:TCP” =- “6211:TCP” =- “2138:TCP” =- “5959:TCP” =- “4881:TCP” =- “7631:TCP” =- “9068:TCP” =- “9069:TCP” =- “6271:TCP” =- “3224:TCP” =- “8869:TCP” =- “6068:TCP” =- “5115:TCP” =- “6177:TCP” =- “4584:TCP” =- “8568:TCP” =- “1522:TCP” =- “9381:TCP” =- “9292:TCP” =- “3183:TCP” =- “6835:TCP” =- “3405:TCP” =- “6928:TCP” =- “6413:TCP” =- “8491:TCP” =- “4480:TCP” =- “3694:TCP” =- “4460:TCP” =- “5944:TCP” =- “2527:TCP” =- “2496:TCP” =- “4683:TCP” =- “8522:TCP” =- “4350:TCP” =- “1746:TCP” =- “4623:TCP” =- “4668:TCP” =- “2808:TCP” =- “5897:TCP” =- “4319:TCP” =- “9136:TCP” =- “3340:TCP” =- “5647:TCP” =- “7528:TCP” =- “4980:TCP” =- “3931:TCP” =- “4194:TCP” =- “4638:TCP” =- “3225:TCP” =- “9318:TCP” =- “6230:TCP” =- “8099:TCP” =- “4335:TCP” =- “3074:TCP” =- “5198:TCP” =- “9275:TCP” =- “7974:TCP” =- “8006:TCP” =- “6568:TCP” =- “6693:TCP” =- “7369:TCP” =- “5193:TCP” =- “8417:TCP” =- “6990:TCP” =- “3431:TCP” =- “1559:TCP” =- “2146:TCP” =- “7541:TCP” =- “9473:TCP” =- “4912:TCP” =- “2646:TCP” =- “2323:TCP” =- “2209:TCP” =- “4224:TCP” =- “2693:TCP” =- “6150:TCP” =- “9317:TCP” =- “8864:TCP” =- “2068:TCP” =- “2287:TCP” =- “7621:TCP” =- “8122:TCP” =- “8161:TCP” =- “2443:TCP” =- “5388:TCP” =- “8520:TCP” =- “2771:TCP” =- “5418:TCP” =- “8114:TCP” =- “2810:TCP” =- “5802:TCP” =- “8246:TCP” =- “1764:TCP” =- “5497:TCP” =- “3646:TCP” =- “3990:TCP” =- “9963:TCP” =- “5740:TCP” =- “7885:TCP” =- “5365:TCP” =- “5167:TCP” =- “8834:TCP” =- “1599:TCP” =- “9543:TCP” =- “4308:TCP” =- “6918:TCP” =- “8786:TCP” =- “8708:TCP” =- “8583:TCP” =- “5960:TCP” =- “4643:TCP” =- :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Band1t · 5 Wrzesień 2011 12:13

po restarcie:

http://wklej.to/ZFlse

http://wklej.to/C6pAw

http://wklej.to/TQeBQ

Niestety, eset przy włączaniu nadal wyświetla info o tym trojanie.

i najgorsze, że nadal jest ten problem z tym USB.

spandaupol · 5 Wrzesień 2011 12:22

Proszę zdjąć emulacje napędów wirtualnych zgodnie z tym tematem http://www.fixitpc.pl/forum-6/announcem … ce-napedy/

Następnie proszę wykonać skan Gmerem i podać raport http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/

Band1t · 5 Wrzesień 2011 15:10

Staralem sie z calych sil nic nie zepsuć, odinstalowalem wszystko od virtuali, SPTD nie wyświetlał (tj. wyświetlał ale nie dało się w to kliknąć) opcji Uninstal tak więc ręcznie próbowałem wg. zawartej w linku instrukcji usunąć poprzez regedit następnie zrobilem ten log z gmera.

http://wklej.to/111T5

spandaupol · 5 Wrzesień 2011 15:20

Ja tutaj nic nie widzę ale proszę o raport MBRcheck instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … t__p__6557](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page view findpost p 6557)

Band1t · 5 Wrzesień 2011 15:23

http://wklej.to/Usz4d

spandaupol · 5 Wrzesień 2011 15:29

I o to chodziło Jak znajdzie to powyżej wykonaj procedurę czyszczenia zgodnie z instrukcją [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6557](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6557) Jak masz jakieś wątpliwości pisz

Band1t · 5 Wrzesień 2011 15:43

Wykonałem wszystko zgodnie z instrukcją, lecz przy starcie systemu ESET pluje tym samym błędem a przy ponownym scanie MBRcheck wszystko wgląda jak przed czynnościami naprawczymi.

Ponadto nadal jest ten błąd z USB, powiedz prosze, że nie czeka mnie format, bo w obecnej sytuacji bardzo mogło by mi to zaszkodzić.

spandaupol · 5 Wrzesień 2011 15:49

A wybrałeś właściwą pozycję bo tutaj jest OK

błąd jest tutaj

Czyli Ty miałeś wpisać 1

Band1t · 5 Wrzesień 2011 15:54

i tak też zrobiłem.

Aby sie upewnić zrobiłem to drugi raz, ponownie bezskutecznie.