Uciążliwy szkodnik z Facebooka (blokuje OTL)


(Victor93 Wiktor) #1

Jest to niestety kolejny problem z serii "" Wirusy z Facebooka"

Witam. System Windows 7 mam na swoim komputerze niecałe 2 tygodnie, nie zdąrzyłem jeszcze na nim zainstalować żadnego antywirusa. To moje pierwsze kontakty z Win7, wcześniej korzystałem tylko z XP, więc jestem troche zielony w tym systemie. Podczas wczorajszego użytkowania z mojego komputera podłapałem jakieś szkodniki. System od razu mnie o tym poinformował komunikatami. Podjął chyba próbę przeciwstawienie się im. Od razu zaczął się restart komputera, nawet chyba niejednokrotnie. Przeszedł też do trybu awaryjnego, ale po paru sekundach znów sie zrestartował. Jednak komputer jest dalej zainfekowany.

Od razu próbowałem zainstalować programy z płyty Niezbędika Extra. Zainstalowałem Malwarebytes Anti-Malware, uruchomiłem skanowanie, jednak nie zostało ono pomyślnie zakończone, coś przerwało pracę programu pod koniec i go wyłączyło. Gdy próbowałem włączyć program ponownie system ukazywał mi komunikat że można otworzyć tego programu lub nic się nie pojawiało. Na drugi ogień poszedł antywirus AVG, jednak tu nawet instalacja nie została pomyślnie ukończona, urwała się. A gdy klikałem ikonkę AVG nic się nie działo, a po ponownym restarcie komputera, przy kliknięciu na nią wyskakiwał komunikat jakoby ikonka była tylko pozostałością po odinstalowanym oprogramlowaniu i że mogę ją usunąć.

Postanowaiłem spróbować programów z internetu. Ściągnąłem OTL w celu zrobienia logów, jednak OTL udało mi się uruchomić tylko raz. Wybrałem opcję skanowania, jednak nic się nie pojawiło a jedynie OTL został wyłączony. Gdy próbowałem go uruchomić ponownie nie dało się. Wyskakiwał komunikat "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu." A plik OTL.exe nie może być nawet usunięty, gdyż wyskakuje że potrzebuję uprawnień do wykonania tej akcji... Szkodnik spowolnił też prace internetu, często rozłączał. Mam połączenie z internetem poprzez kartę sieciową i dalej do bezprzewodowego modemu. Spróbowałem też zrobić skan poprzez skaner ArcaVirMicroScan. Skaner sie sciągął, zaczął skanować, wyszukał nawet kilka infekcji, jednak i tu nie zostało ukończone. W końcówce skanowanie nagle zniknęło, program coś wyłaczyło. Gdy próbowałem go ponownie uruchomić wyskakiwał podobny komunikat jak wcześniej.

W ten sposób szkodnik uniemożliwia mi uruchomienie jakiegokolwiek programu mogącemu mi pomóc. Dodatkowo zauważyłem że chyba straciłem niektóre funkcje dostępne dla administratora komputera, którym jestem ja. Przykładowo pojawia się odmowa dostępu do folderu Documents and Settings.

Dzisiaj to już nawet nie mogę złapać połączenia z internetem. I wchodząc w Komputer widzę tylko dysk twardy, stacji dysków nie widać. Nie wiem jednak czy to też działanie szkodników czy moze to moje rozpaczliwe wyłączanie w CCleaner większości niepotrzebnych/podejrzanych procesów w autostarcie w celu przyblokowania szkodników. Jednak przy ładowaniu systemu wyświetla sie pierw "Boot Device: CD/DVD", więc chyba nie jest tak źle, "komputer widzi napęd"... (?)

Wyłączone zostały automatyczne aktualizacje systemu, nie mogę ich spowrotem właczyć ("Centrum akcji nie może zmienić ustawień rozszerzenia Windows Update"). A gdy wchodze w Panel sterowania Centrum Akcji i próbuję coś pogrzebać, np. uruchamiam usługę Windows Defender to system informuje mnie, że jest poważne zagrożenie i zaczyna restart komputera. Uruchamia go potem w trybie awaryjnym, ale uwaga, nie mogę w tym trybie nic zrobić, bo po kilku sekundach następuje ponowny restart i komputer uruchamia sie w trybie normalnym, lecz nie widać by to coś pomogło, żadnych zmian na lepsze. Gdy próbuję sam normalnie przejść w tryb awaryjny jest podobnie, udaje mi się go uruchomić, ale tylko na pare sekund, bo po tym jest restart i system znowu w normalnym trybie, w którym nie potrafię nic sensownego zdziałać...

Pytanie: Czy użycie narzędzia przywracania systemu i przywrócenie go do stanu sprzed 2 dni mogłoby pomóc?

A po drugie, googlowałem trochę i znalazłem na innym forum (dałbym link, ale nie jestem pewien czy to nie zabronione) poradę, że gdy programy nie działają, nie można odpalić OTL warto wypalić bootowalną płyte z programem Dr.Web LiveCD i przeskanować tym komputer. Czy to skutecznie, mogłoby pomóc?

Mówiąc w skrócie jestem w ciężkiej sytuacji... Przynajmniej jak dla mnie, trochę żółtodzioba. Nie mogę pomyślnie wyczyścić kompa standardowymi metodami, nie mogę nawet we właściwy sposób użyć OTL, zrobić logów itd. W tym momencie nie mam nawet na tym kompie połączenia z netem, piszę teraz z drugiego - niezainfekowanego kompa. Mnie to chyba przerasta, może tu ktoś będzie wiedział co mogę zrobić więc proszę Was wybitne umysły tego forum o ratunek, proszę pomóżcie!


(Spandau) #2

Wygląda na infekcje rootkitem zeroaccess ale to tylko moje domysły brak dowodów (raportów) więc nie mogę potwierdzić

Odpowiedź na pytanie pierwsze jeśli infekcja nastąpiła wcześniej to nic to nie da.

Pytanie drugie jeśli nie wiesz jaka infekcja trzeba uważać z bootowalną płytką ze skanerem taki skaner oczywiście usuwa infekcje ale jeśli zainfekowane są pliki (sterowniki) systemowe W momencie kiedy usuniesz te pliki (a nie wiadomo czy skaner będzie w stanie wszystko wyleczyć) zrestartujesz komputer i system się nie uruchomi. Więc jak większość skorzystasz z opcji format

Możesz pokazać raport OTLPE instrukcja http://traxter-online.net/otlpe-tworzen ... -systemie/


(Victor93 Wiktor) #3

Mam rozumieć że jedynym sensownym wyjściem pozostaje mi tylko formatowanie...? :frowning:

Infekcja nie nastąpiła wcześniej. Mam możliwość przywrócenia systemu z dnia 28.10 a infekcja nastąpiła 31.10. Czy w takim wypadku ma to sens? Nigdy nie robiłem takiego przywracania. Przywrócone do poprzedniego stanu zostaną wszystkie dane na dysku? Czy tylko pliki systemowe? Bo jeśli tylko systemowe to chyba to trochę bez sensu...?

I jeszcze pytanie czy w przypadku takiej infekcji (rootkit zeroaccess) przywracanie systemu się powiedzie? Czy nie zostanie przerwane i system całkowicie się nie skwasi? ;(

Nie za bardzo rozumiem o co chodzi z tym OTLPE, krótki opis w tym linku za wiele mi nie mówi? Jak mam się za to zabrać, jak zrobić logi? Tak krok po kroku, bo jestem zielony...


(Spandau) #4

Ja nie napisałem czegoś takiego Napisałem że jak użyjesz skanera z płytki nieumiejętnie to może czekać cię format

Na tym komputerze Pobierasz plik exe z linku najnowsza wersja network wkładasz do napędu czystą płytkę CD/DVD uruchamiasz plik exe dwuklikiem płytka zostanie nagrana

Wkładasz płytkę do napędu na zainfekowanym komputerze i restartujesz komputer Po restarcie powinien uruchomić się OTLPE z tej płyty Klikasz RunScan jak skończy skanować zapisujesz raport na pendrive i dajesz go tutaj na forum


(Victor93 Wiktor) #5

W międzyczasie udało mi się zrobić skanowanie zwykłym OTL. Po prosty wrzuciłem OTL.exe na przenośny dysk twardy i podłączyłem go pod zainfekowanego kompa, z dysku odpaliłem OTL i zrobiłem skanowanie. Widziałem ze skanowało dysk twardy komputera, więc chyba dobrze? Da sie coś z tego odczytać?

Log OTL: http://www.wklej.eu/index.php?id=c9d2a8a429

Plik Extras też mam zamieścić?

EDIT. Jeżeli to nie pomoże to zastosuję się i spróbuję zrobić tak jak napisałeś z tym OTLPE


(Spandau) #6

Niestety chyba się nie myliłem masz (lub miałeś) rootkita zeroaccess

Proszę pobrać na dysk przenośny Combofixa przenieść na zainfekowany komputer i użyć http://www.bleepingcomputer.com/combofi ... a-combofix kopiujesz plik na pulpit Klikasz na ikonce prawym przyciskiem myszy Z menu wybierasz Uruchom jako administrator Jak się uda i narzędzie skończy pracę pokaż raport na forum


(Victor93 Wiktor) #7

Skanowanie ComboFixem powiodło się. Widziałem, że jedną z rzeczy, które naprawiał było coś ze stacją dysków i rzeczywiście, wchodząc w "Komputer" ponownie widoczna jest stacja dysków. Karty sieciowej na razie nie podłączałem by sprawdzić czy internet działa. Wolę pierw wrzucić tu loga z ComboFix i poczekać na Twoją rzetelną diagnozę i poradę spandaupol :slight_smile:

Oto log z ComboFix: http://www.wklej.eu/index.php?id=50d0642f99


(Spandau) #8

Jak przypuszczasz, to jest dopiero początek usuwania infekcji. Jak skończymy to powiem. :slight_smile: Tak Combofix naprawił sterownik cdrom.sys Teraz rozumiesz dlaczego przestrzegałem przed takim "niekontrolowanym" użyciem skanera z płytki.

wklej do notatnika:

Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Następnie pobierz ponownie OTL uruchom klikasz Skanuj pokaż nowy raport ze skanowania na forum Tym razem wstaw także raport Extras.txt


(Victor93 Wiktor) #9

Wszystkoe przebiegło bez problemów. :slight_smile: Oto logi:

ComboFix log: http://www.wklej.eu/index.php?id=1d6150d9b2

EDIT:

OTL log: http://www.wklej.eu/index.php?id=399ae57ce3

Co ciekawe po skanowaniu OTL nie utworzony został żaden plik Extras.txt jedynie log OTL.txt. Skanowałem przez to 3 razy, 2 razy używając OTL.exe na pulpicie i raz klikając ten znajdujący się na przenośnym dysku. W ani jednym przypadku nie został utworzony plik Extras. Przy poprzednim używaniu OTL pojawiało się Extras. A nic nie zmianiałem w ustawieniach OTL, teoretycznie wszystko jest pozostawione domyślnie. Nie wiem czemu teraz tak się dzieje...


(Spandau) #10

Jak uruchomisz OTL przed kliknięciem Skanuj opcje Rejestr skan dodatkowy musisz ustawić na Użyj filtrowania inaczej log Extras.txt nie powstanie

Odinstalujemy Combofixa

Start - w pole wyszukaj pliki i foldery wpisujesz

"c:\users\Victor\Desktop\ComboFix.exe" /uninstall i Enter

Combofix nie usunął tego folderu rootkita Dodatkowo OTL pokazał sterownik afd.sys jako niepodpisany przypuszczalnie zainfekowany Dlatego

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj. Raport ze skanu podaj na forum


(Victor93 Wiktor) #11

Zrobione. Oto logi:

OTL log: http://www.wklej.eu/index.php?id=562a0e5cd0

Extras log: http://www.wklej.eu/index.php?id=2bc67034c2


(Spandau) #12

Proszę wejść do katalogu C:\Windows\system32\drivers i zobaczyć czy na ikonce tego pliku afd.sys jest kłódka Proszę pobrać GrantPerms http://download.bleepingcomputer.com/fa ... tPerms.zip rozpakuj, uruchom, Wklej do niego:

Klikasz Unlock

Jeśli w folderze drivers znajdziesz inne ikonki sterowników z kłódką ścieżkę do nich proszę dodatkowo wkleić do GrantPerms Jak narzędzie skończy kłódki powinny zniknąć

Ponieważ plik nie ma podpisu Microsoftu proszę uruchomić komendę sfc /scannow i przefiltrować powstały raport Instrukcję znajdziesz tutaj http://www.fixitpc.pl/topic/1236-weryfi ... edzie-sfc/ Wynik po filtrowaniu pokaż na forum

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Victor93 Wiktor) #13

Wykonałem wszystko po kolei. :slight_smile: Oto logi:

OTL log 1: http://www.wklej.eu/index.php?id=ebfb4e86b8

OTL log 2: http://www.wklej.eu/index.php?id=6385d627d6

Extras też dorzucam: http://www.wklej.eu/index.php?id=d85c01e96e


(Spandau) #14

No OK :slight_smile: Log wygląda na czysty Uruchom OTL klikasz Sprzątanie Sprawdź czy działa Sieć

Teraz AVG nie widzę go w autostarcie Nie jestem pewien czy działa prawidłowo Jeśli nie odinstaluj go tym narzędziem AVG Remover http://www.avg.com/pl-pl/pobierz-narzedzia Zainstalujesz ponownie później

Wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jeśli program coś wykryje proszę nic nie usuwać tylko zaprezentować raport na forum

Jeśli nic nie wykryje proszę go odinstalować i następnie użyć Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program


(Victor93 Wiktor) #15

Tak, łączność z siecią odzyskałem już przy ostatnich zabiegach. Już nie muszę się bawić w przerzucanie wszystkiego na przenośny dysk. :slight_smile:

Usunąłem AVG.

Wykonałem skany tym Kasperskym. Z tym że pierwsze skanowanie przerwałem, bo chyba niepotrzebnie zaznaczyłem, żeby skanowało wszystkie możliwe obszary. Wziąłem od nowa skanowanie (tylko System memory, Hidden startup objects, Disk boot sectors) i tu nic nie było. A przy następnym skanowaniu wziąłem żeby skanowało sam dysk twardy. I tu wykryło 2 nieprawidłowości, gdy zapytano co z tym zrobić przeniosłem tylko do kwarantanny. Oto informacje o tych 2 przypadkach: http://www.wklej.eu/index.php?id=da67b9f2ec

Ponieważ Kaspersky coś wykrył nie instalowałem na razie Security Check, zostawiłem na razie Kaspersky i wrzuciłem tu ten raport...


(Spandau) #16

Java moim zdaniem jest OK

Szukałem tego katalogu ale nie tam gdzie trzeba chociaż OTL pokazał go w innym miejscu Usuń z kwarantanny ten plik

Proszę utworzyć nowy punkt przywracania systemu http://windows.microsoft.com/pl-PL/wind ... -questions

Spróbuj przez Shift+Del skasować folder C:\Windows\System32\config\systemprofile\AppData\Local\ baa68395

Jak się uda Odinstaluj Kasperskiego użyj CCleanera i przejdź do Securitycheck i aktualizacji


(Victor93 Wiktor) #17

Niestety napotkałem same trudności. Być może wynika to z mojej niezaradności...

Pliku tego nie usunąłem z kwarantanny, został chyba sam usunięty z komputera. Zakładam tak ponieważ doszedłem do wniosku iż Kaspersky nie instaluje się w normalny sposób na komputerze. Przy uruchomieniu instalatora i akceptacji warunków korzystania owszem pojawia się informacja że program jest instalowany, jednak nigdzie na dysku nie powstaje żaden jego folder ani skrót do niego. Po prostu przy każdym uruchomieniu pobranego pliku instalacyjnego Kaspersky (setup_11.0.0.1245.x01_2011_11_06_15_51) ma miejsce ponowna instalacja, po jej zakończeniu mogę normalnie korzystać z programu, robić skanowanie itd., ale po wyłączeniu go nie mogę go ponownie uruchomić, bo nigdzie nie ma żadnego skrótu, nic przy "instalacji" nie jest tworzone. Musze od nowa włączyć instalacje, gdy się skończy mogę korzystać z programu, ale przez to też za każdym razem program wygląda jakby był uruchomiony po raz pierwszy na tym komputerze, dlatego ciężko mi znaleźć kwarantanne i pliki w niej znajdujące się, bo wszystko jest "na czysto". Jednak przy ponownym skanowaniu dysku tym Kasperskym nic nie wykrywa, więc zakładam, że tamten syf musiał zostać automatycznie całkowicie usunięty.

Punkt przywracania utworzyłem.

Tu znowu problem, gdyż nie mogę skasować tego folderu. Po prostu go nie widzę, jest ukryty i nie mogę tego wyłączyć. Mogę wprowadzić ścieżkę do niego i w niego wejść, ale nic w nim w środku nie widzę, samego folderu tez nie widzę. Będąc w nim próbowałem wciskać Shift+Del, ale to nic nie dawało, próbowałem coś zmieniać w jego właściwościach, kombinowałem w ustawieniach folderów (http://windows.microsoft.com/pl-PL/wind ... er-options), ale nic nie wskórałem.

Nie udało się tego usunąć, wiec nic dalej nie robiłem. A z odinstalowaniem Kasperskiego jak już wyżej opisałem byłby i tak problem, bo program ten nie instaluje się chyba w "normalny" sposób na komputerze. Nie wiem czy tak ma być czy coś tu jest nie tak...

-- Dodane 13.11.2011 (N) 0:00 --

Aha, zapomniałem dodać jednej nowej rzeczy. Przez ostatnie parę dni nie miałem zbytnio czasu wchodzić tu na forum a także zajmować się odsyfianiem kompa. Jednak był on uruchamiany codziennie, działało wszystko ładnie, nic się nie działo. A tu nagle dzisiaj przy każdym uruchomieniu od razu pojawia się komunikat

Do czego to się odnosi? Co to znaczy? Co z tym zrobić?


(Spandau) #18

Jak odinstalować Kasperskiego zobacz tutaj http://support.kaspersky.com/pl/faq/?qid=208284189

System szuka pliku którego nie ma ale pozostało odniesienie do niego w rejestrze Nic nie szkodzi

Proszę podać nowy raport OTL Skan wykonaj zgodnie z instrukcją otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Co do tego folderu

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum


(Victor93 Wiktor) #19

Aaa, teraz wszystko jasne, więc można uznać że Kaspersky jest już usunięty.

Wszystko zrobiłem zgodnie z instrukcjami, oto logi:

OTL: http://www.wklej.eu/index.php?id=a20ab462db

Extras: http://www.wklej.eu/index.php?id=07ef6f7ffd

SystemLook: http://www.wklej.eu/index.php?id=ed548bfb56


(Spandau) #20

Usuń plik i folder

Czy w lokalizacji (folderze)

masz folder Microsoft

To nie jest to co myślałem Chodzi o te błędy

Proszę podać raport Autoruns instrukcja [http://www.fixitpc.pl/topic/333-menedze ... t__p__4945](http://www.fixitpc.pl/topic/333-menedzery-elementow-startowych-zaawansowane/page view findpost p 4945) raport spakuj wrzuć na jakiś hosting i podaj do niego linka tutaj