Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Błagam o pomoc - log z gmer i combofix
02 Gru 2014, 00:41
Witam Społeczności!
Jestem nowicjuszem tutaj, więc z góry proszę o wyrozumiałość!
Pierwszy raz w życiu mam sytuację, której nie mogę rozwiązać z pomocą swoich umiejętności i wujka Google, dlatego zwracam się do Was!
Nie jetem do końca, pewien, co jest powodem infekcji - może to, że próbowałem z dobrego serce pomoc koledze z niedziałającą aplikacją, a może to, że do tego - niestety firmowego - komputera podłączane jest setki pendrivów
Ale po kolei: nie wiem czy to zbieg okoliczności, ale kolega prosił o pomoc z niedziałającą aplikacją - zeskanowałem pliki, AVG nic nie wykrył więc spróbowałem zainstalować. Aplikacja dała monit o błędnej próbie instalacji i tyle. Chwilę później zaczęły wychodzić monity AVG o kolejnych trojanach. Próbowałem najpierw ESETA online, później Spybot - Search & Destroy - niestety dalej problem pozostał i za każdym razem miałem po restarcie vel włączeniu kompa monit o wirusie: Znaleziono zagrożenie Obiekt: C:\ProgramData\Microsoft\Secure\Icons
\IconsCacheHeiper.dll Zagrożenie: odmiana zagrożenia Win64/Sathurbot.A koń trojański (tu pojawiały się różne nazwy) Informacje: wyleczony przez usunięcie - poddany kwarantannie. Mimo usunięcie pliku, monity dalej zostały, a w trakcie dalszej pracy kompa, co pewien czas NOD32 wywala powiadomienia, iż zablokował dostęp do adresy url - i tu różne nazwy. Sytuacja powtarza się po każdym restarcie lub włączeniu kompa.
Jak już nie miałem pomysłów poszedłem na całość i spróbowałem ComboFixa - log pod adresem http://www.wklej.eu/index.php?id=3ad71053a6 - niestety nie przyniosło to rozwiązania problemu więc szukam dalej.
Mając podejrzenia, że to może być jakiś rootkit, zeskanowałem sprzęt Gmerem - logi http://www.wklej.eu/index.php?id=891459a70d.
Jeśli ktoś ma jakiś pomysł błagam o pomoc, bo z każdym dniem mam coraz większe problemy z kompem, z którego korzystam co dziennie - bez wyjątku! i coraz częściej są to problemu coraz większe - dziś np. pakiet office odmówił mi posłuszeństwa
Dzięki WIELKIE za wszelką pomoc!
pozdrv,
PŚ
Jestem nowicjuszem tutaj, więc z góry proszę o wyrozumiałość!
Pierwszy raz w życiu mam sytuację, której nie mogę rozwiązać z pomocą swoich umiejętności i wujka Google, dlatego zwracam się do Was!
Nie jetem do końca, pewien, co jest powodem infekcji - może to, że próbowałem z dobrego serce pomoc koledze z niedziałającą aplikacją, a może to, że do tego - niestety firmowego - komputera podłączane jest setki pendrivów
Ale po kolei: nie wiem czy to zbieg okoliczności, ale kolega prosił o pomoc z niedziałającą aplikacją - zeskanowałem pliki, AVG nic nie wykrył więc spróbowałem zainstalować. Aplikacja dała monit o błędnej próbie instalacji i tyle. Chwilę później zaczęły wychodzić monity AVG o kolejnych trojanach. Próbowałem najpierw ESETA online, później Spybot - Search & Destroy - niestety dalej problem pozostał i za każdym razem miałem po restarcie vel włączeniu kompa monit o wirusie: Znaleziono zagrożenie Obiekt: C:\ProgramData\Microsoft\Secure\Icons
\IconsCacheHeiper.dll Zagrożenie: odmiana zagrożenia Win64/Sathurbot.A koń trojański (tu pojawiały się różne nazwy) Informacje: wyleczony przez usunięcie - poddany kwarantannie. Mimo usunięcie pliku, monity dalej zostały, a w trakcie dalszej pracy kompa, co pewien czas NOD32 wywala powiadomienia, iż zablokował dostęp do adresy url - i tu różne nazwy. Sytuacja powtarza się po każdym restarcie lub włączeniu kompa.
Jak już nie miałem pomysłów poszedłem na całość i spróbowałem ComboFixa - log pod adresem http://www.wklej.eu/index.php?id=3ad71053a6 - niestety nie przyniosło to rozwiązania problemu więc szukam dalej.
Mając podejrzenia, że to może być jakiś rootkit, zeskanowałem sprzęt Gmerem - logi http://www.wklej.eu/index.php?id=891459a70d.
Jeśli ktoś ma jakiś pomysł błagam o pomoc, bo z każdym dniem mam coraz większe problemy z kompem, z którego korzystam co dziennie - bez wyjątku! i coraz częściej są to problemu coraz większe - dziś np. pakiet office odmówił mi posłuszeństwa
Dzięki WIELKIE za wszelką pomoc!
pozdrv,
PŚ
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 00:51
ComboFix`a nie stosujemy na własną rękę.
Podaj wymagane logi z FRST
otl-gmer-i-inne-poradnik-t13967-15.html#p164179
Podaj wymagane logi z FRST
otl-gmer-i-inne-poradnik-t13967-15.html#p164179
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 00:56
Log z FRST http://www.wklej.eu/index.php?id=6d57916b75 - dzięki za zainteresowanie!
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 01:05
Chyba nie czytałeś instrukcji z podanego przeze mnie linku. Powinny być 3 logi.
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 10:39
Wczoraj już niestety nie zdążyłem - dziś już 3 prawidłowe logi, o które prosiłeś:
FRST_01 http://www.wklej.eu/index.php?id=cb0400a3d9
FRST_02 http://www.wklej.eu/index.php?id=d377d0552d
FRST_03 http://www.wklej.eu/index.php?id=e24983ccdf
Z góry dzięki!
FRST_01 http://www.wklej.eu/index.php?id=cb0400a3d9
FRST_02 http://www.wklej.eu/index.php?id=d377d0552d
FRST_03 http://www.wklej.eu/index.php?id=e24983ccdf
Z góry dzięki!
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 13:21
Odinstaluj Spybot - Search & Destroy (słabizna). Następnie wklej do notatnika:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-3374051690-2922766382-867853538-1000\...\Policies\Explorer: [Run] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\IEUpdate\taskeng.exe"
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\IEUpdate
HKU\S-1-5-21-3374051690-2922766382-867853538-1002\...\Run: [LightScribe Control Panel] => C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe [2363392 2008-06-09] (Hewlett-Packard Company)
ShellIconOverlayIdentifiers: [00avast]
ShellIconOverlayIdentifiers: [1SecureIconsProvider]
C:\ProgramData\Microsoft\Secure
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3374051690-2922766382-867853538-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3374051690-2922766382-867853538-1000
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 uwldipob; \??\C:\Users\Admin\AppData\Local\Temp\uwldipob.sys [X]
Task: {07401519-E6E3-4FD0-83F5-B1F3C6513CA3} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe
Task: {0F6BB639-E835-4169-8130-93DB2F673742} - System32\Tasks\{D69EFB11-D346-4673-B225-9E6EA5845F05} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {11346971-2E0F-4A87-A4E2-80A746BCB7DF} - System32\Tasks\AVG_SYS_TASK_1114av => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe [2014-10-08] ()
Task: {1CFFB346-2E12-491B-A958-7F66DAD85299} - System32\Tasks\{B1574091-AF12-403F-97B4-997EF5927CDB} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {23061F58-6776-4490-AA02-6B2EC9A87628} - System32\Tasks\{59875859-C3FD-4749-B7E5-4896EFC62208} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {258E26FB-3D74-4D3A-8E63-708D14C3761D} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe <==== ATTENTION
C:\Program Files (x86)\YourFileDownloaderUpdater
Task: {7FC21BC7-B7D1-4FAB-A4C8-3CBAFD15B9DB} - System32\Tasks\{5C133666-0944-4B7C-B620-668889998D54} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {82BEEDEA-206D-4477-BC1D-7FCEBB8128E5} - System32\Tasks\{18796BB0-E202-4B5C-ACDD-C51BA35641F2} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {8D5EB117-563C-41FD-ACEF-E196CAF30F97} - System32\Tasks\AVG_SYS_TASK_1114av_DELETE => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe [2014-10-08] ()
Task: {E75B0E15-5791-48E0-8A39-360C28F6A974} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
Task: {EDC97562-8714-4075-81A6-E0A58D2438F7} - System32\Tasks\{480F100B-FCDB-4135-8BBA-3ED0C1820365} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: C:\Windows\Tasks\AVG_SYS_TASK_1114av.job => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe
Task: C:\Windows\Tasks\AVG_SYS_TASK_1114av_DELETE.job => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe
C:\ProgramData\Avg_Update_1114av
C:\Users\Admin\AppData\Roaming\newnext.me
EmptyTemp:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 17:17
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 17:23
nowe logi:
FRST_01 http://www.wklej.eu/index.php?id=deccc1423d
FRST_02 http://www.wklej.eu/index.php?id=27a523fbe2
FRST_03 http://www.wklej.eu/index.php?id=ed5c09d1d4
nie zapeszając nod32 milczy
FRST_01 http://www.wklej.eu/index.php?id=deccc1423d
FRST_02 http://www.wklej.eu/index.php?id=27a523fbe2
FRST_03 http://www.wklej.eu/index.php?id=ed5c09d1d4
nie zapeszając nod32 milczy
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 17:55
Kroki końcowe:
Wklej do notatnika:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix
Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Wklej do notatnika:
DeleteQuarantine:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix
Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 18:10
Done!
Rozumiem, że teraz to jest ten czas kiedy należy się cieszyć i uważać, że problem rozwiązany w stopniu, że mogę śmiało się logować na konto bankowe?!?
Jeśli tak to WIEEELLLKKIEE dzięki!!!
PS.
Pytanie nowicjusza: teraz jak to się odbywa - wystarczy pochwała? flaszka na adres domowy? przelew na wskazane konto? *
* nie potrzebne skreślić
Rozumiem, że teraz to jest ten czas kiedy należy się cieszyć i uważać, że problem rozwiązany w stopniu, że mogę śmiało się logować na konto bankowe?!?
Jeśli tak to WIEEELLLKKIEE dzięki!!!
PS.
Pytanie nowicjusza: teraz jak to się odbywa - wystarczy pochwała? flaszka na adres domowy? przelew na wskazane konto? *
* nie potrzebne skreślić
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 22:56
Tak to tyle, system jest czysty.
Re: Błagam o pomoc - log z gmer i combofix! PILNE!!!
02 Gru 2014, 23:23
Nie mam uprawnień niestety do dawania pochwał, więc apel do tych co mogą:
Jak na avatarze - gasi w mgnieniu okna wszelkie pożary, nawet te największe! WIELKI szacun za prędkość, skuteczność i bezinteresowną pomoc - coś co jest na wyginięciu w dzisiejszym świecie. 3. postami załatwił sprawę, z którą 2 tygodnie męczył się mgr inż. informatyk z 20-letnim stażem. Ufff... kamień z serca i sam się dziwie, że to piszę - do roboty! bo w końcu jest na czym! Dzięki raz jeszcze!!!
ZASYPAĆ POCHWAŁAMI PO USZY!!!
... a temat do zamknięcia!
Jak na avatarze - gasi w mgnieniu okna wszelkie pożary, nawet te największe! WIELKI szacun za prędkość, skuteczność i bezinteresowną pomoc - coś co jest na wyginięciu w dzisiejszym świecie. 3. postami załatwił sprawę, z którą 2 tygodnie męczył się mgr inż. informatyk z 20-letnim stażem. Ufff... kamień z serca i sam się dziwie, że to piszę - do roboty! bo w końcu jest na czym! Dzięki raz jeszcze!!!
ZASYPAĆ POCHWAŁAMI PO USZY!!!
... a temat do zamknięcia!
Re: Błagam o pomoc - log z gmer i combofix
04 Gru 2014, 19:57
Nie chce wyjść na panikarza, ale od tego przypadku wolę dmuchać na zimne.
Co tym całym zajściu, 1-2 dzienni nod32 monituje u blokowaniu url--> http://img31.otofotki.pl/ak640_url.jpg.html zawsze z tego samego adresu theoads . com
Wiem, że może to tylko jakiś syfek z reklam na stronie albo tym podobne, ale wole zasięgnąć opinii eksperta!
z góry WIELKIE dzięki ! ! !
Co tym całym zajściu, 1-2 dzienni nod32 monituje u blokowaniu url--> http://img31.otofotki.pl/ak640_url.jpg.html zawsze z tego samego adresu theoads . com
Wiem, że może to tylko jakiś syfek z reklam na stronie albo tym podobne, ale wole zasięgnąć opinii eksperta!
z góry WIELKIE dzięki ! ! !
Re: Błagam o pomoc - log z gmer i combofix
06 Gru 2014, 13:57
Czy te komunikaty pojawiają się po wejściu na konkretne strony, czy jest to losowe?
Re: Błagam o pomoc - log z gmer i combofix
11 Gru 2014, 21:16
Sorki, że dopiero teraz ale nie będę ukrywał myślałem, że mnie zlałeś kiedy pod dwóch dniach nie było odpowiedzi 
Wiem, że są sprawy ważne i ważniejsze...
Ciężko jednoznacznie twierdzić, bo codziennie korzystam praktycznie z tego samego "pakietu" ale nigdy nie wyskakiwał konkretnie na tej samej stronie - na screenie specjalnie dałem 3 zrzuty z trzech różnych stron. Co gorsze ciężko twierdzić dokładnie, z której po pech chciał, że zawsze miałem kilka kart
Na szczęście teraz to się już uspokoiło i już kilka dni z rzędu mam spokój - a wciąż przeglądam raczej te same strony... więc sam nie wiem co o tym myśleć
pozdrv.
Wiem, że są sprawy ważne i ważniejsze...Ciężko jednoznacznie twierdzić, bo codziennie korzystam praktycznie z tego samego "pakietu" ale nigdy nie wyskakiwał konkretnie na tej samej stronie - na screenie specjalnie dałem 3 zrzuty z trzech różnych stron. Co gorsze ciężko twierdzić dokładnie, z której po pech chciał, że zawsze miałem kilka kart
Na szczęście teraz to się już uspokoiło i już kilka dni z rzędu mam spokój - a wciąż przeglądam raczej te same strony... więc sam nie wiem co o tym myśleć
pozdrv.