TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Infekcja typu Smitfraud

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

Infekcja typu Smitfraud

Postprzez Reyon » 06 Mar 2012, 23:21

PostUA: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)

Dzisiaj moja siostra przez facebooka zainfekowała komputer tym dziadostwem co chwila jakieś dymki się pokazują i aby kupić ich "cudowny" antywirus który usunie wszystko... Nie wiem co robić bo nie mogę nawet logów zrobić :D Infekcja wszystko blokuje, proszę o jakieś rzeczowe porady :P Oczywiście próbowałem na awaryjnym i raz nawet udało mi się uruchomić tego fixa z fixy-na-trudne-przypadki-t6607.html lecz zaraz infekcja moje próby zablokowała.

Udało się zrobić loga w tym fixie:
Kod: Zaznacz wszystko
SmitFraudFix v2.424

Scan done at 22:12:55,85, 2012-03-06
Run from C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\SmitfraudFix
OS: Microsoft Windows [Wersja 6.1.7601] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\ctfmon.exe
C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\F4D561F300000A4D0120F6BDB4EB2367.exe
C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\SmitfraudFix\Policies.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files (x86)
Reyon
Forumowicz
Forumowicz
 
Posty: 35
Dołączenie: 15 Sty 2011, 14:01
Góra

Re: Infekcja typu Smitfraud

Postprzez mateo8898 » 06 Mar 2012, 23:41

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2

Podaj logi z:
OTL -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754
TDSSKiller -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292
Narzędzia uruchom w trybie awaryjnym.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Infekcja typu Smitfraud

Postprzez Reyon » 06 Mar 2012, 23:49

PostUA: Opera/9.80 (J2ME/MIDP; Opera Mini/6.5.26955/27.1316; U; pl) Presto/2.8.119 Version/11.10

Chocbym nie wiem jak chcial to skanowania w otl nie wykonam bo probowalem juz, gdy naciskam skanuj program sie zacina a potem to sie pojawia dymek z your computer is infected...
sprobuje jeszcze jutro no i ty tds moze chociaz sie uda
Reyon
Forumowicz
Forumowicz
 
Posty: 35
Dołączenie: 15 Sty 2011, 14:01
Góra

Re: Infekcja typu Smitfraud

Postprzez mateo8898 » 07 Mar 2012, 15:39

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2

Spróbuj najpierw użyć RKill -> http://www.instalki.pl/programy/downloa ... RKill.html, a następnie uruchomić OTL.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Infekcja typu Smitfraud

Postprzez Reyon » 07 Mar 2012, 16:17

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2

Jest coraz gorzej nie wiem czy cokolwiek się uratuje udało mi sie zrobić tego skana w awaryjnym. Ten ich antywirus się już nie uruchamia ale sam też nie mogę uruchomić żadnego pliku .exe dopiero teraz zamieniłem rozszerzenie na .com to chociaż firefox mi zadziałał bo już myślałem że ten system w ogóle nie nadaje się do użytku.
http://wklej.eu/index.php?id=d26071754c
http://wklej.eu/index.php?id=6c519fc3fa
A teraz co mam zrobić? Ten TDSS czy to co dałeś wyżej?

/edit
Wytłumacz mi też jedną rzecz... dlaczego avira nie zareagowała i pozwoliła ot tak na infekcje?? Miałem wszystko po włączane i zaktualizowane. Uważałem ją za dobrego antywirusa.

/edit2
TDSSKiller: nic nie znalazł chyba
http://wklej.eu/index.php?id=c91beb9148
Reyon
Forumowicz
Forumowicz
 
Posty: 35
Dołączenie: 15 Sty 2011, 14:01
Góra

Re: Infekcja typu Smitfraud

Postprzez mateo8898 » 07 Mar 2012, 16:40

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
Kod: Zaznacz wszystko
:OTL
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1bae4750-e793-11e0-a3f4-001a4d872b26&q={searchTerms}
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109805&tt=090212_ctrl&babsrc=HP_ss&mntrId=d4f8e3cf000000000000001485d17401
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109805&tt=090212_ctrl&babsrc=SP_ss&mntrId=d4f8e3cf000000000000001485d17401
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 123.242.153.114:80
[2012-02-18 11:54:39 | 000,002,351 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O37 - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\...exe [@ = F4D56] -- "C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\F4D561F300000A4D0120F6BDB4EB2367.exe" -s "%1" %*
[2012-03-06 21:40:45 | 000,000,000 | ---D | C] -- C:\Users\KD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log usuwania + nowe logi z OTL.

Wytłumacz mi też jedną rzecz... dlaczego avira nie zareagowała i pozwoliła ot tak na infekcje?? Miałem wszystko po włączane i zaktualizowane. Uważałem ją za dobrego antywirusa.

Nie ma antywirusa ze 100% wykrywalnością.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Infekcja typu Smitfraud

Postprzez Reyon » 07 Mar 2012, 16:55

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11

Ok. Już po wykonaniu skryptu wydaje się, że system powrócił do sprawności sprzed infekcji :)
Usuwanie OTL: http://www.wklej.eu/index.php?id=f42b5eed88
Nowe logi:
OTL.txt http://wklej.eu/index.php?id=f24677b104
Extras.txt http://wklej.eu/index.php?id=7a4c5d6332
Reyon
Forumowicz
Forumowicz
 
Posty: 35
Dołączenie: 15 Sty 2011, 14:01
Góra

Re: Infekcja typu Smitfraud

Postprzez mateo8898 » 07 Mar 2012, 18:26

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2

Odinstaluj jeszcze Babylon toolbar

W OTL wklej:
:OTL
[2012-03-06 21:46:13 | 000,001,088 | ---- | C] () -- C:\Users\KD\Desktop\Smart Fortress 2012.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{D360FA88-17C8-4F14-B67F-13AAF9607B12}"=-
[HKEY_USERS\S-1-5-21-3992387213-4270112954-3811298779-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Smart Fortress 2012"=-

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj stare wersje Javy:
Java(TM) 6 Update 26
Java(TM) 7 Update 2

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... %29_6.html
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra
Wyślij odpowiedź

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Bing [Bot]

Switch to mobile style
Technologię dostarcza phpBB® Forum Software © phpBB Group
Profesjonalne polskie tłumaczenie phpBB3
Korzystanie z forum oznacza akceptację polityki prywatności
cron