Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Logi z Combofixa
24 Kwi 2013, 14:45
- Kod:
http://www.wklej.eu/index.php?id=b7d6e09cfd
Proszę o pomoc i dalsze wskazówki. Combofix zakończył pracę prawidłowo, jednak nie wiem, czy usunął całkowicie infekcję oraz co powinienem dalej robić.
Re: Logi z Combofixa
24 Kwi 2013, 14:51
Cześć,
A więc, dodaj logi programów takich jak OTL oraz GMER. Oraz muszę Cię przestrzec przed tym byś już nigdy nie używał od tak sobie ComboFix'a, bo jest to narzędzie naprawdę bardzo mocno ingerujące w system, i nie powinno się go tak używać. Poniżej zamieszczam instrukcję do OTL i GMER. Jakie były objawy infekcji?
OTL
http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754
GMER http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736
Pozdrawiam, Untouched.
A więc, dodaj logi programów takich jak OTL oraz GMER. Oraz muszę Cię przestrzec przed tym byś już nigdy nie używał od tak sobie ComboFix'a, bo jest to narzędzie naprawdę bardzo mocno ingerujące w system, i nie powinno się go tak używać. Poniżej zamieszczam instrukcję do OTL i GMER. Jakie były objawy infekcji?
OTL
http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754GMER
http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736Pozdrawiam, Untouched.
Re: Logi z Combofixa
24 Kwi 2013, 15:04
Mam świadomość jak niebezpieczny może być combofix, wydało mi się to jednak najrozsądniejsze, gdy nie mogłem normalnie używać przeglądarki internetowej. Człowiek się uczy całe życie
Logi z OTL
Extras
- Kod:
http://wklej.eu/index.php?id=8c2a41c83c
Logi z OTL
- Kod:
http://wklej.eu/index.php?id=5a6942c657
Extras
Ostatnio edytowany przez Darki333, 24 Kwi 2013, 15:09, edytowano w sumie 1 raz
Re: Logi z Combofixa
24 Kwi 2013, 15:08
No to przede mną jeszcze wiele nauki . Brakuje logu OTL Extras oraz GMER. W OTL musisz zaznaczyć dokładnie tak jak jest to pokazane na instrukcji którą załączyłem wyżej.
. Brakuje logu OTL Extras oraz GMER. W OTL musisz zaznaczyć dokładnie tak jak jest to pokazane na instrukcji którą załączyłem wyżej.
Re: Logi z Combofixa
24 Kwi 2013, 15:10
Dodałem log Extras, a przed wykonaniem skanu zaznaczyłem, właśnie tak, jak zalecono w załączonej instrukcji. Przed użyciem GMER muszę pozbyć się DT, więc zajmie mi to kilka minut.
Re: Logi z Combofixa
24 Kwi 2013, 15:12
Aaa.. okej, po prostu myślałem że OTL nie wytworzył Extras, przepraszam za wprowadzenie w błąd 
. Jakie były/są objawy infekcji?
. Jakie były/są objawy infekcji?
Re: Logi z Combofixa
24 Kwi 2013, 15:23
Zaczęło się od od serii czerwonych chmurek od Avast Free, o znalezieniu infekcji w AppData, w procesie Chrome. Za infekcję odpowiada dołączony do programu pobranego z innego forum, wirus - VBS:Agent-KZ[Trj] tudzież Win32:RmnDrp. Zacząłem od wyrzucenia pliku Dekstoplayer.exe z C/Program Files/Microsoft i poprawienia zapisu w rejestrze, który do polecania prócz standardowej komendy userinit.exe, odpalał również Desktoplayer.exe. Później zdiagnozowałem plik Virustotalem i 36/40 było czerwonych. Przywracanie systemu spowodowało nowe błędy: Avast Free niespodziewanie wypowiedział termin ważności licencji na Avast Pro. Komputer niesamowicie zwolnił, a przeglądarki internetowe "wypluwały" masę błędów. Wtedy użyłem combofixa, swieżo-pobranego z tego forum. Jestem tutaj.
Re: Logi z Combofixa
24 Kwi 2013, 15:27
Okej, rozumiem. Czy po użyciu ComboFix'a nastąpiła jakakolwiek poprawa?
Re: Logi z Combofixa
24 Kwi 2013, 15:30
Komputer jest wciąż w ogromnym stopniu zamulony, a Avast prosi o podanie klucza licencji do wersji pro. Przeglądarka działa już prawidłowo. Jestem jednak pewien, że gdybym odpalił skan avasta, tak jak przed combofixem, wykryłby w ciągu minuty setki zainfekowanych plików (.dll .exe .htm .html). Zapomniałem dodać, że na mój komputer zostało ściągnięte przy tym sporo programów typu evo-gen, które zapewne odpowiadają za tak gigantyczne obciążenie. Na C pojawiły się również programy diagnostyczne oraz prawdopodobnie keyloggery. Pozostałe dyski wydają się nienaruszone.
Re: Logi z Combofixa
24 Kwi 2013, 15:32
Czyli prawdopodobnie nadal coś siedzi w systemie. Co z GMER'em?
Re: Logi z Combofixa
24 Kwi 2013, 15:45
Od razu zaznaczę, że sam skan trwał bardzo długo. Zdaje się, że mimo użycia Defoggera, program wykrył DT jako zagrożenie. Jeśli jest to niezbędnie konieczne usunę DT "sposobem pierwszym i powtórzę skan.
Pochwalić się mogę tylko, że rejestr był czyszczony ccleanerem i tune upem, około tygodnia temu, co mam nadzieję ułatwi jakoś pracę
Zauważyłem w taskmgr również nieznany mi proces YontooDekstop.exe oraz wuaudt.exe, których na 100% wcześniej nie było. Taskhost i taskeng, również podejrzewam nie było. Z nazw wnioskuję, że komputer jest podłączony do innego zdalnie, na wzór botnetu. Usługi RDP są wyłączone. Bardzo zależy mi aby komputer względnie oczyścić przed ewentualnym stawianiem nowego systemu, gdyż mam na nim mnóstwo niezwykle ważnych dla mnie plików. W chwili obecnej boję się podpiąć do komputera pendrive'a lub inny nośnik danych, gdyż może on ulec infekcji.
//
Widzę zużycie pamięci rzędu 50% i procesora ok. 20%, co moim skromnym zdaniem wskazywać może na keyloggery lub brute, bo nigdy tak wysokie w stanie bezczynności nie było.
- Kod:
http://wklej.eu/index.php?id=a12312efc5
Pochwalić się mogę tylko, że rejestr był czyszczony ccleanerem i tune upem, około tygodnia temu, co mam nadzieję ułatwi jakoś pracę
Zauważyłem w taskmgr również nieznany mi proces YontooDekstop.exe oraz wuaudt.exe, których na 100% wcześniej nie było. Taskhost i taskeng, również podejrzewam nie było. Z nazw wnioskuję, że komputer jest podłączony do innego zdalnie, na wzór botnetu. Usługi RDP są wyłączone. Bardzo zależy mi aby komputer względnie oczyścić przed ewentualnym stawianiem nowego systemu, gdyż mam na nim mnóstwo niezwykle ważnych dla mnie plików. W chwili obecnej boję się podpiąć do komputera pendrive'a lub inny nośnik danych, gdyż może on ulec infekcji.//
Widzę zużycie pamięci rzędu 50% i procesora ok. 20%, co moim skromnym zdaniem wskazywać może na keyloggery lub brute, bo nigdy tak wysokie w stanie bezczynności nie było.
Re: Logi z Combofixa
24 Kwi 2013, 16:02
No i widzisz, tutaj moja praca się kończy. "Wyciągnąłem" od Ciebie wszystkie logi, dosyć dużo informacji, no i teraz musimy poczekać na moderatora, który potrafi sprawdzać te wszystkie logi, ponieważ ja się dopiero uczę, no i niestety jak na razie dosyć opornie mi to idzie. No ale moderator na Ci pomoże, nie martw się. Ja jestem w stanie tyle Ci powiedzieć, że według mnie jakaś infekcja jest, aczkolwiek nie mogę być pewien, bo ja się na tym nie znam 
. Pozwolę sobie podsumować twoje wszystkie logi, co powinno troszeczkę ułatwić zadanie moderatorowi:
OTL.txt http://wklej.eu/index.php?id=8c2a41c83c
Extras.txt http://wklej.eu/index.php?id=5a6942c657
GMER.txt http://www.wklej.eu/index.php?id=b7d6e09cfd
Ewentualnie możesz dodać logi z Silent Runners i Autoruns.
Silent Runners http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73688
Autoruns http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589
. Pozwolę sobie podsumować twoje wszystkie logi, co powinno troszeczkę ułatwić zadanie moderatorowi: OTL.txt
http://wklej.eu/index.php?id=8c2a41c83cExtras.txt
http://wklej.eu/index.php?id=5a6942c657GMER.txt
http://www.wklej.eu/index.php?id=b7d6e09cfdEwentualnie możesz dodać logi z Silent Runners i Autoruns.
Silent Runners
http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73688Autoruns
http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589
Re: Logi z Combofixa
24 Kwi 2013, 17:17
Póki co puszczę Dr. Web Curelt i kaspersky virus removal tool 10, może mi naprawi coś... Bo przenoszenie kilkuset plików do kwarantanny avastem nie wydaje mi się mądre.
//No i sobie naprawiłem.
Dr. Web Curelt w ogóle się nie chce zainstalować - proces po wielokrotnym nawet kliknięciu nie uruchamia się.
//No i sobie naprawiłem.
Dr. Web Curelt w ogóle się nie chce zainstalować - proces po wielokrotnym nawet kliknięciu nie uruchamia się.
Re: Logi z Combofixa
24 Kwi 2013, 17:34
Próbuj Kasperskym, jak ja kiedyś (3 lata temu?) miałem jakiegoś syfa na kompie, to też Dr.Web mi nie działał - po uruchomieniu wywalał mi BSoD-a.
Re: Logi z Combofixa
24 Kwi 2013, 21:47
W logach widać adware właśnie typu Yontoo itp, ale to jest na razie mało istotne i tym zajmiemy się później. Bardziej mnie nie pokoi to:
+
To wskazywałoby na infekcję wirusem Ramnit, czyli nieciekawa sprawa. Użycie ComboFix przy tej infekcji było bezsensowne, bo nie wyleczy on zarażonych plików.
Skanuj Kaspersky Virus Removal Tool, oczywiście pełne skany i tyle razy, aż nic nie będzie wykrywane. Lecz/naprawiaj co się da, resztę usuń. Po wykonaniu podaj nowe logi z OTL.
tudzież Win32:RmnDrp
+
Jestem jednak pewien, że gdybym odpalił skan avasta, tak jak przed combofixem, wykryłby w ciągu minuty setki zainfekowanych plików (.dll .exe .htm .html)
To wskazywałoby na infekcję wirusem Ramnit, czyli nieciekawa sprawa. Użycie ComboFix przy tej infekcji było bezsensowne, bo nie wyleczy on zarażonych plików.
Skanuj Kaspersky Virus Removal Tool, oczywiście pełne skany i tyle razy, aż nic nie będzie wykrywane. Lecz/naprawiaj co się da, resztę usuń. Po wykonaniu podaj nowe logi z OTL.