Mam Rootkita

Pomocy mam rootkita niby,

Gmer 1 - http://wklej.org/id/677117/

Gmer 2 - http://wklej.org/id/677118/

Zastosuj ComboFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i podaj log z niego. Następnie podaj także logi z OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754

ComboFix - http://wklej.org/id/677344/

OTL - http://wklej.org/id/677351/

Extras - http://wklej.org/id/677352/

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=29d6a745-237c-11e1-bf7c-000e2e8c36c2&q="
[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Seba\AppData\Roaming\Mozilla\Firefox\Profiles\o4o7lw82.default\searchplugins\startsear.xml

:Services
glynnxxGE

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

OTL z usuwania - http://wklej.org/id/677425/

OTL nowy - http://wklej.org/id/677426/

Extras - http://wklej.org/id/677427/

Tyle.

Start Uruchom Combofix /uninstall

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 30
Java(TM) 7 Update 1

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Zainstaluj jakiegoś antywira.

co to było w ogole keyloger czy co? to wykrada dane? i od czego to bylo?

@EDIt nie moge tego combofix'a tak usunąc pisze że plik nie istnieje czy cos.

Prawdę mówiąc nie wiem, była tylko jakaś dziwna usługa, zresztą niby bezplikowa i poszła do usunięcia, nic więcej.

@EDIt nie moge tego combofix'a tak usunąc pisze że plik nie istnieje czy cos.

Pomiń i przejdź do pozostałych kroków. Sprzątanie w OTL załatwi sprawę.

Prawdę mówiąc nie wiem, była tylko jakaś dziwna usługa, zresztą niby bezplikowa i poszła do usunięcia, nic więcej.

@EDIt nie moge tego combofix'a tak usunąc pisze że plik nie istnieje czy cos.

Pomiń i przejdź do pozostałych kroków. Sprzątanie w OTL załatwi sprawę.

OK, ale to była ta reklama? .jar? to od tego? od jakiego to konkretnie pliku czy czego było?

zresztą niby bezplikowa

Także żaden plik z tą usługą nie był powiązany. Przynajmniej wg. logu.

[-] 2012-01-24 . 7BD7F45FF37FA0669CD32CA0EF46E22C . 811520 . . [6.1.7601.17514] . . c:\windows\System32\user32.dll
[7] 2010-11-20 . F1DD3ACAEE5E6B4BBC69BC6DF75CEF66 . 811520 . . [6.1.7601.17514] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_cf3fd62ccb9e983d\user32.dll

W razie problemów podejrzana jest ta modyfikacja pliku Systemowego, dokonana ... 24 stycznia 2012.
Microsoft dokonywał ostatniej modyfikacji tego pliku 20 listopada ubiegłego roku, więc zachodzi pytanie - co to za modyfikacja.
Plik ma prawidłowy rozmiar, ale MD5 (7BD7F45FF37FA0669CD32CA0EF46E22C) nie jest prawidłowe. Na dodatek plik nie ma sygnatury Microsoftu.

To mogłoby wskazywać na infekcję Bamital P, zarażajacą dwa pliki Systemowe (user32.dll i winlogon.exe) (inne wersje Bamital'a zarażają explorer.exe i winlogon.exe).

.

Przeskanuj go na https://www.virustotal.com/ i podaj wyniki.

kto ja?

user32.dll - https://www.virustotal.com/file/88cf562 ... 327785457/

Korzystałeś z jakiegoś aktywatora do systemu lub czegoś podobnego??

Korzystałeś z jakiegoś aktywatora do systemu lub czegoś podobnego??

Nom bo mi wyskakiwała licencja ze pirat