Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.

Regulamin forum

1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

Problem z RootKitem C:\WINDOWS\system32\x

25 Maj 2009, 10:58

Witam,
od jakiegoś czasu mam problem ze złośliwymi aplikacjami, avast sobie nie radzi, dlatego Was proszę o pomoc:

Combofix:
http://www.wklej.eu/index.php?id=ad206f9ac3

HiJackThis:
http://www.wklej.eu/index.php?id=1e50a0df43

Problem wyniknął najprawdopodobniej w wyniku infekcji PenDrive'a. Będę wdzięczny za pomoc w oczyszczeniu go.
Ostatnio edytowany przez elonok, 26 Maj 2009, 12:44, edytowano w sumie 1 raz

Re: Proszę o sprawdzenie logów

25 Maj 2009, 14:47

Wylecz pendriva lub kartę pamięci
Flash Disinfector, Perlovga Removal Tool
lub format

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Kod:
File::
c:\windows\system32\fxxttpcl.tmp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000000 
"AntiVirusOverride"=dword:00000000
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu notatnika wybierz Plik :arrow: Zapisz jako :arrow: CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Re: Proszę o sprawdzenie logów

25 Maj 2009, 15:07

Wynik operacji wykonanych wg powyższych wskazówek:
http://wklej.org/id/95606/

Czekam na dalsze komentarze.
Pozdr

Re: Proszę o sprawdzenie logów

25 Maj 2009, 15:17

c:\windows\system32\nwfsogqc.dll

Przeskanuj ten plik tym lub tym skanerem

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr :arrow: CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu :arrow: http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja :arrow: viewtopic.php?f=22&t=13967

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Re: Proszę o sprawdzenie logów

25 Maj 2009, 17:16

Michael Parker napisał(a):
c:\windows\system32\nwfsogqc.dll

Przeskanuj ten plik tym lub tym skanerem


żaden ze skanerów nie uruchamiał się, dopiero Dr.Web znalazł i usunął plik.

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Usunięte!
Przeczyść system i rejestr :arrow: CCleaner
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu :arrow: http://support.microsoft.com/kb/310405/pll

zrobione!
Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

Dr.Web znalazł w/w plik i go usunął. Drugie skanowanie było czyste.

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja :arrow: viewtopic.php?f=22&t=13967


Raport: http://wklej.org/id/95660/

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Skanowanie czyste:
http://wklej.org/id/95663/

Ale to nie wszystko, podczas skanowania malware miałem włączonego avasta i ponownie wyrzucał o wirusie w jakimś obrazku z lokalizacji z lokalizacji Content.IE5
po czym o robaku
C:\Windows\system32\x

Re: Problem ze złośliwymi aplikacjami, avast sobie nie radzi

25 Maj 2009, 17:20

W takim razie daj nowy log z Combofix.
Avast usunął te wirusy?

Re: Problem ze złośliwymi aplikacjami, avast sobie nie radzi

26 Maj 2009, 11:09

ComboFix bez CFScript.txt:
http://wklej.org/id/95971/

ComboFix z CFScript.txt:
http://wklej.org/id/95973/

Avast za każdym razem usuwa wirusy, jednakże po pewnym czasie powracają. Zawsze jest to zainfekowany obrazek (gif, jpeg, bmp) w lokalizacji Content.IE5 a później C:\WINDOWS\system32\x

Edit:
Nastąpiło spore nasilenie ataków w/w RootKitem, jakieś pomysły jak tego się pozbyć?
I może macie jeszcze dobre rady odnośnie antywirów/firewalli, bo widzę, że Avast to tylko umownie działa jak antywirus.
Z góry dzięki za pomoc.

Re: Problem z RootKitem C:\WINDOWS\system32\x

26 Maj 2009, 21:48

Użyj WWDC i pozmieniaj porty na na DISABLE (czyli wszystkie znaczki maja być na zielono - NetBios może zostać na żółto

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.INSTRUKCJA[/quote]


pobierz MalwareByte's
:arrow: Klikasz "Skanuj" :arrow: Wybierasz dyski i skanujesz :arrow: jak jakieś będą to Usuń i pokaż raport

Re: Problem z RootKitem C:\WINDOWS\system32\x

26 Maj 2009, 21:51

Dodatkowo wykonaj:
Wklej do notatnika:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]


Z menu notatnika wybierz Plik :arrow: Zapisz jako .
Zmień rozszerzenie z "Dokument tekstowy" na "Wszystkie pliki"
Zapisz plik pod nazwą Fix.reg.
Uruchom ten plik, wprowadź zmianę do rejestru, uruchom ponownie komputer

Re: Problem z RootKitem C:\WINDOWS\system32\x

29 Maj 2009, 13:20

Dzięki wielkie. Wygląda na to, że już wszystko jest OK!
Doradzicie mi jeszcze jakiegoś antyvira i firewalla? Avast raczej kuleje.
Pozdr

Re: Problem z RootKitem C:\WINDOWS\system32\x

29 Maj 2009, 18:27

Z darmowych.
AV: http://www.instalki.pl/programy/downloa ... lassic.php lub http://www.instalki.pl/programy/downloa ... dition.php
Firewall: http://www.instalki.pl/programy/downloa ... l_Plus.php lub http://www.instalki.pl/programy/downloa ... curity.php (W ostatnim przypadku jest możliwość zainstalowania samego firewalla.)

Re: Problem z RootKitem C:\WINDOWS\system32\x

23 Lip 2009, 20:22

Prosze o sprawdzenie loga
http://wklej.org/id/125251/

Re: Problem z RootKitem C:\WINDOWS\system32\x

23 Lip 2009, 21:14

chyllas nie podpinaj się pod cudze tematy, zawsze zakładaj swój :!:

przeskanuj komputer Kaspersky Virusscaner lub Dr.Web Cure It!
gdy będą wirusy pokaż raport (po zakończeniu skanowania Plik -> Zapisz listę raportu)

pobierz MalwareByte's
:arrow: Klikasz "Skanuj" :arrow: Wybierasz dyski i skanujesz :arrow: jak jakieś będą to Usuń i pokaż raport

Re: Problem z RootKitem C:\WINDOWS\system32\x

24 Lip 2009, 19:40

Przepraszam.. ale nie chciałem zakładać takiego samego tematu..
http://wklej.org/id/125535/ raport z kasperskiego
http://wklej.org/id/125616/ log z Malwarebytes
Proszę o sprawdzenie.

Re: Problem z RootKitem C:\WINDOWS\system32\x

24 Lip 2009, 21:20

Byłeś proszono o usunięcie to co znajdzie Malware a Ty:
No action taken.

Przeskanuj jeszcze raz Malware i usuń

Dodatkowo przeskanuj Dr.Web!
Wyślij odpowiedź