Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 15:57
Witam,
Mecze sie z tym juz od 3 dni, 3 razy myslalem, ze juz po wszystkim. Chodzi o robaka Fake alert Dh i posrednio o plik aec.sys. Skanowalem malwarebytes'em nie mogl go usunac ,skanowalem Nodem nie mogl go wyleczyc ani usunac. Wreszcie siegnalem po Combofix'a i po skanie wszystko wydawalo sie w normie (infekcja polega na tworzeniu nowych zakladek/okien po jakiejkolwiek akcji w przegladarkach internetowych, ladowanie elementow = nowa zakladka) nic sie nie tworzylo, wiec darowalem sobie zawracanie "wam" gitary. Problem jednak wroca caly czas (jak Lessi xD ). Bardzo prosze o pomoc, sam juz sobie rady nie dam. Wklejam logi z ComboFix'a, HJT i OTl'a.
- Combofix-
http://www.wklej.eu/index.php?id=5df4b04421
- HJT -
http://www.wklej.eu/index.php?id=a1c7f10c68
- OTL -
http://www.wklej.eu/index.php
Pierwszy raz korzystam z tych "programow", bede bardzo wdzieczny gdyby ktos mial czas i ochote mi pomoc, z gory dziekuje.
PS: Bym zapomnial nie wiem czy to wazne, ale mialem do czynienia z takim trojanem zvupd32(myslalem wczesniej ze on jest powodem tego wszystkiego o dziwo po poradzeniu sobie z nim w/w problem ustal, ale wrocil pozniej)
Mecze sie z tym juz od 3 dni, 3 razy myslalem, ze juz po wszystkim. Chodzi o robaka Fake alert Dh i posrednio o plik aec.sys. Skanowalem malwarebytes'em nie mogl go usunac ,skanowalem Nodem nie mogl go wyleczyc ani usunac. Wreszcie siegnalem po Combofix'a i po skanie wszystko wydawalo sie w normie (infekcja polega na tworzeniu nowych zakladek/okien po jakiejkolwiek akcji w przegladarkach internetowych, ladowanie elementow = nowa zakladka) nic sie nie tworzylo, wiec darowalem sobie zawracanie "wam" gitary. Problem jednak wroca caly czas (jak Lessi xD ). Bardzo prosze o pomoc, sam juz sobie rady nie dam. Wklejam logi z ComboFix'a, HJT i OTl'a.
- Combofix-
http://www.wklej.eu/index.php?id=5df4b04421
- HJT -
http://www.wklej.eu/index.php?id=a1c7f10c68
- OTL -
http://www.wklej.eu/index.php
Pierwszy raz korzystam z tych "programow", bede bardzo wdzieczny gdyby ktos mial czas i ochote mi pomoc, z gory dziekuje.
PS: Bym zapomnial nie wiem czy to wazne, ale mialem do czynienia z takim trojanem zvupd32(myslalem wczesniej ze on jest powodem tego wszystkiego o dziwo po poradzeniu sobie z nim w/w problem ustal, ale wrocil pozniej)
Re: Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 16:25
Popraw link do loga z OTL.
Podaj także log z pierwszego użycia Combofixa, bo chce wiedzieć co było usuwane oraz raport z tamtego skanowania Malwarebytes
Podaj także log z pierwszego użycia Combofixa, bo chce wiedzieć co było usuwane oraz raport z tamtego skanowania Malwarebytes
Re: Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 17:37
Poprawiony log z OTL:
http://www.wklej.eu/index.php?id=46fa0e9cbc
Pierwszy scan CF:
http://www.wklej.eu/index.php?id=298f4465d2
Log z Malware:
http://www.wklej.eu/index.php?id=d026910468
http://www.wklej.eu/index.php?id=46fa0e9cbc
Pierwszy scan CF:
http://www.wklej.eu/index.php?id=298f4465d2
Log z Malware:
http://www.wklej.eu/index.php?id=d026910468
Re: Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 17:59
Uruchom HijackThis 
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Przeskanuj plik: c:\windows\system32\drivers\aec.sys na http://www.virustotal.com/pl/ i podaj wyniki
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked- Kod:
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
PRC - [2008-04-14 21:51:18 | 01,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
:Files
c:\documents and settings\darek\Menu Start\Programy\Autostart\zavupd32.exe
c:\windows\pss\zavupd32.exeStartup
c:\Documents and Settings\darek\Moje dokumenty\łŘ˝Ľ ÇĂ·Ż±×
:Commands
[emptytemp]
[resethosts]
[start explorer]
[Reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Przeskanuj plik: c:\windows\system32\drivers\aec.sys na http://www.virustotal.com/pl/ i podaj wyniki
Re: Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 19:57
Log po kasowaniu w OTL
http://www.wklej.eu/index.php?id=5d523a39c2
Log po nowym scanie z OL'a
http://www.wklej.eu/index.php?id=290b1febd2
Przez chwile sie nawet ucieszylem bo bylo ok ,jednak po wrzucaniu nowych scanow na "wkleja" znow sie zaczelo odpalac
http://www.wklej.eu/index.php?id=5d523a39c2
Log po nowym scanie z OL'a
http://www.wklej.eu/index.php?id=290b1febd2
Przez chwile sie nawet ucieszylem bo bylo ok ,jednak po wrzucaniu nowych scanow na "wkleja" znow sie zaczelo odpalac
Re: Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 20:06
W logach nic więcej nie ma.
Zrób jeszcze to:
W OTL kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)
oraz Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Czy dzieje się tak we wszystkich przeglądarkach, czy tylko w jednej???
Zrób jeszcze to:
Przeskanuj plik: c:\windows\system32\drivers\aec.sys na http://www.virustotal.com/pl/ i podaj wyniki
W OTL kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik
Zapisz Listę Raportu)oraz Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Czy dzieje się tak we wszystkich przeglądarkach, czy tylko w jednej???
Re: Prosba o pomoc (fake.alert Dh)
03 Gru 2009, 21:07
Plik aec.sys jest czysty (przy pierwszym scanie Combofixem pisalo ze jest zainfekowany i ze proba hmm "naprawienia" go byla pomyslna) skanowanie na tej stronie wykazalo 0/40 (jesli potrzebny dokladny odpis z tej strony to zaraz wrzuce ,ale mysle ,ze to wystarczy. Przeczyscilem rejestr CCleanerem (usunieto 300mb). Malware zadnego nowego syfu nie znajduje. Co do pytania dzialo sie tak we wszystkich przegladarkach (pisze dzialo ,bo jak narazie wszystko w porzadku nic sie nie dzieje). Zostal do zrobienia scan Dr. Web'em wkleje go juz dla formalnosci pozniej by byc pewnym do konca. Dziekuje za pomoc mati8898, sam bym sobie ztym nie dal rady 