Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
01 Lis 2011, 15:44
Witam. System Windows 7 mam na swoim komputerze niecałe 2 tygodnie, nie zdąrzyłem jeszcze na nim zainstalować żadnego antywirusa. To moje pierwsze kontakty z Win7, wcześniej korzystałem tylko z XP, więc jestem troche zielony w tym systemie. Podczas wczorajszego użytkowania z mojego komputera podłapałem jakieś szkodniki. System od razu mnie o tym poinformował komunikatami. Podjął chyba próbę przeciwstawienie się im. Od razu zaczął się restart komputera, nawet chyba niejednokrotnie. Przeszedł też do trybu awaryjnego, ale po paru sekundach znów sie zrestartował. Jednak komputer jest dalej zainfekowany.
Od razu próbowałem zainstalować programy z płyty Niezbędika Extra. Zainstalowałem Malwarebytes Anti-Malware, uruchomiłem skanowanie, jednak nie zostało ono pomyślnie zakończone, coś przerwało pracę programu pod koniec i go wyłączyło. Gdy próbowałem włączyć program ponownie system ukazywał mi komunikat że można otworzyć tego programu lub nic się nie pojawiało. Na drugi ogień poszedł antywirus AVG, jednak tu nawet instalacja nie została pomyślnie ukończona, urwała się. A gdy klikałem ikonkę AVG nic się nie działo, a po ponownym restarcie komputera, przy kliknięciu na nią wyskakiwał komunikat jakoby ikonka była tylko pozostałością po odinstalowanym oprogramlowaniu i że mogę ją usunąć.
Postanowaiłem spróbować programów z internetu. Ściągnąłem OTL w celu zrobienia logów, jednak OTL udało mi się uruchomić tylko raz. Wybrałem opcję skanowania, jednak nic się nie pojawiło a jedynie OTL został wyłączony. Gdy próbowałem go uruchomić ponownie nie dało się. Wyskakiwał komunikat "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu." A plik OTL.exe nie może być nawet usunięty, gdyż wyskakuje że potrzebuję uprawnień do wykonania tej akcji... Szkodnik spowolnił też prace internetu, często rozłączał. Mam połączenie z internetem poprzez kartę sieciową i dalej do bezprzewodowego modemu. Spróbowałem też zrobić skan poprzez skaner ArcaVirMicroScan. Skaner sie sciągął, zaczął skanować, wyszukał nawet kilka infekcji, jednak i tu nie zostało ukończone. W końcówce skanowanie nagle zniknęło, program coś wyłaczyło. Gdy próbowałem go ponownie uruchomić wyskakiwał podobny komunikat jak wcześniej.
W ten sposób szkodnik uniemożliwia mi uruchomienie jakiegokolwiek programu mogącemu mi pomóc. Dodatkowo zauważyłem że chyba straciłem niektóre funkcje dostępne dla administratora komputera, którym jestem ja. Przykładowo pojawia się odmowa dostępu do folderu Documents and Settings.
Dzisiaj to już nawet nie mogę złapać połączenia z internetem. I wchodząc w Komputer widzę tylko dysk twardy, stacji dysków nie widać. Nie wiem jednak czy to też działanie szkodników czy moze to moje rozpaczliwe wyłączanie w CCleaner większości niepotrzebnych/podejrzanych procesów w autostarcie w celu przyblokowania szkodników. Jednak przy ładowaniu systemu wyświetla sie pierw "Boot Device: CD/DVD", więc chyba nie jest tak źle, "komputer widzi napęd"... (?)
Wyłączone zostały automatyczne aktualizacje systemu, nie mogę ich spowrotem właczyć ("Centrum akcji nie może zmienić ustawień rozszerzenia Windows Update"). A gdy wchodze w Panel sterowania
Centrum Akcji i próbuję coś pogrzebać, np. uruchamiam usługę Windows Defender to system informuje mnie, że jest poważne zagrożenie i zaczyna restart komputera. Uruchamia go potem w trybie awaryjnym, ale uwaga, nie mogę w tym trybie nic zrobić, bo po kilku sekundach następuje ponowny restart i komputer uruchamia sie w trybie normalnym, lecz nie widać by to coś pomogło, żadnych zmian na lepsze. Gdy próbuję sam normalnie przejść w tryb awaryjny jest podobnie, udaje mi się go uruchomić, ale tylko na pare sekund, bo po tym jest restart i system znowu w normalnym trybie, w którym nie potrafię nic sensownego zdziałać...
Mówiąc w skrócie jestem w ciężkiej sytuacji... Przynajmniej jak dla mnie, trochę żółtodzioba. Nie mogę pomyślnie wyczyścić kompa standardowymi metodami, nie mogę nawet we właściwy sposób użyć OTL, zrobić logów itd. W tym momencie nie mam nawet na tym kompie połączenia z netem, piszę teraz z drugiego - niezainfekowanego kompa. Mnie to chyba przerasta, może tu ktoś będzie wiedział co mogę zrobić więc proszę Was wybitne umysły tego forum o ratunek, proszę pomóżcie!
EDIT.
Takie pytanie: Czy użycie narzędzia przywracania systemu i przywrócenie go do stanu sprzed 2 dni mogłoby pomóc?
A po drugie, googlowałem trochę i znalazłem na innym forum (dałbym link, ale nie jestem pewien czy to nie zabronione) poradę, że gdy programy nie działają, nie można odpalić OTL warto wypalić bootowalną płyte z programem Dr.Web LiveCD i przeskanować tym komputer. Czy to skutecznie, mogłoby pomóc?
Od razu próbowałem zainstalować programy z płyty Niezbędika Extra. Zainstalowałem Malwarebytes Anti-Malware, uruchomiłem skanowanie, jednak nie zostało ono pomyślnie zakończone, coś przerwało pracę programu pod koniec i go wyłączyło. Gdy próbowałem włączyć program ponownie system ukazywał mi komunikat że można otworzyć tego programu lub nic się nie pojawiało. Na drugi ogień poszedł antywirus AVG, jednak tu nawet instalacja nie została pomyślnie ukończona, urwała się. A gdy klikałem ikonkę AVG nic się nie działo, a po ponownym restarcie komputera, przy kliknięciu na nią wyskakiwał komunikat jakoby ikonka była tylko pozostałością po odinstalowanym oprogramlowaniu i że mogę ją usunąć.
Postanowaiłem spróbować programów z internetu. Ściągnąłem OTL w celu zrobienia logów, jednak OTL udało mi się uruchomić tylko raz. Wybrałem opcję skanowania, jednak nic się nie pojawiło a jedynie OTL został wyłączony. Gdy próbowałem go uruchomić ponownie nie dało się. Wyskakiwał komunikat "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu." A plik OTL.exe nie może być nawet usunięty, gdyż wyskakuje że potrzebuję uprawnień do wykonania tej akcji... Szkodnik spowolnił też prace internetu, często rozłączał. Mam połączenie z internetem poprzez kartę sieciową i dalej do bezprzewodowego modemu. Spróbowałem też zrobić skan poprzez skaner ArcaVirMicroScan. Skaner sie sciągął, zaczął skanować, wyszukał nawet kilka infekcji, jednak i tu nie zostało ukończone. W końcówce skanowanie nagle zniknęło, program coś wyłaczyło. Gdy próbowałem go ponownie uruchomić wyskakiwał podobny komunikat jak wcześniej.
W ten sposób szkodnik uniemożliwia mi uruchomienie jakiegokolwiek programu mogącemu mi pomóc. Dodatkowo zauważyłem że chyba straciłem niektóre funkcje dostępne dla administratora komputera, którym jestem ja. Przykładowo pojawia się odmowa dostępu do folderu Documents and Settings.
Dzisiaj to już nawet nie mogę złapać połączenia z internetem. I wchodząc w Komputer widzę tylko dysk twardy, stacji dysków nie widać. Nie wiem jednak czy to też działanie szkodników czy moze to moje rozpaczliwe wyłączanie w CCleaner większości niepotrzebnych/podejrzanych procesów w autostarcie w celu przyblokowania szkodników. Jednak przy ładowaniu systemu wyświetla sie pierw "Boot Device: CD/DVD", więc chyba nie jest tak źle, "komputer widzi napęd"... (?)
Wyłączone zostały automatyczne aktualizacje systemu, nie mogę ich spowrotem właczyć ("Centrum akcji nie może zmienić ustawień rozszerzenia Windows Update"). A gdy wchodze w Panel sterowania
Centrum Akcji i próbuję coś pogrzebać, np. uruchamiam usługę Windows Defender to system informuje mnie, że jest poważne zagrożenie i zaczyna restart komputera. Uruchamia go potem w trybie awaryjnym, ale uwaga, nie mogę w tym trybie nic zrobić, bo po kilku sekundach następuje ponowny restart i komputer uruchamia sie w trybie normalnym, lecz nie widać by to coś pomogło, żadnych zmian na lepsze. Gdy próbuję sam normalnie przejść w tryb awaryjny jest podobnie, udaje mi się go uruchomić, ale tylko na pare sekund, bo po tym jest restart i system znowu w normalnym trybie, w którym nie potrafię nic sensownego zdziałać...Mówiąc w skrócie jestem w ciężkiej sytuacji... Przynajmniej jak dla mnie, trochę żółtodzioba. Nie mogę pomyślnie wyczyścić kompa standardowymi metodami, nie mogę nawet we właściwy sposób użyć OTL, zrobić logów itd. W tym momencie nie mam nawet na tym kompie połączenia z netem, piszę teraz z drugiego - niezainfekowanego kompa. Mnie to chyba przerasta, może tu ktoś będzie wiedział co mogę zrobić więc proszę Was wybitne umysły tego forum o ratunek, proszę pomóżcie!
EDIT.
Takie pytanie: Czy użycie narzędzia przywracania systemu i przywrócenie go do stanu sprzed 2 dni mogłoby pomóc?
A po drugie, googlowałem trochę i znalazłem na innym forum (dałbym link, ale nie jestem pewien czy to nie zabronione) poradę, że gdy programy nie działają, nie można odpalić OTL warto wypalić bootowalną płyte z programem Dr.Web LiveCD i przeskanować tym komputer. Czy to skutecznie, mogłoby pomóc?
Re: Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
01 Lis 2011, 18:44
Czy użycie narzędzia przywracania systemu i przywrócenie go do stanu sprzed 2 dni mogłoby pomóc?
Na pewno nie zaszkodzi.
A po drugie, googlowałem trochę i znalazłem na innym forum (dałbym link, ale nie jestem pewien czy to nie zabronione) poradę, że gdy programy nie działają, nie można odpalić OTL warto wypalić bootowalną płyte z programem Dr.Web LiveCD i przeskanować tym komputer. Czy to skutecznie, mogłoby pomóc?
Tak, to może znacznie pomóc. Jednak na początku podaj nam logi z odmiany OTL, używanej przy niestartującym systemie, czyli z OTLPE
http://www.searchengines.pl/Tworzenie-o ... _p__589216.
Re: Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
01 Lis 2011, 19:07
Udało mi się zrobić logi OTL. Po prostu wrzuciłem OTL.exe na dysk przenośny i podpiąłem do kompa zainfekowanego, właczyłem OTL i przeskanowałem. Można tak chyba?
Tu jest log OTL: http://www.wklej.eu/index.php?id=c9d2a8a429
Extras też zamieścić?
Tu jest log OTL: http://www.wklej.eu/index.php?id=c9d2a8a429
Extras też zamieścić?
Re: Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
01 Lis 2011, 20:53
Udało mi się zrobić logi OTL. Po prostu wrzuciłem OTL.exe na dysk przenośny i podpiąłem do kompa zainfekowanego, właczyłem OTL i przeskanowałem. Można tak chyba?
Jak najbardziej
.Extras też zamieścić?
Koniecznie. Bez tego nie ruszymy dalej.
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::Processes
killallprocesses
:OTL
SRV - File not found [Unknown | Stopped] -- -- (srvsysdriver32)
SRV - File not found [Unknown | Stopped] -- -- (avg9wd)
SRV - File not found [Unknown | Stopped] -- -- (avg9emc)
SRV - File not found [Unknown | Stopped] -- -- (AdobeARMservice)
SRV - [2011-10-31 17:26:13 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\Windows\update.5.0\svchost.exe -- (srvbtcclient)
SRV - [2011-10-31 17:25:47 | 001,945,088 | ---- | M] () [Auto | Running] -- C:\Windows\update.2\svchost.exe -- (srviecheck)
SRV - [2011-10-31 17:19:42 | 001,208,832 | -H-- | M] (Cronosoft) [Auto | Running] -- C:\Windows\update.1\svchost.exe -- (wxpdrivers)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
() (No name found) -- C:\USERS\VICTOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SW2FKSID.DEFAULT\EXTENSIONS\[email protected]
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O18 - Protocol\Handler\linkscanner - No CLSID value found
O20 - HKCU Winlogon: Shell - (C:\Users\Victor\AppData\Local\baa68395\X) - File not found
O31 - SafeBoot: AlternateShell - services32.exe
O33 - MountPoints2\{1e6690fa-f824-11e0-ad4a-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{1e6690fa-f824-11e0-ad4a-806e6f6e6963}\Shell\AutoRun\command - "" = D:\startuj.exe
:Services
srvsysdriver32
avg9wd
avg9emc
AdobeARMservice
srvbtcclient
srviecheck
wxpdrivers
:Files
C:\Users\Victor\AppData\Local\baa68395\X
C:\USERS\VICTOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SW2FKSID.DEFAULT\EXTENSIONS\[email protected]
C:\Windows\ufa
C:\Windows\rpcminer
C:\Windows\phoenix
C:\Windows\update.tray-12-0-lnk
C:\Windows\update.tray-12-0
C:\Windows\av_ico
C:\Windows\update.tray-15-0-lnk
C:\Windows\update.tray-15-0
C:\Windows\update.5.0
C:\Windows\update.2
C:\Windows\services32.exe
C:\Windows\update.1
C:\Windows\2508433082
C:\Windows\System32\drivers\etc\hîsts
C:\Windows\ufa.rar
C:\Windows\rpcminer.rar
C:\Windows\phoenix.rar
C:\Windows\unrar.exe
C:\Windows\info1
C:\Windows\geoiplist.rar
C:\Windows\loader2.exe_ok
C:\Windows\geoiplist
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL, dokładnie wobec tego
otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754.
Re: Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
03 Lis 2011, 16:17
Dodatkowo usuń resztki po AVG tym narzędziem http://download.avg.com/filedir/util/av ... 2_1796.exe
http://download.avg.com/filedir/util/av ... 2_1796.exe
Re: Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
24 Lis 2011, 19:55
Wirus z Facebooka tutaj niewątpliwie jest, ale wygląda na to, że jest tutaj rootkit zeroaccess. Myślę, że to jego powinno się usuwać w pierwszej kolejności.
Re: Wyjątkowo uciążliwe szkodniki (OTL blokują nawet)
25 Lis 2011, 17:27
Rootkit ten rzeczywiście tu występuje, ale temat ma już miesiąc, ponadto autor chyba olał sprawę, wiec nie ma tematu.