Atak wirusa.

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post23 kwie 2013, 18:40

Witam. Piszę do was, ponieważ mam problem z wirusem który ostatnio zaatakował mój komputer.

Powiem wszystko od początku, jakieś 3 dni temu podczas uruchomienia komputera pojawiły mi się 3 identyczne komunikaty o treści "This assembly is protected by an unregistered version of Eziriz's".NET. Reactor"!". Myślałem, że to jakiś spam i postanowiłem zrobić z tym porządek następnego dni. Następnego dnia po minucie od włączenia komputera pojawiło mi się czarne tło (Po środku widniało jakieś logo trupiej czaszki, pod logo było napisane Hacked/Hacker By Me, a pod spodem GOOD BYE). Odrazu wyłączyłem komputer i znowu uruchomiłem (podczas tego uruchomienia pojawiło mi się 5 identycznych komunikatów wspomnianych wyżej tyle), przeskanowałem go Avastem i MSE. Avast znalazł jakieś nie groźne wirusy, za to MSE wykrył mi coś takiego ""VirTool:Win32/Obfuscator.XZ", nie mogłem wgl. tego usunąc MSE i dzisiaj postanowiłem zrobić to ręcznie usuwając cały folder z wirusem. Jednak wdł. mnie nadal mam jakieś paskudztwo :((. Teraz podczas każdego uruchomienia wyskakują mi 3 okna z komunikatem, o którym mówiłem wyżej.

Prosiłbym was o pomoc jeśli chodzi pozbycie się tego komunikatu i pewnego pozbycia się tego wirusa "VirTool". Jest jakiś lepszy skan od Avasta i MSE, po którym będę miał pewność, że nie mam już żadnego wirusa. Najlepiej żeby te programy były darmowe.

Extras.Txt
Dostępne tylko dla zarejestrowanych użytkowników

OTL.Txt
Dostępne tylko dla zarejestrowanych użytkowników

TdssKiller
Dostępne tylko dla zarejestrowanych użytkowników

Chyba wszystko podałem, jak nie to piszcie :)
Ostatnio zmieniony 23 kwie 2013, 19:12 przez Adiss95, łącznie zmieniany 2 razy.

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

Atak wirusa.

Post23 kwie 2013, 18:44

Wrzuć logi z:
OTL (OTL.txt + Extras.txt) --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm
Logi wklej na: Dostępne tylko dla zarejestrowanych użytkowników
Na forum podaj link do nich.
Czekaj cierpliwie za odpowiedzią fachowców z tego działu ;)
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post23 kwie 2013, 19:32

Jest jakiś lepszy skan od Avasta i MSE, po którym będę miał pewność, że nie mam już żadnego wirusa. Najlepiej żeby te programy były darmowe.


Pierwsza sprawa, pamiętaj - nie może być dwóch antywirusów na komputerze ;) .

"{D954C6C2-544B-4091-A47F-11E77162883E}" = Microsoft Security Client
"{F527D3F1-57DF-43B5-A570-ADED61CE8C06}" = COMODO Unite
"Microsoft Security Client" = Microsoft Security Essentials


Odinstaluj to, oraz użyj Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1570034186-2247217727-255493249-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1570034186-2247217727-255493249-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1570034186-2247217727-255493249-1000\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKU\S-1-5-21-1570034186-2247217727-255493249-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1570034186-2247217727-255493249-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaultenginename: "portaldosites"
FF - prefs.js..browser.search.order.1: "portaldosites"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@comodo.com/EasyvpnLvn: D:\Programy\Comodo\npEasyVpnLVN.dll (COMODO)
FF - HKLM\Software\MozillaPlugins\@comodo.com/EasyvpnRdp: D:\Programy\Comodo\NpRdpView.dll ( )
FF - HKLM\Software\MozillaPlugins\@comodo.com/EasyvpnVnc: D:\Programy\Comodo\NpVncView.dll ( )
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
[2013-03-28 23:33:18 | 000,000,789 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\portaldosites.xml
O4 - HKLM..\Run: [a057b29864cdde235da1261cccb418b7] C:\Users\PC\AppData\Local\Temp\Microsoft .exe ()
O4 - HKU\S-1-5-21-1570034186-2247217727-255493249-1000..\Run: [a057b29864cdde235da1261cccb418b7] C:\Users\PC\AppData\Local\Temp\Microsoft .exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1570034186-2247217727-255493249-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a057b29864cdde235da1261cccb418b7.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2013-04-23 14:02:34 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-04-10 16:00:58 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2013-04-06 13:19:45 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Security Client
[2013-04-06 13:19:40 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Security Client
[2013-04-02 03:25:08 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\COMODO
[2013-04-02 03:24:05 | 000,000,000 | ---D | C] -- C:\ProgramData\COMODO
[2013-03-28 23:46:34 | 000,000,000 | ---D | C] -- C:\CFLog

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Users\PC\AppData\Local\Temp
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post23 kwie 2013, 20:05

Wiem, że nie może być dwóch antywirów, ale właśnie chciałem rady co zostaawić Avasta, czy MSE. A mam dwa, bo chciałem być pewien, że usunołem tego VirToola. Teraz mam pytanie, bo tak nie za bardzo rozumiem tych logów. Mam odinstalować MSE, zostawić Avasta ?. Muszę usunąć Comodo Unite ?;/. (nieraz mam problemy z hamatchi i łącze się przez comodo). A jeśli chodzi o tego OTL, to gdzie to mam wkleić i wgl, bo jeśli chodzi o to, to jestem zielony ; ///

-- 23 kwi 2013, 19:56 --

Jak kopiuje ten skrypt to bez " ?

-- 23 kwi 2013, 20:03 --

Jeszcze mam jedno pytanie, w czym pomoże mi ten skrypt ?. Bo np. już nie wyświetlają mi się już te komunikaty na samym początku ;). Wielkie dzięki :p. I sorki za tyle pytań, ale zielony jestem w tym ;/

-- 23 kwi 2013, 20:05 --

Po wklejeniu tego skryptu uruchomiłem kompa jeszcze raz i nw jak teraz zrobić ci ten skrypt z usuwania ; /

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post23 kwie 2013, 20:32

Mam odinstalować MSE, zostawić Avasta ?


Tak.

Muszę usunąć Comodo Unite ?


Może zostać.

A jeśli chodzi o tego OTL, to gdzie to mam wkleić i wgl, bo jeśli chodzi o to, to jestem zielony ; ///


W oknie własne opcje skanowania/skrypt.

Jak kopiuje ten skrypt to bez " ?


Naturalnie, że bez.

Jeszcze mam jedno pytanie, w czym pomoże mi ten skrypt ?. Bo np. już nie wyświetlają mi się już te komunikaty na samym początku ;). Wielkie dzięki :p. I sorki za tyle pytań, ale zielony jestem w tym ;/


No patrz, a wirus nadal tu jest (więcej niż jeden) :D .

Po wklejeniu tego skryptu uruchomiłem kompa jeszcze raz i nw jak teraz zrobić ci ten skrypt z usuwania ; /


Log z usuwania to ten, który wyświetla się po restarcie. Jeśli Go nie zapisałeś to już przepadło.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post23 kwie 2013, 20:35


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post23 kwie 2013, 20:48

ADWCleaner.


Odinstaluj.

Antywirusy.


Nadal widzę MSE. Podaj logi z OTL dopiero po jego deinstalacji.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post23 kwie 2013, 20:51

"{D954C6C2-544B-4091-A47F-11E77162883E}" = Microsoft Security Client ---> nie mogę tego znaleźć
"{F527D3F1-57DF-43B5-A570-ADED61CE8C06}" = COMODO Unite ----> to mówiłeś, że nie muszę usuwać to nie usuwam
"Microsoft Security Client" = Microsoft Security Essentials
----> usunołem

Odinstaluj to, oraz użyj Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników. ----> Te linki mają mi pomóc odinstalować, wymienione wyżej programy ?

Logi.
----> O co Ci chodziło z tym ?

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post23 kwie 2013, 20:58

Te linki mają mi pomóc odinstalować, wymienione wyżej programy ?


Czyszczą pozostałości. W logu widać aktywne MSE. Użyj Dostępne tylko dla zarejestrowanych użytkowników. następnie Dostępne tylko dla zarejestrowanych użytkowników, po czym podaj nowe logi z OTL.

----> O co Ci chodziło z tym ?


To oznacz, że z analizy logów wynika.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post23 kwie 2013, 21:30

Logi OTL.Txt

http://www.wklej.eu/index.php?id=6d7ac69bcc


Logi Extras.Txt

http://www.wklej.eu/index.php?id=d3f0458d23


-- 23 kwi 2013, 21:26 --

Jak to zobaczysz to powiedz mi, czy mam jeszcze jakieś paskudztwo ;/. Mógłbyś mi podać jakiś dobry skaner, którym mogłbym skanować raz w tyg. komputer i napewno wykryłby mi wszystkie wirusy. I ostatnie pytanie zostawić tego Avasta, czy radziłbyś zainstalować coś innego ?;>


-- 23 kwi 2013, 21:30 --

I może wiesz czemu odkąd wirus zaatakował mi kompa, wszędzie poprawne słowa podkreśla mi na czerwono ?

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post23 kwie 2013, 21:55

I może wiesz czemu odkąd wirus zaatakował mi kompa, wszędzie poprawne słowa podkreśla mi na czerwono ?


Ale przeglądarka? Czy co?

MSE.


Widzę nadal. Użyj Dostępne tylko dla zarejestrowanych użytkowników.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post23 kwie 2013, 22:57

Ale przeglądarka? Czy co?


W przeglądarce ;/

Widzę nadal. Użyj tego.


Używałem ;/. Spróbuje jeszcze raz.


A jeśli chodzi o ten skaner lub AV. Mógłbyś coś zaproponować ?

-- 23 kwi 2013, 22:04 --

Użyłem wcześniej ten program, to po zakończeniu procesu, było napisane "Ten skrypt został przetworzony".

-- 23 kwi 2013, 22:07 --

I jeszcze jedno pytanie, w tym OTL mam dwie dodatkowe opcje których wy nie macie na screenach:

1. Pomiń znane dobre pliki (zaznaczyć, czy nie)
2. Część 64bit systemu (zaznaczyć, czy nie) ?

-- 23 kwi 2013, 22:21 --

OTL.Txt

http://www.wklej.eu/index.php?id=3c12b46e28


Extras.Txt

http://www.wklej.eu/index.php?id=a3ad221b1b


-- 23 kwi 2013, 22:57 --

OTL.Txt

http://www.wklej.eu/index.php?id=faf3087c51


Extras.Txt

http://www.wklej.eu/index.php?id=c526eec532

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post24 kwie 2013, 19:18

W przeglądarce ;/


Na którymkolwiek podkreślonym słowie naciśnij PPM -> Języki -> sprawdź, co tam masz, ma być polski ;) .

A jeśli chodzi o ten skaner lub AV. Mógłbyś coś zaproponować ?


Masz Avast`a przecież.

1. Pomiń znane dobre pliki (zaznaczyć, czy nie)


Nie.

2. Część 64bit systemu (zaznaczyć, czy nie) ?


Tak. Dziękujemy za zgłoszenie ;) .

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2013-04-23 21:03:35 | 000,000,000 | ---D | C] -- C:\WINSSLog
[2013-04-23 20:00:00 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\Comodo
[2013-04-23 19:59:34 | 000,000,000 | ---D | C] -- C:\ProgramData\COMODO
[2013-03-28 17:53:08 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\Temp

:Files
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Adiss95

Użytkownik
Posty: 37
Rejestracja: 23 kwie 2013, 15:53

Atak wirusa.

Post24 kwie 2013, 19:31

:OTL

[2013-04-23 21:03:35 | 000,000,000 | ---D | C] -- C:\WINSSLog
[2013-04-23 20:00:00 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\Comodo
[2013-04-23 19:59:34 | 000,000,000 | ---D | C] -- C:\ProgramData\COMODO
[2013-03-28 17:53:08 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\Temp

:Files
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]


Ten :OTl też mam wklejać ?

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Atak wirusa.

Post24 kwie 2013, 19:40

Ten :OTl też mam wklejać ?


No tak. za pierwszym razem wkleiłeś ;) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości