Zeus? Kryptik.KPL ? Prośba o pomoc

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 15:55

Od kilku tygodni mam zawirusowany komputer. System ? Windows 7, oprogramowanie antywirusowa NOD32 Antivirus 4 (zainstalowane najprawdopodobniej już po infekcji komputera). Problem ujawnia się: komunikatem na stronie logowania banku:

?We do not recognize the computer you are using. To continue with Online Banking, please provide the information requested below.?

oraz wieszaniem się systemu i aplikacji takich jak: Total Commander, Firefox.

NOD32 od czasu do czasu pokazuje znalezienie trojana Kryptik.KPL i informuje, że go usunął (jak widać nieskutecznie, bo problem powraca). Komputer był dzisiaj skanowany NOD32 (brak wirusów) oraz Dr.WEB CureIT (także nie znalazł żadnych wirusów). Będę wdzięczny za pomoc.

LOGi DDS
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

LOGI OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

WPIS Z DZIENNIKA NOD32:
Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam,
Bartek

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 16:16

Wklej w OTL i naciśnij wykonaj skrypt:
:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-3363286400-3066620988-1672556726-1003..\Run: [NvCplDaemonTool] C:\Users\Bartek\pload81.dll ()
O4 - Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanfdiskwr11.dll ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O32 - AutoRun File - [2007-12-04 09:33:48 | 000,000,114 | R--- | M] () - E:\AUTORUN.INF -- [ UDF ]
O32 - AutoRun File - [2007-12-10 10:46:02 | 000,685,312 | R--- | M] (ESET s.r.o.) - E:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2010-06-24 08:51:47 | 000,000,000 | R--D | M] - E:\AutorunConfig -- [ UDF ]
O33 - MountPoints2\{966eac97-d69b-11de-be39-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{966eac97-d69b-11de-be39-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2007-12-10 10:46:02 | 000,685,312 | R--- | M] (ESET s.r.o.)

:Files
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]


dajesz log z usuwania i nowy log z OTL

barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 16:43

Dzięki. Po restarcie kompa wyskoczyło okienko "Wystąpił problem podczas uruchamiania pliku C:\Users\Bartek\pload81.dll. Nie można odnaleźć określonego modułu".

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

Nowy log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 16:51

Wykonaj pełne skanowanie programem Malwarebytes:
http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm
usuń co znajdzie i wstaw raport. Po tym wykonaj nowe logi z OTL

barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:13

Skanowanie wykonane, usunięte złośliwe pliki. Przy restarcie komputera znów komunikat: "Wystąpił problem podczas uruchamiania pliku C:\Users\Bartek\pload81.dll. Nie można odnaleźć określonego modułu".

Log po skanowaniu:
Dostępne tylko dla zarejestrowanych użytkowników

Log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:20

Czyzby masz Rootkita w MBR dysku ?
Daj log z MBRCheck >>> http://www.hotfix.pl/wykrywanie-rootkit ... e-a340.htm

barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:26


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:30

Ściągnij -> Dostępne tylko dla zarejestrowanych użytkowników
Uruchom i w dolne białe okienko wklej to:

:filefind
pload81.dll

:regfind
pload81.dll

Naciśnij Look i pokaż raport.

.

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:31

barteq83 pisze:Skanowanie wykonane, usunięte złośliwe pliki. Przy restarcie komputera znów komunikat: "Wystąpił problem podczas uruchamiania pliku C:\Users\Bartek\pload81.dll. Nie można odnaleźć określonego modułu".

wklej w OTL błąd powinien ustąpić bo to pozostałośc po pload81.dll:
:OTL
04 - HKU\S-1-5-21-3363286400-3066620988-1672556726-1003..\Run: [NvCplDaemonTool] File not found

:Commands
[emptytemp]

barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:44

Log z SystemLook:
Dostępne tylko dla zarejestrowanych użytkowników

Log po wykonaniu komendy podanej przez djkamil09061991 (po restarcie znów komunikat ten sam komunikat o pload81.dll )
Dostępne tylko dla zarejestrowanych użytkowników

Log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 21:55

Wklej w OTL
:OTL
O4 - HKU\S-1-5-21-3363286400-3066620988-1672556726-1003..\Run: [NvCplDaemonTool] File not found

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"=-
[HKEY_USERS\S-1-5-21-3363286400-3066620988-1672556726-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"=-

:Commands
[emptytemp]

barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 22:07

Log po wykonaniu skryptu:
Dostępne tylko dla zarejestrowanych użytkowników

Log z OTL
Dostępne tylko dla zarejestrowanych użytkowników

wreszcie brak komunikatu o pload81.dll.

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post04 mar 2011, 22:15

Jak dla mnie czysto, naciśnij w OTL sprzątanie.

barteq83

Użytkownik
Posty: 7
Rejestracja: 04 mar 2011, 10:50

Zeus? Kryptik.KPL ? Prośba o pomoc

Post05 mar 2011, 00:46

Fajnie, wygląda na to, że jest w porządku. Wielkie podziękowania za pomoc - w kilka godzin udało się rozwiązać problem, za co jestem bardzo wdzięczny.

Mam jeszcze pytanie jak na przyszłość chronić się przed tego typu zagrożeniami? Na razie mam jako skaner AV NOD32, co jeszcze proponujecie jako wspomagacz?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zeus? Kryptik.KPL ? Prośba o pomoc

Post05 mar 2011, 08:23

Comodo Firewall.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości