Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Prosím o kontrolu logu získaného programem HijackThis

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Zpráva
Autor
Uživatelský avatar
Diallix
Rádce
Rádce
Příspěvky: 2760
Registrován: 27 dub 2008 10:34
Kontaktovat uživatele:

Re: Prosím o kontrolu logu získaného programem HijackThis

#16 Příspěvek od Diallix »

Skuste ho spustit v nudzovom rezime. Ak nepojde, tak preskocte na navod 2 .
Vyšla moja nová kniha BOTNETY! :173: Informácie o nej nájdete tu: >> BOTNETY <<

¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­
---
Obrázek Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu: >> CyberSecurity UNIT << Obrázek
----
Nízkoúrovňový, Vysokoúrovňový programátor - profilová karta tu: card <<
----
Háveťárna - UPLOAD Malwaru: >> upload <<
---
Ak sa Vám ľúbi moja práca a ste sňou spokojný, môžete ma kontaktovať na: diallix@centrum.sk, info@diallix.net alebo diallix@forum.viry.cz .
---
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.
- tutor v oblasti dotazovacích jazykoch SQL (TSQL, PLSQL), objektového programovania (c++,c#,php) pre študentov.

Na fóre pôsobím ako:
- Bezpečnostná autorita viry.cz
- Zástupca tutora pre vzdelávanie nováčikov
- Zakladateľ Cyber Security jednotky

maxdevaine
Návštěvník
Návštěvník
Příspěvky: 3
Registrován: 27 lis 2008 07:20

Re: Prosím o kontrolu logu získaného programem HijackThis

#17 Příspěvek od maxdevaine »

Tak mám za sebou denní piplání s odstraněním W32/Sality.aa (vzal jsem si to osobně a reinstall PC beru jako zklamání :) ).
Pomohlo nakonec toto :
Odstranit všechny položky po spuštění z registrů pomocí programu ccleaner. Tento program je virem automaticky uzavírán. Já jsem nic jiného poruce neměl a regedit samozřejmě taktéž nepremává, takže jsem nakonec ccleaner spustil asi tak 20x a tím jsem měl dostatek času tyto položky smazat, nežli vir všechny procesy ccleaneru sejme. Dále samozřejmě vypnout nástroj obnovení systému a pročistit tempy a všechny uložiště pro dočasné soubory.
Dále jsem na toho šmejda pustil combofix, který odstranil dost bordelu okolo, co si Sality sosne z netu a hned po něm jsem na něj pustil SmitFraud, který samotný vir odstranil. Celou akci jsem dokonal AVP, který vyléčil všechny nakažené soubory. Pomocí UPM jsem vyčistil bordely v procesech a pozůstatky viru ve službách.
Nouzový režim mi začal fungovat až po úplném odstranění viru. Původně nouzák házel modrou smrt a tu házelo i několik programů na viry ve widnows, takže každou chvíli restart :-/.

Zdar Max

Uživatelský avatar
Diallix
Rádce
Rádce
Příspěvky: 2760
Registrován: 27 dub 2008 10:34
Kontaktovat uživatele:

Re: Prosím o kontrolu logu získaného programem HijackThis

#18 Příspěvek od Diallix »

Neviem co to robi v tejto teme.

Ak ste ten vir nicil sam, bez pomoci radcu, obdivuhodne :o Len mam urcite pochybnosti, ci je naozaj vsetko v poriadku a ci dana situacia nie je chvilkova.

Ccleaner viry nenici :)
Vyšla moja nová kniha BOTNETY! :173: Informácie o nej nájdete tu: >> BOTNETY <<

¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­
---
Obrázek Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu: >> CyberSecurity UNIT << Obrázek
----
Nízkoúrovňový, Vysokoúrovňový programátor - profilová karta tu: card <<
----
Háveťárna - UPLOAD Malwaru: >> upload <<
---
Ak sa Vám ľúbi moja práca a ste sňou spokojný, môžete ma kontaktovať na: diallix@centrum.sk, info@diallix.net alebo diallix@forum.viry.cz .
---
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.
- tutor v oblasti dotazovacích jazykoch SQL (TSQL, PLSQL), objektového programovania (c++,c#,php) pre študentov.

Na fóre pôsobím ako:
- Bezpečnostná autorita viry.cz
- Zástupca tutora pre vzdelávanie nováčikov
- Zakladateľ Cyber Security jednotky

maxdevaine
Návštěvník
Návštěvník
Příspěvky: 3
Registrován: 27 lis 2008 07:20

Re: Prosím o kontrolu logu získaného programem HijackThis

#19 Příspěvek od maxdevaine »

V této diskusy je to proto, jelikož jde o stejného vira.

Vím, co ccleaner dělá a také jsem jasně popisoval, že jsem ho použil jen k úpravě registrů, reps. k vymazání hodnot v run klíčích, aby se část infikovaných souborů nespouštěla (SmitFraud totiž infikované soubory neodstranil, ale jen myslím služby a driver v systému, jenž byl oním virem).

Takže jsem smazal hodnoty v run klíčích, dále jsem použil combofix a v zápětí SmitFraud, což odpravilo část vira aj. havět. Už fungoval i nouzák. Dále jsem použil AVP, ten se postaral o hodně a část souborů vyléčil, nebo odstranil. Vše se už zdálo být ok, tak jsem sem hodil info o postupu.

Dále jsem se tam snažil nainstalit Nod32 a vše ještě jednou projet. Nainstaloval se, ale choval se divně a nešel rezidentní štít. Zaktualizoval jsem ho (musel jsem stáhnout komerční verzi, ke které je dodáván 30 denní trial key, protože se vždy info o aktualizačním serveru smazalo). Proscanoval PC, našel ještě několik infikovaných souborů, ale ty jen ležely na disku a nespouštěli se.
Další šíření viru se už nekonalo, ale nod32 stále bez rezidentního štítu. Použil jsem několik antyspyware programů a nakonec pomohl starý dobrý mwav(detekoval jsem, že tam něco je) a mbam(našel a odstranil to, co mwav taktéž viděl), jenž našly asi 4 drobnůstky, nějaký adware, trojan apod. Nod32 ovšem stále nic, ani reinstall nepomohl, resp. nešel odinstalovat. Musel jsem ručně smazat službu, restartnout PC a odinstalovat ho. UPM nehlásil nic divného, v procesech jsem nemohl najít žádnou chybku. Rootkit nikde.

Napadlo mně, že když žádný sw nic nehlásí a nic nemůže najít, tak to bude čistě asi jen v nodovi. Naladil jsem RegSeeker a ještě růčo promazal registry od noda, vyhledával jsem hodnoty a klíče s názvem : eset, ekrnl, smart security, egui.
Nakonec se podařilo -> našel jsem mj. nějaké klíče pro GPO. Zdá se tedy, že bylo asi nastaveno GPO proti Nodovi (šmejdskej vir).

Takže tedy ve finále :
combofix
SmitFraud
avp
mbam
nod32

Všechny testy teď prošly ok (při zaktualizovaném sw), z toho také usuzuji, že je PC naprosto čistý.

Samozřejmě jsem mohl ještě použít HijackThis, nebo jiné další logovací nástroje, ale to většinou používám až v krajním případě (raději pustím nějaký test a dělám si svoje věci, než spouštět logování a zaneprazdňovat se v pracovní době zkoumáním logů).

Za tuto úspěšnou akci samozřejmě můžou zdejší pomocníci (toto fórum mne kdysi seznámilo s většinou nástrojů, kterou už delší dobu používám, a samozřejmně občas ještě na nějakou novinku narazím). Takže děkuji za toto forum a posílám záslužnou dotující sms :)

Zdar Max

Uživatelský avatar
Diallix
Rádce
Rádce
Příspěvky: 2760
Registrován: 27 dub 2008 10:34
Kontaktovat uživatele:

Re: Prosím o kontrolu logu získaného programem HijackThis

#20 Příspěvek od Diallix »

Ccleaner maze len vetve, ktore odkazuju na neplatne objekty. Ak sa v nich nachadza odkaz na neaky infikovany subor, tak to ponecha .

Takze, super, ze ste si pomohol sam... :) A uz tu nebudeme spamovat.

Za sms v mene fora, dakujeme!
Vyšla moja nová kniha BOTNETY! :173: Informácie o nej nájdete tu: >> BOTNETY <<

¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­
---
Obrázek Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu: >> CyberSecurity UNIT << Obrázek
----
Nízkoúrovňový, Vysokoúrovňový programátor - profilová karta tu: card <<
----
Háveťárna - UPLOAD Malwaru: >> upload <<
---
Ak sa Vám ľúbi moja práca a ste sňou spokojný, môžete ma kontaktovať na: diallix@centrum.sk, info@diallix.net alebo diallix@forum.viry.cz .
---
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.
- tutor v oblasti dotazovacích jazykoch SQL (TSQL, PLSQL), objektového programovania (c++,c#,php) pre študentov.

Na fóre pôsobím ako:
- Bezpečnostná autorita viry.cz
- Zástupca tutora pre vzdelávanie nováčikov
- Zakladateľ Cyber Security jednotky

maxdevaine
Návštěvník
Návštěvník
Příspěvky: 3
Registrován: 27 lis 2008 07:20

Re: Prosím o kontrolu logu získaného programem HijackThis

#21 Příspěvek od maxdevaine »

Promiň, ale ještě si neodpustím jeden komentář. Už jsem řekl, že moc dobře vím, co vše umí ccleaner a zkus si najet "Nástroje" -> "Start", zde jsou ony hodnoty v "run" klíčích, které jsem promazal.
Samozřejmě se primárně zaměřuje na čistění registrů mazáním neplatných odkazů, ale umí toho krapet více ;-).
Zdar Max

Uživatelský avatar
Diallix
Rádce
Rádce
Příspěvky: 2760
Registrován: 27 dub 2008 10:34
Kontaktovat uživatele:

Re: Prosím o kontrolu logu získaného programem HijackThis

#22 Příspěvek od Diallix »

Ja viem presne co vie. Len som to z Vasej komunikacie nepochopil ako ste to myslel.

Ja by som napriklad nikdy cez ccleaner nic po startu nemazal. Uz len z toho dovodu, ze neposkytuje konpletny prehlad vsetkych spustenych a zavedenych programov v RUN.
Vyšla moja nová kniha BOTNETY! :173: Informácie o nej nájdete tu: >> BOTNETY <<

¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­¯­­­
---
Obrázek Hľadáme nové posily do nášej CyberSecurity UNIT jednotky. Viac informácií o tom, čo to obnáša a ako sa pripojiť nájdete tu: >> CyberSecurity UNIT << Obrázek
----
Nízkoúrovňový, Vysokoúrovňový programátor - profilová karta tu: card <<
----
Háveťárna - UPLOAD Malwaru: >> upload <<
---
Ak sa Vám ľúbi moja práca a ste sňou spokojný, môžete ma kontaktovať na: diallix@centrum.sk, info@diallix.net alebo diallix@forum.viry.cz .
---
Momentálne aktívny ako:
- konzultant, vývojár a tutor výskumu inteligentného malwaru.
- tutor v oblasti dotazovacích jazykoch SQL (TSQL, PLSQL), objektového programovania (c++,c#,php) pre študentov.

Na fóre pôsobím ako:
- Bezpečnostná autorita viry.cz
- Zástupca tutora pre vzdelávanie nováčikov
- Zakladateľ Cyber Security jednotky

mahoma
Návštěvník
Návštěvník
Příspěvky: 4
Registrován: 20 zář 2011 02:41

Re: Prosím o kontrolu logu získaného programem HijackThis

#23 Příspěvek od mahoma »

no pánové to ste tedy borci a sem vděčný pc rozumím ale tohle byla práce když sem kouknul že mám 360 souborů infikovaných a jeste k tomu důležitá data mlátil sem hlavou o stůl.

Ale máte pravdu a funguje to dokonale stačí číst a hned sem byl chytřejší a u tohoto viru sem byl vyřízený ale o hodinu později sem měl úsměv na tváři ,právě že díky tomuto fóru.čest vaší práci a sem váš obdivovatel ste jedničky ba co ,ste top sem zavázán a vaše banery(weby mám dva) skončí na mých stránkách protože jak tady radíte nemáte konkurenci.

Hodně úspěchů vašemu webu a práci kterou děláte velmi dobře.

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Prosím o kontrolu logu získaného programem HijackThis

#24 Příspěvek od motji »

Dobrý den,
ale pro jistotu si založte vlastní topic a vložte log ze rsitu, ať víte, jestli je opravdu vše v pořádku :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Odpovědět