Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

dostęp zdalny do mojego komputera, 3 dni walki i nic

#1
dostęp zdalny do mojego komputera, 3 dni walki i nic
Witam. Od 3 dni walczę z rootkitem, o ile tak nazywa się w ogóle ten typ wirusa. Próbowałem już praktycznie wszystkiego. Najlepsze jest to, że ów wirus uniemożliwił mi sformatowanie i zainstalowanie nowego Windowsa, grzebiąc w sterownikach do dvd. Tworzy jakieś "urządzenia programowe" z root w nazwie w menadżerze urządzeń, żaden antywirus go nie wykrywa, firewall zainstalowałem za późno i teraz już nie pomaga, bo wirus wgryza się w jego pliki, tak samo z antywirusami. Malwarebytes, Spybot Search And Destroy, Hotfix, Hijackthis, RKill. To wszystko na nic, to jest najlepszy wirus z jakim miałem do czyniena, jestem już bezsilny, ilekroć pozabijam usługi zdalnego dostępu to one wracają. Próbowałem odpalić Windows Defender w trybie offline, ale po kliknięciu uruchamia się usługa autoryzacji w mendżerze zadań i po pół sekundy znika, po czym już nic się nie dzieje.

Właśnie zrobiłem skan GMERem znalazło pełno brudu, zabiłem jakąś ukrytą usługę i jak odpalam wiersz poleceń jest dużo mniej połączeń ESTABLISHED. A co do nich, to cały czas tworzą się nowe na portach od 49000 do 66535.

Ogólnie fajny wirus, jak ktoś lubi tego typu rzeczy ale czasami chciałbym mieć dostęp do konta bankowego w 4 oczy Język

Proszę o pomoc. Jak poradzić sobie z takim czymś?
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Przedstaw komplet logów: http://forum.pcformat.pl/Problem-z-rekla...owe-logi-t + raport TDSSKiller .
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Dziękuję bardzo.
RSIT
OTL 1
OTL 2
FRST 1:FRST.txt
FRST 2:addition.txt
FRST 3:shortcut.txt
TDSSkiller raport
MBR Check
GMER ***



Sillent Runners nie jest kompatybilny z Windowsem 10, więc nie robię. Rano miałem jeszcze Windows 7, myślałem że jak przeinstaluje to wbudowany AV sobie poradzi. Już tego nie ruszam. Acha no i usunąłem antywirusa i firewalla, nie chodzę na razie po stronkach, a tamte antywirusy i tak sobie nie poradziły. Został Windows Defender.

*** GMER - wcześniej znalazł dużo więcej "syfu" ale jak zorientowałem się, że można zabijać tam procesy, to zabiłem jakiś ***hidden*** zaznaczony na czerwono. Jakby co to mogę zresetować kompa i puścić jeszcze raz tego GMERa.

Dziękuję pozdrawiam, sprawa się nie pali Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Rootkita nie widzę. Błędów w systemie również - te które są to IMO skutek użycia trybu awaryjnego:
Cytat:Error: (02/17/2017 08:28:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Czy ten "hiiden" w GMER to było to:
Cytat:Service  d:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe (*** hidden *** )      
? Jeśli tak - to dlatego że oprogramowanie emulujące napędy używa nie do końca udokumentowanych metod (mówiąc wprost: hackerskich) - dlatego należy je odinstalować przed wykonaniem skanu (do poczytania: https://forum.pcformat.pl/WAZNE-Jak-zalo...ec-WAZNE-t ).

Jeżeli miałeś kiedyś zainstalowany (nie taki "Online") Avast - odinstaluj za pomocą narzędzia: https://www.avast.com/pl-pl/uninstall-utility (folder jest domyślny: C:\Program Files\AVAST Software).

Do Notatnika wklej (bez frazy "Kod:"):
Kod:
Task: {FA5372F8-D6F9-49AC-B250-54BB63077389} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA
HKU\S-1-5-21-2665897440-3562454997-2397254755-1000\...\ChromeHTML: ->  <==== UWAGA
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Readium.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=fepbnnnkkadjhjahcafoaglimekefifl
AlternateDataStreams: C:\Users\Tomek\Downloads\AdwCleaner.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\antimalwaresetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ComboFix.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\DriverToolkitInstaller.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\HijackThis.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\install_flash_player_ppapi.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\OTL.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ozfkcw0n.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\rkill.exe:BDU [0]
cmd: netsh advfirewall firewall
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku
U4 idsvc; Brak ImagePath
U4 wpcsvc; Brak ImagePath
EmptyTemp:
Reboot:
Skrypt unikatowy - proszę nie stosować do "takich samych" przypadków.

Plik > Zapisz jako: fixlist.txt w katalogu w którym jest FRST.exe. Uruchom FRST: Napraw > w tym samym katalogu powstanie log wynikowy: fixlog.txt. Potwierdź restart kompa.
Uwaga: narzędzie usunie wszystkie pliki tymczasowe.

Zamknij wszystkie przeglądarki, uruchom AdwCleaner > Skanuj > Oczyść > restart.
Pokaż log AdwCleaner + fixlog.txt + nowe logi FRST.

Napisz jak zachowuje się system.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Zaraz wszystko porobię tylko to chciałem jeszcze pokazać. Ilekroć odinstaluje sterownik to za 30 sekund pojawia się na nowo. Były 3 teraz są 2.

Menedżer zadań

edit. 1. Co do daemona, właśnie w międzyczasie gdy robiłem logi, przeczytałem, że trzeba się go pozbyć, więc odinstalowałem ale nie do końca tylko przez panel sterowania. Za moment usunę całkowicie.
2. Co do usługi Serwer to wyłączyłem sam w services.msc i parę innych związanych ze zdalną kontrolą windows
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
To są standardowe sterowniki Win8>. Na dodatek nie widzę żeby coś z nimi było nie tak.
http://w8f.pl/microsoft-device-associati...any-1506-t
https://msdn.microsoft.com/windows/hardw...s-on-a-bus
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Fixlog

Adwcleaner czyszczenie

FRST

Addition.txt

Shortcut.txt

Ad. daemon -- SPTD2inst-v212-x64 nie wykryło sterownika i uninstall było nie do kliknięcia
Ad. avast -- usunięty w trybie awaryjnym, zalecali

CMD.exe  netstat-aon

W cmd mam zamiast 20 established ciągle zmieniających port tylko 2, co mnie wciąż niepokoi, ale dzięki za tą robotę Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ehhh - za szybko chciałem... Oczko .
Uruchom jako administrator Wiersz poleceń > wpisz: netsh advfirewall reset [Enter]. Restart kompa.
To zresetuje ustawienia wbudowanego firewalla - dodasz sobie później zaufane (!) aplikacje.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ok, zresetowane. Ale zapytało o zezwolenie na dostęp google chrome, nie zezwoliłem, a teraz piszę tego posta. Mam paranoje trochę, a za mało się znam na tym. Paranoję dlatego, że nie dawno otrzymałem od kolegi raspberry pi z zainstalowanym linuxem i dostępem do sieci 24/7 i mam obawy i powody ku temu by twierdzić, że coś tam na nim siedzi.

Jeszcze jedno pytanko, czy keyloggera wykryłbyś gdyby tam siedział w tych logach? A jak nie mamy pewności to jak usprawnie antywirusy i firewalla jakiegoś dodatkowego i działającego to poszukam właśnie keyloggera jeszcze.

A co z tym, że nie można windows defendera puścić w trybie offline (nadal)?

Z dobrych wieści, GREM nie pop-upuje po włączeniu, że wykrył rootkita ale dalej wyświetla jakiegoś exeka na liście, a podczas skanowania trochę tam tego dochodzi jeszcze.

Dziękuję jeszcze raz
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Chyba GMER Oczko . Uruchom https://www.virustotal.com/ > wskaż tego .exe > przeskanuj > daj link do wyników.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Poważne infekcje komputer przestaje współpracować PowerShel WinRM i Zdalny Pulpit egon89 49 4933 17.02.2018, 17:03
Ostatni post: kamel16
  Coś/Wirus blokuje mi dostęp. PilarUS 5 1665 10.10.2017, 17:32
Ostatni post: broda99
  Zablokowany dostęp do rejestru Siabal 21 6051 23.06.2015, 17:15
Ostatni post: Siabal

Skocz do:


Wybrane wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Ogólna detekcja behawioralna AVG blokuje uruchomienie i pracę w Word 2010 Starter cxxiv 4 4823 15.03.2016 11:26
Ostatni post: Arek_AVG.PL
  Błąd aplikacji 0xc0000005 - nie moge otworzyć prawie żadenj aplikacji tomas_ 2 5684 14.03.2016 17:44
Ostatni post: tomas_
  Blokowanie stron marcinbm 1 3225 14.03.2016 16:40
Ostatni post: Michu_PL
Question Czy po przywróceniu systemu po zawirusowaniu już jest bezpieczny? Gabsi 5 3639 13.03.2016 07:19
Ostatni post: broda99
  Samoistnie otwierające się reklamy i strony z grami irenap1936 2 3530 11.03.2016 22:47
Ostatni post: irenap1936
  Ukryte dyski - wirus? realego 2 3426 10.03.2016 11:36
Ostatni post: Michu_PL
  Problemy z reklamami Zbyszek1987 1 3187 09.03.2016 09:12
Ostatni post: morderca
  Samoczynne otwieranie się stron, reklam w przeglądarce laura92 5 4232 08.03.2016 18:33
Ostatni post: morderca
  Potrzebna pomoc! Samoczynnie otwierające się reklamy i niechciane oprogramowanie. Kamil92 3 3424 08.03.2016 13:43
Ostatni post: morderca
  Dezinstalacja Antywirusa i padł system Win7 andrevv 1 3487 05.03.2016 16:20
Ostatni post: Paweł01
Ściana Komputer na czarnej liście dns nie wiem co robić. Ogor000 3 3774 03.03.2016 11:57
Ostatni post: Ogor000
  Uciążliwe reklamy... Pan.Jan 3 3453 02.03.2016 23:35
Ostatni post: morderca
Shy megasoft security problem z internetem rozwiązanie radeok2 0 3584 02.03.2016 22:37
Ostatni post: radeok2
  Komputer się zacina, bardzo wolno włącza. Mrowka226 0 3407 02.03.2016 18:27
Ostatni post: Mrowka226
  Wysokie zużycie ramu i procesora przez dwa procesy. Skupniak 0 3655 02.03.2016 17:49
Ostatni post: Skupniak