Świąteczny konkurs PC Format zakończony. Zwycięzcy zostali wyłonieni. Zainteresowanych zapraszamy do NEWSA.


Użytkownicy przeglądający ten wątek: 1 gości

dostęp zdalny do mojego komputera, 3 dni walki i nic

#1
dostęp zdalny do mojego komputera, 3 dni walki i nic
Witam. Od 3 dni walczę z rootkitem, o ile tak nazywa się w ogóle ten typ wirusa. Próbowałem już praktycznie wszystkiego. Najlepsze jest to, że ów wirus uniemożliwił mi sformatowanie i zainstalowanie nowego Windowsa, grzebiąc w sterownikach do dvd. Tworzy jakieś "urządzenia programowe" z root w nazwie w menadżerze urządzeń, żaden antywirus go nie wykrywa, firewall zainstalowałem za późno i teraz już nie pomaga, bo wirus wgryza się w jego pliki, tak samo z antywirusami. Malwarebytes, Spybot Search And Destroy, Hotfix, Hijackthis, RKill. To wszystko na nic, to jest najlepszy wirus z jakim miałem do czyniena, jestem już bezsilny, ilekroć pozabijam usługi zdalnego dostępu to one wracają. Próbowałem odpalić Windows Defender w trybie offline, ale po kliknięciu uruchamia się usługa autoryzacji w mendżerze zadań i po pół sekundy znika, po czym już nic się nie dzieje.

Właśnie zrobiłem skan GMERem znalazło pełno brudu, zabiłem jakąś ukrytą usługę i jak odpalam wiersz poleceń jest dużo mniej połączeń ESTABLISHED. A co do nich, to cały czas tworzą się nowe na portach od 49000 do 66535.

Ogólnie fajny wirus, jak ktoś lubi tego typu rzeczy ale czasami chciałbym mieć dostęp do konta bankowego w 4 oczy Język

Proszę o pomoc. Jak poradzić sobie z takim czymś?
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Przedstaw komplet logów: http://forum.pcformat.pl/Problem-z-rekla...owe-logi-t + raport TDSSKiller .
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Dziękuję bardzo.
RSIT
OTL 1
OTL 2
FRST 1:FRST.txt
FRST 2:addition.txt
FRST 3:shortcut.txt
TDSSkiller raport
MBR Check
GMER ***



Sillent Runners nie jest kompatybilny z Windowsem 10, więc nie robię. Rano miałem jeszcze Windows 7, myślałem że jak przeinstaluje to wbudowany AV sobie poradzi. Już tego nie ruszam. Acha no i usunąłem antywirusa i firewalla, nie chodzę na razie po stronkach, a tamte antywirusy i tak sobie nie poradziły. Został Windows Defender.

*** GMER - wcześniej znalazł dużo więcej "syfu" ale jak zorientowałem się, że można zabijać tam procesy, to zabiłem jakiś ***hidden*** zaznaczony na czerwono. Jakby co to mogę zresetować kompa i puścić jeszcze raz tego GMERa.

Dziękuję pozdrawiam, sprawa się nie pali Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Rootkita nie widzę. Błędów w systemie również - te które są to IMO skutek użycia trybu awaryjnego:
Cytat:Error: (02/17/2017 08:28:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Czy ten "hiiden" w GMER to było to:
Cytat:Service  d:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe (*** hidden *** )      
? Jeśli tak - to dlatego że oprogramowanie emulujące napędy używa nie do końca udokumentowanych metod (mówiąc wprost: hackerskich) - dlatego należy je odinstalować przed wykonaniem skanu (do poczytania: https://forum.pcformat.pl/WAZNE-Jak-zalo...ec-WAZNE-t ).

Jeżeli miałeś kiedyś zainstalowany (nie taki "Online") Avast - odinstaluj za pomocą narzędzia: https://www.avast.com/pl-pl/uninstall-utility (folder jest domyślny: C:\Program Files\AVAST Software).

Do Notatnika wklej (bez frazy "Kod:"):
Kod:
Task: {FA5372F8-D6F9-49AC-B250-54BB63077389} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA
HKU\S-1-5-21-2665897440-3562454997-2397254755-1000\...\ChromeHTML: ->  <==== UWAGA
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Readium.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=fepbnnnkkadjhjahcafoaglimekefifl
AlternateDataStreams: C:\Users\Tomek\Downloads\AdwCleaner.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\antimalwaresetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ComboFix.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\DriverToolkitInstaller.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\HijackThis.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\install_flash_player_ppapi.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\OTL.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ozfkcw0n.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\rkill.exe:BDU [0]
cmd: netsh advfirewall firewall
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku
U4 idsvc; Brak ImagePath
U4 wpcsvc; Brak ImagePath
EmptyTemp:
Reboot:
Skrypt unikatowy - proszę nie stosować do "takich samych" przypadków.

Plik > Zapisz jako: fixlist.txt w katalogu w którym jest FRST.exe. Uruchom FRST: Napraw > w tym samym katalogu powstanie log wynikowy: fixlog.txt. Potwierdź restart kompa.
Uwaga: narzędzie usunie wszystkie pliki tymczasowe.

Zamknij wszystkie przeglądarki, uruchom AdwCleaner > Skanuj > Oczyść > restart.
Pokaż log AdwCleaner + fixlog.txt + nowe logi FRST.

Napisz jak zachowuje się system.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Zaraz wszystko porobię tylko to chciałem jeszcze pokazać. Ilekroć odinstaluje sterownik to za 30 sekund pojawia się na nowo. Były 3 teraz są 2.

Menedżer zadań

edit. 1. Co do daemona, właśnie w międzyczasie gdy robiłem logi, przeczytałem, że trzeba się go pozbyć, więc odinstalowałem ale nie do końca tylko przez panel sterowania. Za moment usunę całkowicie.
2. Co do usługi Serwer to wyłączyłem sam w services.msc i parę innych związanych ze zdalną kontrolą windows
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
To są standardowe sterowniki Win8>. Na dodatek nie widzę żeby coś z nimi było nie tak.
http://w8f.pl/microsoft-device-associati...any-1506-t
https://msdn.microsoft.com/windows/hardw...s-on-a-bus
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Fixlog

Adwcleaner czyszczenie

FRST

Addition.txt

Shortcut.txt

Ad. daemon -- SPTD2inst-v212-x64 nie wykryło sterownika i uninstall było nie do kliknięcia
Ad. avast -- usunięty w trybie awaryjnym, zalecali

CMD.exe  netstat-aon

W cmd mam zamiast 20 established ciągle zmieniających port tylko 2, co mnie wciąż niepokoi, ale dzięki za tą robotę Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ehhh - za szybko chciałem... Oczko .
Uruchom jako administrator Wiersz poleceń > wpisz: netsh advfirewall reset [Enter]. Restart kompa.
To zresetuje ustawienia wbudowanego firewalla - dodasz sobie później zaufane (!) aplikacje.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ok, zresetowane. Ale zapytało o zezwolenie na dostęp google chrome, nie zezwoliłem, a teraz piszę tego posta. Mam paranoje trochę, a za mało się znam na tym. Paranoję dlatego, że nie dawno otrzymałem od kolegi raspberry pi z zainstalowanym linuxem i dostępem do sieci 24/7 i mam obawy i powody ku temu by twierdzić, że coś tam na nim siedzi.

Jeszcze jedno pytanko, czy keyloggera wykryłbyś gdyby tam siedział w tych logach? A jak nie mamy pewności to jak usprawnie antywirusy i firewalla jakiegoś dodatkowego i działającego to poszukam właśnie keyloggera jeszcze.

A co z tym, że nie można windows defendera puścić w trybie offline (nadal)?

Z dobrych wieści, GREM nie pop-upuje po włączeniu, że wykrył rootkita ale dalej wyświetla jakiegoś exeka na liście, a podczas skanowania trochę tam tego dochodzi jeszcze.

Dziękuję jeszcze raz
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Chyba GMER Oczko . Uruchom https://www.virustotal.com/ > wskaż tego .exe > przeskanuj > daj link do wyników.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Zablokowany dostęp do rejestru Siabal 21 5756 23.06.2015, 17:15
Ostatni post: Siabal
  Jak zablokować możliwości innym użytkownikom mojego komputera Kraszes 3 570 25.03.2015, 14:43
Ostatni post: szymon1051
  Virustotal pelno virusow, Kasperky nie wykrywa nic. Xkryo 1 2408 22.03.2015, 12:24
Ostatni post: Muerte

Skocz do:


Wybrane wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Groźny syf pgorecki77 3 2706 26.08.2015 18:41
Ostatni post: broda99
  Błąd aplikacji diterus 0 2438 23.08.2015 18:25
Ostatni post: diterus
  Reklamy, śmieci podczas korzystania z WIFI smartfonem mariach 0 2636 21.08.2015 19:40
Ostatni post: mariach
  Klikanie w tle (podczas grania) dawid12003 2 2849 19.08.2015 20:58
Ostatni post: dawid12003
  AnyProtect, Crossbrowse i inne złośliwe oprogramowanie chyzy 1 2714 18.08.2015 04:45
Ostatni post: broda99
Sad super optimizer- wirus ? Proszę o Pomoc. ssebqq 9 2840 17.08.2015 21:55
Ostatni post: S3buus
Ściana Zapora Systemu Windows Konrad5858 1 2609 15.08.2015 23:01
Ostatni post: Muerte
  Common dots ads jak się pozbyć? damian61211 5 2929 14.08.2015 20:36
Ostatni post: Muerte
  Klawiatura sama wpisuje znaki Marcin6683 3 3040 14.08.2015 20:34
Ostatni post: Muerte
  Problem z usunięciem Searchme toolbar, wyskakujące reklamy Girafi 23 1511 14.08.2015 16:09
Ostatni post: Girafi
  Wirus uniemożliwiający wejście na poszczególne strony. mrc120 1 2750 12.08.2015 15:35
Ostatni post: raxer
  atieclxx.exe jak się tego pozbyć Mayonez 3 3313 10.08.2015 21:09
Ostatni post: Muerte
  Ktoś ma moje dane Secharffood11 1 2542 10.08.2015 12:31
Ostatni post: aht
  Komputer przestał normalnie funkcjonować + wirus na routerze (Logi) Lecho1 0 2669 09.08.2015 12:58
Ostatni post: Lecho1
  Wyszukiwarka-robak safefinder lukpoz 1 4627 08.08.2015 18:12
Ostatni post: broda99