Wystartowała kolejna edycja Wakacyjnego Konkursu PC Format! Każdy użytkownik ma szanse zdobyć cenne nagrody. Zainteresowanych zapraszamy do TEMATU


Użytkownicy przeglądający ten wątek: 1 gości

dostęp zdalny do mojego komputera, 3 dni walki i nic

#1
dostęp zdalny do mojego komputera, 3 dni walki i nic
Witam. Od 3 dni walczę z rootkitem, o ile tak nazywa się w ogóle ten typ wirusa. Próbowałem już praktycznie wszystkiego. Najlepsze jest to, że ów wirus uniemożliwił mi sformatowanie i zainstalowanie nowego Windowsa, grzebiąc w sterownikach do dvd. Tworzy jakieś "urządzenia programowe" z root w nazwie w menadżerze urządzeń, żaden antywirus go nie wykrywa, firewall zainstalowałem za późno i teraz już nie pomaga, bo wirus wgryza się w jego pliki, tak samo z antywirusami. Malwarebytes, Spybot Search And Destroy, Hotfix, Hijackthis, RKill. To wszystko na nic, to jest najlepszy wirus z jakim miałem do czyniena, jestem już bezsilny, ilekroć pozabijam usługi zdalnego dostępu to one wracają. Próbowałem odpalić Windows Defender w trybie offline, ale po kliknięciu uruchamia się usługa autoryzacji w mendżerze zadań i po pół sekundy znika, po czym już nic się nie dzieje.

Właśnie zrobiłem skan GMERem znalazło pełno brudu, zabiłem jakąś ukrytą usługę i jak odpalam wiersz poleceń jest dużo mniej połączeń ESTABLISHED. A co do nich, to cały czas tworzą się nowe na portach od 49000 do 66535.

Ogólnie fajny wirus, jak ktoś lubi tego typu rzeczy ale czasami chciałbym mieć dostęp do konta bankowego w 4 oczy Język

Proszę o pomoc. Jak poradzić sobie z takim czymś?
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Przedstaw komplet logów: http://forum.pcformat.pl/Problem-z-rekla...owe-logi-t + raport TDSSKiller .
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Dziękuję bardzo.
RSIT
OTL 1
OTL 2
FRST 1:FRST.txt
FRST 2:addition.txt
FRST 3:shortcut.txt
TDSSkiller raport
MBR Check
GMER ***



Sillent Runners nie jest kompatybilny z Windowsem 10, więc nie robię. Rano miałem jeszcze Windows 7, myślałem że jak przeinstaluje to wbudowany AV sobie poradzi. Już tego nie ruszam. Acha no i usunąłem antywirusa i firewalla, nie chodzę na razie po stronkach, a tamte antywirusy i tak sobie nie poradziły. Został Windows Defender.

*** GMER - wcześniej znalazł dużo więcej "syfu" ale jak zorientowałem się, że można zabijać tam procesy, to zabiłem jakiś ***hidden*** zaznaczony na czerwono. Jakby co to mogę zresetować kompa i puścić jeszcze raz tego GMERa.

Dziękuję pozdrawiam, sprawa się nie pali Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Rootkita nie widzę. Błędów w systemie również - te które są to IMO skutek użycia trybu awaryjnego:
Cytat:Error: (02/17/2017 08:28:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Czy ten "hiiden" w GMER to było to:
Cytat:Service  d:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe (*** hidden *** )      
? Jeśli tak - to dlatego że oprogramowanie emulujące napędy używa nie do końca udokumentowanych metod (mówiąc wprost: hackerskich) - dlatego należy je odinstalować przed wykonaniem skanu (do poczytania: https://forum.pcformat.pl/WAZNE-Jak-zalo...ec-WAZNE-t ).

Jeżeli miałeś kiedyś zainstalowany (nie taki "Online") Avast - odinstaluj za pomocą narzędzia: https://www.avast.com/pl-pl/uninstall-utility (folder jest domyślny: C:\Program Files\AVAST Software).

Do Notatnika wklej (bez frazy "Kod:"):
Kod:
Task: {FA5372F8-D6F9-49AC-B250-54BB63077389} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA
HKU\S-1-5-21-2665897440-3562454997-2397254755-1000\...\ChromeHTML: ->  <==== UWAGA
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Readium.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=fepbnnnkkadjhjahcafoaglimekefifl
AlternateDataStreams: C:\Users\Tomek\Downloads\AdwCleaner.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\antimalwaresetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ComboFix.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\DriverToolkitInstaller.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\HijackThis.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\install_flash_player_ppapi.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\OTL.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ozfkcw0n.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\rkill.exe:BDU [0]
cmd: netsh advfirewall firewall
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku
U4 idsvc; Brak ImagePath
U4 wpcsvc; Brak ImagePath
EmptyTemp:
Reboot:
Skrypt unikatowy - proszę nie stosować do "takich samych" przypadków.

Plik > Zapisz jako: fixlist.txt w katalogu w którym jest FRST.exe. Uruchom FRST: Napraw > w tym samym katalogu powstanie log wynikowy: fixlog.txt. Potwierdź restart kompa.
Uwaga: narzędzie usunie wszystkie pliki tymczasowe.

Zamknij wszystkie przeglądarki, uruchom AdwCleaner > Skanuj > Oczyść > restart.
Pokaż log AdwCleaner + fixlog.txt + nowe logi FRST.

Napisz jak zachowuje się system.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Zaraz wszystko porobię tylko to chciałem jeszcze pokazać. Ilekroć odinstaluje sterownik to za 30 sekund pojawia się na nowo. Były 3 teraz są 2.

Menedżer zadań

edit. 1. Co do daemona, właśnie w międzyczasie gdy robiłem logi, przeczytałem, że trzeba się go pozbyć, więc odinstalowałem ale nie do końca tylko przez panel sterowania. Za moment usunę całkowicie.
2. Co do usługi Serwer to wyłączyłem sam w services.msc i parę innych związanych ze zdalną kontrolą windows
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
To są standardowe sterowniki Win8>. Na dodatek nie widzę żeby coś z nimi było nie tak.
http://w8f.pl/microsoft-device-associati...any-1506-t
https://msdn.microsoft.com/windows/hardw...s-on-a-bus
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Fixlog

Adwcleaner czyszczenie

FRST

Addition.txt

Shortcut.txt

Ad. daemon -- SPTD2inst-v212-x64 nie wykryło sterownika i uninstall było nie do kliknięcia
Ad. avast -- usunięty w trybie awaryjnym, zalecali

CMD.exe  netstat-aon

W cmd mam zamiast 20 established ciągle zmieniających port tylko 2, co mnie wciąż niepokoi, ale dzięki za tą robotę Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ehhh - za szybko chciałem... Oczko .
Uruchom jako administrator Wiersz poleceń > wpisz: netsh advfirewall reset [Enter]. Restart kompa.
To zresetuje ustawienia wbudowanego firewalla - dodasz sobie później zaufane (!) aplikacje.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ok, zresetowane. Ale zapytało o zezwolenie na dostęp google chrome, nie zezwoliłem, a teraz piszę tego posta. Mam paranoje trochę, a za mało się znam na tym. Paranoję dlatego, że nie dawno otrzymałem od kolegi raspberry pi z zainstalowanym linuxem i dostępem do sieci 24/7 i mam obawy i powody ku temu by twierdzić, że coś tam na nim siedzi.

Jeszcze jedno pytanko, czy keyloggera wykryłbyś gdyby tam siedział w tych logach? A jak nie mamy pewności to jak usprawnie antywirusy i firewalla jakiegoś dodatkowego i działającego to poszukam właśnie keyloggera jeszcze.

A co z tym, że nie można windows defendera puścić w trybie offline (nadal)?

Z dobrych wieści, GREM nie pop-upuje po włączeniu, że wykrył rootkita ale dalej wyświetla jakiegoś exeka na liście, a podczas skanowania trochę tam tego dochodzi jeszcze.

Dziękuję jeszcze raz
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Chyba GMER Oczko . Uruchom https://www.virustotal.com/ > wskaż tego .exe > przeskanuj > daj link do wyników.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Zablokowany dostęp do rejestru Siabal 21 5908 23.06.2015, 17:15
Ostatni post: Siabal
  Jak zablokować możliwości innym użytkownikom mojego komputera Kraszes 3 593 25.03.2015, 14:43
Ostatni post: szymon1051
  Virustotal pelno virusow, Kasperky nie wykrywa nic. Xkryo 1 2428 22.03.2015, 12:24
Ostatni post: Muerte

Skocz do:


Wybrane wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Trojan Generic 37.BGLx dropper jak usunąć ! ojciec35 6 694 25.07.2016 12:14
Ostatni post: ojciec35
  Komputer zuzywa dużą ilośc pamięci RAM ojciec35 11 4131 25.07.2016 07:36
Ostatni post: kamel16
  Problem z temperaturą Mateusz. 2 2012 24.07.2016 18:08
Ostatni post: Mateusz.
  Podmiana IFRAME na stronie na zlosliwe reklamy - Smart adserver Mishek 8 2278 23.07.2016 23:46
Ostatni post: Mishek
  Usunięcie dwóch programów WIN10 psclollek 1 2087 22.07.2016 13:56
Ostatni post: morderca
  Pendrive nie wyświetla plików aga_k 13 4203 22.07.2016 08:13
Ostatni post: morderca
  program adguard a bezpieczne logowanie się do banku ojciec35 3 2601 21.07.2016 21:25
Ostatni post: Michu_PL
  Witam! Czy istnieje blokada usuwania historii w google chrome. polskichef 1 499 21.07.2016 21:15
Ostatni post: Michu_PL
  Co to za dziwne foldery lionelius 7 2674 19.07.2016 16:58
Ostatni post: raxer
  Wirus z Końcówką cerber xx2xx 3 2903 19.07.2016 15:09
Ostatni post: ChesterCheetah
  Nawracający wirus. zielu71 3 2079 17.07.2016 06:59
Ostatni post: morderca
  Zapamiętywanie haseł szopen12 0 2093 16.07.2016 22:57
Ostatni post: szopen12
  RSA 4096 problem z odkodowaniem plików Garownik 2 2412 10.07.2016 00:54
Ostatni post: Garownik
  Malwarebytes Anti-Malware - ponad 300 zagrozen. Ktore moge usunac? Skladakos 3 529 09.07.2016 21:44
Ostatni post: Skladakos
  Skrót pendrive na pendrive krzysiukk7 2 2484 08.07.2016 21:51
Ostatni post: krzysiukk7