Wystartowała kolejna edycja Wakacyjnego Konkursu PC Format! Każdy użytkownik ma szanse zdobyć cenne nagrody. Zainteresowanych zapraszamy do TEMATU


Użytkownicy przeglądający ten wątek: 1 gości

dostęp zdalny do mojego komputera, 3 dni walki i nic

#1
dostęp zdalny do mojego komputera, 3 dni walki i nic
Witam. Od 3 dni walczę z rootkitem, o ile tak nazywa się w ogóle ten typ wirusa. Próbowałem już praktycznie wszystkiego. Najlepsze jest to, że ów wirus uniemożliwił mi sformatowanie i zainstalowanie nowego Windowsa, grzebiąc w sterownikach do dvd. Tworzy jakieś "urządzenia programowe" z root w nazwie w menadżerze urządzeń, żaden antywirus go nie wykrywa, firewall zainstalowałem za późno i teraz już nie pomaga, bo wirus wgryza się w jego pliki, tak samo z antywirusami. Malwarebytes, Spybot Search And Destroy, Hotfix, Hijackthis, RKill. To wszystko na nic, to jest najlepszy wirus z jakim miałem do czyniena, jestem już bezsilny, ilekroć pozabijam usługi zdalnego dostępu to one wracają. Próbowałem odpalić Windows Defender w trybie offline, ale po kliknięciu uruchamia się usługa autoryzacji w mendżerze zadań i po pół sekundy znika, po czym już nic się nie dzieje.

Właśnie zrobiłem skan GMERem znalazło pełno brudu, zabiłem jakąś ukrytą usługę i jak odpalam wiersz poleceń jest dużo mniej połączeń ESTABLISHED. A co do nich, to cały czas tworzą się nowe na portach od 49000 do 66535.

Ogólnie fajny wirus, jak ktoś lubi tego typu rzeczy ale czasami chciałbym mieć dostęp do konta bankowego w 4 oczy Język

Proszę o pomoc. Jak poradzić sobie z takim czymś?
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Przedstaw komplet logów: http://forum.pcformat.pl/Problem-z-rekla...owe-logi-t + raport TDSSKiller .
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Dziękuję bardzo.
RSIT
OTL 1
OTL 2
FRST 1:FRST.txt
FRST 2:addition.txt
FRST 3:shortcut.txt
TDSSkiller raport
MBR Check
GMER ***



Sillent Runners nie jest kompatybilny z Windowsem 10, więc nie robię. Rano miałem jeszcze Windows 7, myślałem że jak przeinstaluje to wbudowany AV sobie poradzi. Już tego nie ruszam. Acha no i usunąłem antywirusa i firewalla, nie chodzę na razie po stronkach, a tamte antywirusy i tak sobie nie poradziły. Został Windows Defender.

*** GMER - wcześniej znalazł dużo więcej "syfu" ale jak zorientowałem się, że można zabijać tam procesy, to zabiłem jakiś ***hidden*** zaznaczony na czerwono. Jakby co to mogę zresetować kompa i puścić jeszcze raz tego GMERa.

Dziękuję pozdrawiam, sprawa się nie pali Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Rootkita nie widzę. Błędów w systemie również - te które są to IMO skutek użycia trybu awaryjnego:
Cytat:Error: (02/17/2017 08:28:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Czy ten "hiiden" w GMER to było to:
Cytat:Service  d:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe (*** hidden *** )      
? Jeśli tak - to dlatego że oprogramowanie emulujące napędy używa nie do końca udokumentowanych metod (mówiąc wprost: hackerskich) - dlatego należy je odinstalować przed wykonaniem skanu (do poczytania: https://forum.pcformat.pl/WAZNE-Jak-zalo...ec-WAZNE-t ).

Jeżeli miałeś kiedyś zainstalowany (nie taki "Online") Avast - odinstaluj za pomocą narzędzia: https://www.avast.com/pl-pl/uninstall-utility (folder jest domyślny: C:\Program Files\AVAST Software).

Do Notatnika wklej (bez frazy "Kod:"):
Kod:
Task: {FA5372F8-D6F9-49AC-B250-54BB63077389} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA
HKU\S-1-5-21-2665897440-3562454997-2397254755-1000\...\ChromeHTML: ->  <==== UWAGA
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Readium.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=fepbnnnkkadjhjahcafoaglimekefifl
AlternateDataStreams: C:\Users\Tomek\Downloads\AdwCleaner.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\antimalwaresetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ComboFix.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\DriverToolkitInstaller.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\HijackThis.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\install_flash_player_ppapi.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\OTL.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ozfkcw0n.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\rkill.exe:BDU [0]
cmd: netsh advfirewall firewall
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku
U4 idsvc; Brak ImagePath
U4 wpcsvc; Brak ImagePath
EmptyTemp:
Reboot:
Skrypt unikatowy - proszę nie stosować do "takich samych" przypadków.

Plik > Zapisz jako: fixlist.txt w katalogu w którym jest FRST.exe. Uruchom FRST: Napraw > w tym samym katalogu powstanie log wynikowy: fixlog.txt. Potwierdź restart kompa.
Uwaga: narzędzie usunie wszystkie pliki tymczasowe.

Zamknij wszystkie przeglądarki, uruchom AdwCleaner > Skanuj > Oczyść > restart.
Pokaż log AdwCleaner + fixlog.txt + nowe logi FRST.

Napisz jak zachowuje się system.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Zaraz wszystko porobię tylko to chciałem jeszcze pokazać. Ilekroć odinstaluje sterownik to za 30 sekund pojawia się na nowo. Były 3 teraz są 2.

Menedżer zadań

edit. 1. Co do daemona, właśnie w międzyczasie gdy robiłem logi, przeczytałem, że trzeba się go pozbyć, więc odinstalowałem ale nie do końca tylko przez panel sterowania. Za moment usunę całkowicie.
2. Co do usługi Serwer to wyłączyłem sam w services.msc i parę innych związanych ze zdalną kontrolą windows
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
To są standardowe sterowniki Win8>. Na dodatek nie widzę żeby coś z nimi było nie tak.
http://w8f.pl/microsoft-device-associati...any-1506-t
https://msdn.microsoft.com/windows/hardw...s-on-a-bus
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Fixlog

Adwcleaner czyszczenie

FRST

Addition.txt

Shortcut.txt

Ad. daemon -- SPTD2inst-v212-x64 nie wykryło sterownika i uninstall było nie do kliknięcia
Ad. avast -- usunięty w trybie awaryjnym, zalecali

CMD.exe  netstat-aon

W cmd mam zamiast 20 established ciągle zmieniających port tylko 2, co mnie wciąż niepokoi, ale dzięki za tą robotę Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ehhh - za szybko chciałem... Oczko .
Uruchom jako administrator Wiersz poleceń > wpisz: netsh advfirewall reset [Enter]. Restart kompa.
To zresetuje ustawienia wbudowanego firewalla - dodasz sobie później zaufane (!) aplikacje.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ok, zresetowane. Ale zapytało o zezwolenie na dostęp google chrome, nie zezwoliłem, a teraz piszę tego posta. Mam paranoje trochę, a za mało się znam na tym. Paranoję dlatego, że nie dawno otrzymałem od kolegi raspberry pi z zainstalowanym linuxem i dostępem do sieci 24/7 i mam obawy i powody ku temu by twierdzić, że coś tam na nim siedzi.

Jeszcze jedno pytanko, czy keyloggera wykryłbyś gdyby tam siedział w tych logach? A jak nie mamy pewności to jak usprawnie antywirusy i firewalla jakiegoś dodatkowego i działającego to poszukam właśnie keyloggera jeszcze.

A co z tym, że nie można windows defendera puścić w trybie offline (nadal)?

Z dobrych wieści, GREM nie pop-upuje po włączeniu, że wykrył rootkita ale dalej wyświetla jakiegoś exeka na liście, a podczas skanowania trochę tam tego dochodzi jeszcze.

Dziękuję jeszcze raz
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Chyba GMER Oczko . Uruchom https://www.virustotal.com/ > wskaż tego .exe > przeskanuj > daj link do wyników.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Zablokowany dostęp do rejestru Siabal 21 5955 23.06.2015, 17:15
Ostatni post: Siabal
  Jak zablokować możliwości innym użytkownikom mojego komputera Kraszes 3 603 25.03.2015, 14:43
Ostatni post: szymon1051
  Virustotal pelno virusow, Kasperky nie wykrywa nic. Xkryo 1 2531 22.03.2015, 12:24
Ostatni post: Muerte

Skocz do:


Wybrane wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Zweryfikowanie, czy system nie ma niechcianego oprogramowania - jak? geekboy68k 4 2667 27.05.2016 19:26
Ostatni post: geekboy68k
  Jeden z procesów powoduje obciążenie GPU. Pan.Jan 6 2785 27.05.2016 00:53
Ostatni post: Pan.Jan
  Tencent jeszcze raz - nie wszystkie pliki usuniete easyram 6 1154 26.05.2016 01:33
Ostatni post: easyram
  Wysyłanie spammu na poczcie Lisq 11 5401 24.05.2016 17:25
Ostatni post: Lisq
Scared wyskakująca reklama na pulpicie hothart 1 2703 23.05.2016 22:12
Ostatni post: morderca
Question Użycie CPU za wysokie vasor3 1 3705 21.05.2016 15:03
Ostatni post: MisterJurek
  Złośliwe oprogramowanie, które udaje przeglądarkę chrome. paulakqwerty 1 633 20.05.2016 19:55
Ostatni post: morderca
  Wirus svchost.exe w laptopie-duży problem Xaime 3 2784 20.05.2016 02:05
Ostatni post: Xaime
  Zamulony laptop + niewyświetlanie zdjęć kozunia 2 2606 17.05.2016 16:58
Ostatni post: kozunia
Ściana wirus JapaKonie 7 2861 16.05.2016 23:49
Ostatni post: kamel16
  Problem z pojawiającym sie skrótem na pendrive bigmastah 2 2558 16.05.2016 17:39
Ostatni post: bigmastah
  GreatDeals problem z usunięciem, ciagłe wyskakujące reklamy. pablojarocin 6 795 15.05.2016 20:49
Ostatni post: pablojarocin
  Błąd przy uruchamianiu każdej aplikacji Bonri 2 817 15.05.2016 20:42
Ostatni post: Bonri
  Wirus - URL:Mal czupryn888 9 3783 13.05.2016 18:44
Ostatni post: morderca
  Wyłączający się komputer i proces serwera DCOM mario84 1 2796 13.05.2016 12:08
Ostatni post: morderca