Świąteczny konkurs PC Format zakończony. Zwycięzcy zostali wyłonieni. Zainteresowanych zapraszamy do NEWSA.


Użytkownicy przeglądający ten wątek: 1 gości

dostęp zdalny do mojego komputera, 3 dni walki i nic

#1
dostęp zdalny do mojego komputera, 3 dni walki i nic
Witam. Od 3 dni walczę z rootkitem, o ile tak nazywa się w ogóle ten typ wirusa. Próbowałem już praktycznie wszystkiego. Najlepsze jest to, że ów wirus uniemożliwił mi sformatowanie i zainstalowanie nowego Windowsa, grzebiąc w sterownikach do dvd. Tworzy jakieś "urządzenia programowe" z root w nazwie w menadżerze urządzeń, żaden antywirus go nie wykrywa, firewall zainstalowałem za późno i teraz już nie pomaga, bo wirus wgryza się w jego pliki, tak samo z antywirusami. Malwarebytes, Spybot Search And Destroy, Hotfix, Hijackthis, RKill. To wszystko na nic, to jest najlepszy wirus z jakim miałem do czyniena, jestem już bezsilny, ilekroć pozabijam usługi zdalnego dostępu to one wracają. Próbowałem odpalić Windows Defender w trybie offline, ale po kliknięciu uruchamia się usługa autoryzacji w mendżerze zadań i po pół sekundy znika, po czym już nic się nie dzieje.

Właśnie zrobiłem skan GMERem znalazło pełno brudu, zabiłem jakąś ukrytą usługę i jak odpalam wiersz poleceń jest dużo mniej połączeń ESTABLISHED. A co do nich, to cały czas tworzą się nowe na portach od 49000 do 66535.

Ogólnie fajny wirus, jak ktoś lubi tego typu rzeczy ale czasami chciałbym mieć dostęp do konta bankowego w 4 oczy Język

Proszę o pomoc. Jak poradzić sobie z takim czymś?
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Przedstaw komplet logów: http://forum.pcformat.pl/Problem-z-rekla...owe-logi-t + raport TDSSKiller .
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Dziękuję bardzo.
RSIT
OTL 1
OTL 2
FRST 1:FRST.txt
FRST 2:addition.txt
FRST 3:shortcut.txt
TDSSkiller raport
MBR Check
GMER ***



Sillent Runners nie jest kompatybilny z Windowsem 10, więc nie robię. Rano miałem jeszcze Windows 7, myślałem że jak przeinstaluje to wbudowany AV sobie poradzi. Już tego nie ruszam. Acha no i usunąłem antywirusa i firewalla, nie chodzę na razie po stronkach, a tamte antywirusy i tak sobie nie poradziły. Został Windows Defender.

*** GMER - wcześniej znalazł dużo więcej "syfu" ale jak zorientowałem się, że można zabijać tam procesy, to zabiłem jakiś ***hidden*** zaznaczony na czerwono. Jakby co to mogę zresetować kompa i puścić jeszcze raz tego GMERa.

Dziękuję pozdrawiam, sprawa się nie pali Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Rootkita nie widzę. Błędów w systemie również - te które są to IMO skutek użycia trybu awaryjnego:
Cytat:Error: (02/17/2017 08:28:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Czy ten "hiiden" w GMER to było to:
Cytat:Service  d:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe (*** hidden *** )      
? Jeśli tak - to dlatego że oprogramowanie emulujące napędy używa nie do końca udokumentowanych metod (mówiąc wprost: hackerskich) - dlatego należy je odinstalować przed wykonaniem skanu (do poczytania: https://forum.pcformat.pl/WAZNE-Jak-zalo...ec-WAZNE-t ).

Jeżeli miałeś kiedyś zainstalowany (nie taki "Online") Avast - odinstaluj za pomocą narzędzia: https://www.avast.com/pl-pl/uninstall-utility (folder jest domyślny: C:\Program Files\AVAST Software).

Do Notatnika wklej (bez frazy "Kod:"):
Kod:
Task: {FA5372F8-D6F9-49AC-B250-54BB63077389} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA
HKU\S-1-5-21-2665897440-3562454997-2397254755-1000\...\ChromeHTML: ->  <==== UWAGA
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Readium.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=fepbnnnkkadjhjahcafoaglimekefifl
AlternateDataStreams: C:\Users\Tomek\Downloads\AdwCleaner.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\antimalwaresetup.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ComboFix.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\DriverToolkitInstaller.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\HijackThis.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\install_flash_player_ppapi.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\OTL.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\ozfkcw0n.exe:BDU [0]
AlternateDataStreams: C:\Users\Tomek\Downloads\rkill.exe:BDU [0]
cmd: netsh advfirewall firewall
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku
U4 idsvc; Brak ImagePath
U4 wpcsvc; Brak ImagePath
EmptyTemp:
Reboot:
Skrypt unikatowy - proszę nie stosować do "takich samych" przypadków.

Plik > Zapisz jako: fixlist.txt w katalogu w którym jest FRST.exe. Uruchom FRST: Napraw > w tym samym katalogu powstanie log wynikowy: fixlog.txt. Potwierdź restart kompa.
Uwaga: narzędzie usunie wszystkie pliki tymczasowe.

Zamknij wszystkie przeglądarki, uruchom AdwCleaner > Skanuj > Oczyść > restart.
Pokaż log AdwCleaner + fixlog.txt + nowe logi FRST.

Napisz jak zachowuje się system.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Zaraz wszystko porobię tylko to chciałem jeszcze pokazać. Ilekroć odinstaluje sterownik to za 30 sekund pojawia się na nowo. Były 3 teraz są 2.

Menedżer zadań

edit. 1. Co do daemona, właśnie w międzyczasie gdy robiłem logi, przeczytałem, że trzeba się go pozbyć, więc odinstalowałem ale nie do końca tylko przez panel sterowania. Za moment usunę całkowicie.
2. Co do usługi Serwer to wyłączyłem sam w services.msc i parę innych związanych ze zdalną kontrolą windows
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
To są standardowe sterowniki Win8>. Na dodatek nie widzę żeby coś z nimi było nie tak.
http://w8f.pl/microsoft-device-associati...any-1506-t
https://msdn.microsoft.com/windows/hardw...s-on-a-bus
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Fixlog

Adwcleaner czyszczenie

FRST

Addition.txt

Shortcut.txt

Ad. daemon -- SPTD2inst-v212-x64 nie wykryło sterownika i uninstall było nie do kliknięcia
Ad. avast -- usunięty w trybie awaryjnym, zalecali

CMD.exe  netstat-aon

W cmd mam zamiast 20 established ciągle zmieniających port tylko 2, co mnie wciąż niepokoi, ale dzięki za tą robotę Wesoły
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ehhh - za szybko chciałem... Oczko .
Uruchom jako administrator Wiersz poleceń > wpisz: netsh advfirewall reset [Enter]. Restart kompa.
To zresetuje ustawienia wbudowanego firewalla - dodasz sobie później zaufane (!) aplikacje.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Ok, zresetowane. Ale zapytało o zezwolenie na dostęp google chrome, nie zezwoliłem, a teraz piszę tego posta. Mam paranoje trochę, a za mało się znam na tym. Paranoję dlatego, że nie dawno otrzymałem od kolegi raspberry pi z zainstalowanym linuxem i dostępem do sieci 24/7 i mam obawy i powody ku temu by twierdzić, że coś tam na nim siedzi.

Jeszcze jedno pytanko, czy keyloggera wykryłbyś gdyby tam siedział w tych logach? A jak nie mamy pewności to jak usprawnie antywirusy i firewalla jakiegoś dodatkowego i działającego to poszukam właśnie keyloggera jeszcze.

A co z tym, że nie można windows defendera puścić w trybie offline (nadal)?

Z dobrych wieści, GREM nie pop-upuje po włączeniu, że wykrył rootkita ale dalej wyświetla jakiegoś exeka na liście, a podczas skanowania trochę tam tego dochodzi jeszcze.

Dziękuję jeszcze raz
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: dostęp zdalny do mojego komputera, 3 dni walki i nic
Chyba GMER Oczko . Uruchom https://www.virustotal.com/ > wskaż tego .exe > przeskanuj > daj link do wyników.
Nie pomagam na PW (ew. odpłatnie).  
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
INFO: Jak podawać logi, Forum PC Format > Ważne ogłoszenia > Wprowadzenie - jak odpowiednio opisać problem.
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.


 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Zablokowany dostęp do rejestru Siabal 21 5488 23.06.2015, 17:15
Ostatni post: Siabal
  Jak zablokować możliwości innym użytkownikom mojego komputera Kraszes 3 529 25.03.2015, 14:43
Ostatni post: szymon1051
  Virustotal pelno virusow, Kasperky nie wykrywa nic. Xkryo 1 2183 22.03.2015, 12:24
Ostatni post: Muerte

Skocz do:


Wybrane wątki (dostęp zdalny do mojego komputera, 3 dni walki i nic)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Problem z wirusem, wyskakujące reklamy, znikniecie ikon maurins 3 3457 04.10.2015 13:33
Ostatni post: morderca
  Problem z uciążliwymi reklamami Tobik22 4 621 04.10.2015 10:57
Ostatni post: Michu_PL
  Skróty na pendrive [wydzielone] mateusz456 6 2101 03.10.2015 22:27
Ostatni post: mateusz456
  Dlaczego instalują mi się same programy? SebastianF 10 7128 03.10.2015 16:08
Ostatni post: kamel16
  Wykryto trojana i inne złośliwe oprogramowanie drplum 3 2217 02.10.2015 19:58
Ostatni post: morderca
  Skróty na pendrive hugo306 9 2404 02.10.2015 06:58
Ostatni post: morderca
  Samootwierające się strony/reklamy - hijack browser? Larvock 4 2608 01.10.2015 23:13
Ostatni post: Larvock
  Mystart search rumcais 2 2201 01.10.2015 17:54
Ostatni post: rumcais
  Złośliwe oprogramowanie otwierające stronę z reklamami w dom. przeglądarce mateeusz31 5 2266 30.09.2015 22:13
Ostatni post: morderca
  Śmieci w plikach windowsa? damian92150 1 2063 29.09.2015 17:50
Ostatni post: morderca
  Niechciana reklama na stronach WWW luiz 25 6787 26.09.2015 11:40
Ostatni post: broda99
  Uruchamianie się Firefoxa z niechcianą stroną przy starcie systemu karon43 7 2446 23.09.2015 21:05
Ostatni post: broda99
  Niechciane reklamy na całym oknie przeglądarki krone 7 2331 23.09.2015 20:52
Ostatni post: broda99
  Niespodziewana zmiana wyglądu Pulpitu, drastyczne spowolnienie pracy. martin84 5 2279 22.09.2015 21:49
Ostatni post: broda99
  Otwierające się karty w przeglądarkach badyllos 1 2307 22.09.2015 04:14
Ostatni post: broda99