Skocz do zawartości
Witaj na Pochylnia.pl - Twoje centrum gier multiplayer
Zeratul

Uciążliwy wirus i narastający wkurw

Recommended Posts

@Ab3L Temat w sam raz dla Ciebie!

 

Przejdę od razu do rzeczy, od samego początku, jak złapałem wirusa. 

 

Zatem, wszystko zaczęło się w momencie, gdy kochany Windows 8.1 zaczął mi marudzić, że niedługo wygaśnie mi licencja. Szukając klucza, co zarazem było bezskuteczne, zacząłem szukać aktywatora do Windowsa. Natrafiłem na KMSpico, z którego korzystałem przy instalacji systemu (tak, przyznaję, mam nieoryginalną Windę), o którym w tzw. międzyczasie zapomniałem po tym fakcie. Otóż przeglądając różne strony w poszukiwaniu tegoż programu i właśnie wtedy złapałem nieznanego wirusa, nie wspominając o innych cholerstwach (z tymi akurat bez problemu sobie poradziłem, malwarebytes na straży, plus dokoptowałem mu do pary HitmanPro). Na moje nieszczęście skurwysyn zagnieździł się w pliku systemowym msiexec.exe (sprawdzałem, w menedżerze zadań, proces instalatora Windows odnosi się do pliku zawartego w System32 i nie ma żadnych poukrywanych kopii tego execa) i co jakiś czas Avast blokuje połączenia wywoływane przez niego, poprzedzone uruchomieniem wiersza poleceń (screeny w paczce -> https://www31.zippyshare.com/v/USNHshxu/file.html)

Czy jest jakikolwiek sposób by pozbyć się tego gunwa raz na zawsze? Przywracanie systemu jest niemożliwe (blokuje go antyvir, chuj raczy wiedzieć czemu ¯\_(ツ)_/¯), a chcę mieć z tym spokój raz na zawsze. Chciałbym też, aby tutaj obyło się bez kompletnego formata (choć zdaję sobie sprawę, że przy plikach systemowych może nie być innej opcji).

 

Ok, here's tricky part: system to Windows 8.1 z usługą Bing (64-bity)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jest znacznie gorzej niż myślisz, w paczce ze screenami jest wirus który się rozprzestrzenia i podmienia rożnego rodzaju pliki :P  A co do takich rzeczy w plikach systemowych to niestety nic już na to nie poradzisz. Jedyną opcją jest opcja przywracania systemu do stanu początkowego, konkretnego dnia lub po prostu ten nie chciany format. Nawet jeśli znajdziesz na necie taki plik do pobrania to musisz się liczyć z tym że tego typu rzeczy są powiązane z pewnymi systemowymi rejestrami przez co dodanie tego pliku może wywołać różne błędy i crashe systemu... tak czy siak skoro już nawet do tej zgranej paczki coś się władowało to na twoim miejscu nawet nie myślałbym o robieniu jakiegokolwiek przywracania tylko całkowity format bo bez tego nie będziesz miał 100% pewności. Tego typu "wirusy" ludzie piszą ręcznie pod konkretne grono odbiorców, często są w postaci zwykłych skryptów przez co nawet większość płatnych programów nie wykryje takiego zagrożenia. Dopiero z czasem takie ustrojstwa zaczynają pobierać bez twojej wiedzy całą masę innych programów do replikowania się, szpiegowania itp

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Sam system zostanie naprawiony ale nadal będzie istniało duże ryzyko że to ustrojstwo zrobiło sobie jakiś backup z całkiem innej lokacji. Spróbować nie zaszkodzi ale trzeba być czujnym. Ogólnie mówiąc najgorzej jest z tym że Twoje zabezpieczenia wykrywają tzw objawy tego czegoś a nie same źródło :/ tego typu rzeczy niestety są najgorsze do wykrycia ale za to bardzo proste do wykasowania bo czasami nawet wystarczy zwykłe "usuń". A co do tej całej naprawy to czasami nie potrzeba nawet płyty, możesz spróbować przez wiersz poleceń, tutaj masz mały poradnik jak to zrobić: https://support.microsoft.com/pl-pl/help/929833/use-the-system-file-checker-tool-to-repair-missing-or-corrupted-system

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Przetestuje to wszystko jak wrócę popołudniu do domu. Ogółem też przesiadłem się z Avasta na Comodo. Procedura wyglądała tak ściągnięcie Comodo i instalacja -> skan za pomocą Comodo i jednoczesna deinstalacja Avast.

 

Skan zakończył mi się gdzieś w środku nocy, ale program wykrył zagrożenie, na które uwagi nie zwracał ani Avast, ani Malwarebytes Antimalware. Wyłączyłem kompa i poszedlem spać dalej. Jestem ciekaw efektu końcowego skanowania, przekonam się jak wrócę do domu.

 

 

Edit: na to wygląda, że skanowanie pod normalnym systemem nic nie zmieniło, ale w trybie awaryjnym widzę więcej problemów z zawirusowaniem.

 

https://www64.zippyshare.com/v/NnVVSWB9/file.html

To zdjęcie z kolei mogłoby wyjaśniać dlaczego dostałeś zainfekowane archiwum. Piszę z telefonu, więc bez obaw o wejście w link.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

42858119_2075862822465703_90839738180865

 

@Ab3L pacz co znalazłem. Dziwnym trafem nie trafił na to ani Avast ani Comodo. Skanowanie odbywało się w trybie awaryjnym więc, mam nadzieję, że w końcu ogarnę cały ten syf i będzie można zamknąć temat.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Nie wspominając wcześniejszych rzeczy i tego co się władowało do paczki to jeszcze bitcoinminer :/ wiesz co to znaczy? Ktoś ma wszystkie niezbędne dane (hosty, ip, porty, hasła, zarówno twoje jak i operatora) które są potrzebne aby za pomocą Twojego pc i tego ustrojstwa kopać kryptowaluty gdy tylko odpalasz PC. Jest dokładnie tak jak podejrzewałem.. to że avast nic nie wykrył to akurat mnie nie dziwi ale comodo z tego typu zagrożeniem powinien sobie poradzić. Reasumując fakty nasuwają się proste wnioski - nadal masz gdzieś na dysku zwykły skrypt którego praktycznie nie da się wykryć i który przy każdym połączeniu z netem prawdopodobnie będzie pobierał coraz to nowsze trojany wirusy itp. Na Twoim miejscu nawet nie kombinowałbym z jakimkolwiek czyszczeniem tylko zrobił całkowity format (bez kopiowania jakichkolwiek plików), a następnie wykonał telefon do operatora z prośbą o zmianę IP (chyba że masz zmienne) po czym zmieniałbym dosłownie wszystkie hasła jakimi logujesz się np tutaj, na pocztę, steam itp. bo bez wcześniej złapanego keyloggera nie ma szans aby bitconminer działał poprawnie.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Trafiłem na kolejny malware, tym razem za pomocą programu SpyHunter 5. Jest to Trojan.Occamy, więc przypuszczam, że jest on odpowiedzialny za wprowadzenie bitcoinminera do mojego systemu. 

 

Póki co, program jest w trakcie skanowania na trybie awaryjnym systemu. Jak skończy i przerzucę zagrożenia do kwarantanny to dam znać o efektach w edycji postu.

 

 

Edit: Program łącznie wykrył mi 27 zagrożeń. 25 z nich usunąłem z palca. Problem jest z Occamy, ponieważ program wskazuje mi na klucze rejestru, które nie istnieją. Załączam zdjęcie: https://www35.zippyshare.com/v/8MDke0FA/file.html

 

@Ab3L może coś doradzisz poza formatem póki co?

 

Edit2: znalazłem foldery, które sprawiały problem. Okazuje się, że zadziałały na system tak, że odcięły mi w ogóle do nich dostęp zabierając mi wszystkie uprawnienia do nich. Na szczęście umiem korzystać z Google, nadałem sobie odpowiednie uprawnienia i usunąłem je z dysku. Teraz MBAM wykrywa mi tylko SpyHuntera jak pup, ale to najmniejszy z moich problemów.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Na obecną chwilę po odkryciu tego wszystkiego to jakiekolwiek czyszczenie i tak nic nie da. Potrzebujesz po prostu nowego identyfikatora w systemie bo ktoś ma wszystkie niezbędne dane którymi może dowolnie mieszać Ci w PC, ukrywać foldery, modyfikować i nie wiadomo co jeszcze nie wspominając już o tych kryptowalutach które zdobywa Twoim kosztem. Mało tego, musisz jeszcze dzwonić do dostawcy internetu, przedstawić mu sytuację i poprosić o nowe IP bo problem będzie się powtarzał dopóki całkowicie nie odetniesz się od danych którymi ktoś się loguje w twoim systemie. Teoretycznie najlepszym rozwiązaniem będzie tylko i wyłącznie najpierw zmiana IP (w miarę możliwości również portów), a potem instalka świeżego systemu w trybie offline. Po prostu istnieją rzeczy których lepiej nie łapać bo potem już nie ma odwrotu. Równie dobrze nawet po wykasowaniu wszystkiego ktoś na nowo może Ci się włamać do PC i ukryć skrypty które na nowo zaczną pobierać trojany które następnie poinstalują jeszcze inne zagrożenia chyba że właśnie zrobisz tak jak wspomniałem wyżej. 

 

ps: occamy to już jedna z najgorszych rzeczy jakie można złapać, psuje systemową zaporę, instaluje masę wtyczek, tworzy różnego rodzaju backdoory rootkity itp i stale łączy się z serwerami hakerów którzy dowoli mogą wykradać dane z pc i wszystko modyfikować 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Spoko, jutro przedzwonie do ISP i przedstawię temat. Mam nadzieję, że wyrobie się podczas przerwy w pracy :D

 

Tak swoją drogą, po usunięciu folderów do których nie miałem żadnego dostępu, MBAM przestał wykrywać bitcoinminera, więc chyba chwilowo mam spokój xD

 

Jednakże operacjami "naprawczymi" wykastrowałem sobie trochę windowsa. Wiele rzeczy jest w trybie uber domyślnym, nie działa wyszukiwarka Windows, menu start mam kompletnie puste, a czcionki w przeglądarce wyglądają jak gówno xd.

 

Zakupię jutro jakieś dvd, wypalę windę którą ściągam ze strony M$ (na inną partycję niż systemowa) i pierdolne formata, innej opcji nie widzę. Gorzej będzie z aktywacją, bo będę musiał dorwać kmsPico z zaufanego źródła.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

×