Πρόβλημα με/λόγω του Kaspersky ?

[stalker9]

Καλημέρα σε όλους

Έχω ένα desktop με επεξεργαστή AMD Athlon 64x2 Dual Core 5200+ 2.71 Ghz με 4 GB RAM το οποίο τρέχει Vista και έχει συνδεδεμένους 1 εσωτερικο 500αρι και 3 εξωτερικούς.

Χθές χρησιμοποιήσα ένα (μάλλον μολυσμένο,όπως αποδείχτηκε αργότερα) USB stick το οποίο τσέκαρα με το Kaspersky Internet Security 2010.Το KIS 2010 δεν μου εμφάνισε εκείνη την ώρα ιούς ή τίποτα άλλο περίεργο,όλα ήταν ΟΚ.Όταν πήγα να ανοίξω έναν φάκελλο στο στικάκι προσπάθησε να τον ανοίξει,νομίζω, με το cmd.exe χωρίς φυσικά να μου δείχνει τα περιεχόμενα του φακέλου.

Μετά από 1-2 λεπτά χτύπησε το KIS οτι βρήκε trojan.WinLNK.Runner.cd και ότι το διέγραψε επιτυχώς.Κάνω επανεκκίνηση και δεν μπορώ να δω τα περιεχόμενα στους φακέλους που υπάρχουν στους εξωτερικούς δίσκους αλλά ούτε και σε ένα φάκελλο με ταινίες στον εσωτερικό δίσκο.Οι δίσκοι φαίνονται όμως να έχουν αρχεία μέσα μιας και ένα μέρος τους φαίνεται κατειλλημένο.

Ψάχνοντας στο log του Kaspersky είδα ότι λόγω του trojan είχε διαγράψει τα links που παρέπεμπαν στους φακέλλους των δίσκων.Προσπαθώντας να κάνω restore τα διαγραμμένα links από το Kaspersky αυτό τα διαγράφει ξανά.Η σάρωση όλου του υπολογιστή με το KIS 2010 δεν έδειξε άλλα προβλήματα με ιούς και trojans.

 

Συγγνώμη για την πολυλογία αλλά προσπάθησα να είμαι όσο πιο αναλυτικός γίνεται μήπως και βρώ πιο εύκολα βοήθεια.

Ευχαριστώ

 

PS.Δεν είμαι σιγουρος αν πόσταρα στη σωστή υποκατηγορία του forum.Αν οι διαχειριστές κρίνουν αλλιώς ας το μεταφέρουν στη σωστή

[flik]

Καλημέρα.

Κρατάς το Kaspersky ως έχει, αλλά ελπίζοντας ότι μπορείς να τρέξεις εφαρμογές κατέβασε αυτό:

http://download.bleepingcomputer.com/grinler/unhide.exe

και λογικά θα κάνει δουλειά.

Στη συνέχεια κατέβασε το malwarebytes free, απόρριψε την pro έκδοση και κάνε ένα σκανάρισμα για να βρει πράγματα που δεν βρίσκει το Kaspersky.

Σε ασφαλή λειτουργία αυτό.

Για συμπλήρωση μπορείς να κανεις έναν έλεγχο με το eset online scanner. Google it.

 

Edit: Ακόμα καλύτερα, μετά το unhide και πριν απο Malwarebytes να τρέξεις το RogueKiller.

Φοβερό πρόγραμμα.

Με unhide και αυτό, και μετά malwarebytes απο πάνω, όλα θα επανέλθουν.

 

Προσοχή όμως, πριν το unhide μη τρέξεις τίποτα άλλο και σβήσουν τα temp αρχεία σου. Μετά η επαναφορά δεν πετυχαίνει πλήρως. Στα αρχεία ναι, αλλά μπορεί να σου έκρυψε και άλλα πράγματα όπως τα στοιχεία στο start menu.

[stalker9]

Καλησπέρα

Ευχαριστώ για την άμεση απάντηση.

Οι φάκελοι στο στικάκι εμφανίζονται σαν συντομεύσεις.Και κάτι άλλο που ξέχασα να αναφέρω πριν και που θεωρώ καλό σημάδι,οταν πάω στους σκληρούς δίσκους να δημιουργήσω ένα νέο φάκελο δίνοντας ένα όνομα που υπήρχε πριν στο δίσκο μου λέει ότι ο φάκελος αυτός υπάρχει ήδη.

Θα ακολουθήσω τις συμβουλές σου και θα ενημερώσω για τα αποτελέσματα.

Και πάλι ευχαριστώ πολύ.

[stalker9]

Καλησπέρα και πάλι

Φίλε flik ακολούθησα κατά γράμμα τις συμβουλές αλλά το μόνο που κατάφερα να μου εμφανίσει είναι σε όλους τους δίσκους ένα φάκελο μεγέθους 244 ΚΒ με το όνομα RECYCLER.

Αυτός μέσα έχει δύο αρχεία,ένα με όνομα desktop και μέγεθος 63 bytes και ένα άλλο με όνομα e621ca05 και μέγεθος 244 KB.To δεύτερο αρχείο (σύμφωνα με τις ιδιότητες του )είναι εφαρμογή με κατάληξη exe και σαν περιγραφή μου δίνει την εξής: futile messi badera ulula.

Πρέπει εδώ ν΄αναφέρω ότι χθές πριν γράψω στο forum μες στον πανικό μου σκέφτηκα σαν μόνη λύση την επαναφορά συστήματος, πράγμα που έκανα κιόλας ίσως γι' αυτό το unhide δεν είχε αποτέλεσμα.

 

Το eset online scanner δεν βρήκε τίποτα όπως επίσης και το malwarebytes free.

Τώρα σκανάρω πάλι με το malwarebytes free και μου βγάζει συνέχεια ένα μηνυμα ότι "Μπλοκαρίστηκε επιτυχως η πρόσβαση σε ένα ενδεχομένως κακόβουλο ιστοτόπο: 80.82.66.266.Τύπος εξερχόμενα.Διεργασία explorer.exe"

Το Kaspersky πάλι δεν βρήκε τίποτα.

Οι δίσκοι φαίνονται ακόμη ότι έχουν αρχεία.

Ψάχνοντας στο google για το συγκεκριμένο trojan δεν μπόρεσα να βρώ τίποτα πέραν του ότι ανιχτέυθηκε στις 21 Μαρτίου.

 

Ευχαριστώ και πάλι και οποιαδήποτε βοήθεια ευπρόσδεκτη

[flik]

Δεν ήταν καλό που έκανες system restore. Πλέον κανένας σχεδόν ιός δεν αντιμετωπίζεται έτσι.

Απενεργοποίησε την επαναφορά συστήματος και για σιγουριά μπες σε safe mode με δίκτυο.

ξανακάνε τη διαδικασία, αλλά πριν, κατέβασε και τρέξε και το RKill

Θα τερματίσει την όποια διεργασία μπορεί να εμπιδίζει τον καθαρισμό.

Στη συνέχεια ενημέρωσε το Malwarebytes και κάνε full scan, καθάρισε ότι βρει.

Κάνε το ίδιο με το RogueKiller.

Μετά τρέξε και το Unhide.exe.

ΟΛΑ τα εργαλεία να τα τρέχεις ως admin απο ασφαλή λειτουργία.

Τώρα πως είναι;

 

Αν δεν καθαρίσει και τώρα προχωράμε σε πιο δραστικές λύσεις.

 

Θέλω όμως να μου απαντήσεις και το εξής.

Άλλα συμπτώματα έχεις; Κυρίως για redirect όταν κάνεις google search ή άλλες αναζητήσεις, έχεις τέτοια προβλήματα;

[stalker9]

Καλημέρα

Φίλε flik, ακολούθησα τις οδηγίες σου τρέχοντας τα προγράμματα που πρότεινες σε ασφαλή λειτουργία ως admin.

Οι φάκελοι με τα αρχεία που είχα στους δίσκους εμφανίστηκαν. Όλα φαίνονται οκ.

Εξακολουθεί όμως να εμφανίζει σε όλους τους δίσκους ένα φάκελο μεγέθους 244 ΚΒ με το όνομα RECYCLER.

Αυτός μέσα έχει δύο αρχεία,ένα με όνομα desktop και μέγεθος 63 bytes και ένα άλλο με όνομα e621ca05 και μέγεθος 244 KB.To δεύτερο αρχείο (σύμφωνα με τις ιδιότητες του )είναι εφαρμογή με κατάληξη exe και σαν περιγραφή μου δίνει την εξής: futile messi badera ulula.

Πρέπει να υπάρχει αυτός ή πρέπει να τον διαγράψω ;

Για να απαντήσω και στην ερώτηση σου δεν είχα προβλήματα με redirect ούτε άλλα τέτοιου είδους προβλήματα.

 

Ευχαριστώ πολύ για την πολύτιμη βοήθεια σου.

Απενεργοποίησε την επαναφορά συστήματος και για σιγουριά μπες σε safe mode με δίκτυο.

ξανακάνε τη διαδικασία, αλλά πριν, κατέβασε και τρέξε και το RKill

Θα τερματίσει την όποια διεργασία μπορεί να εμπιδίζει τον καθαρισμό.

Στη συνέχεια ενημέρωσε το Malwarebytes και κάνε full scan, καθάρισε ότι βρει.

Κάνε το ίδιο με το RogueKiller.

Μετά τρέξε και το Unhide.exe.

ΟΛΑ τα εργαλεία να τα τρέχεις ως admin απο ασφαλή λειτουργία.

Τώρα πως είναι;

 

Αν δεν καθαρίσει και τώρα προχωράμε σε πιο δραστικές λύσεις.

 

Θέλω όμως να μου απαντήσεις και το εξής.

Άλλα συμπτώματα έχεις; Κυρίως για redirect όταν κάνεις google search ή άλλες αναζητήσεις, έχεις τέτοια προβλήματα;

[flik]

Ωραία χαίρομαι που έγινε, καθώς αν δε γινόταν θα είχαμε προβλήματα.

Ο φάκελος πρέπει να υπάρχει, υπήρχε και πριν δηλαδή απλά δεν τον έβλεπες. Είναι για τον κάδο ανακύκλωσης. Απλά υπάρχει σε κάθε drive ξεχωριστά απο τους άλλους, μιας και αν σβήσεις κάτι στον έναν πηγαίνει στον δικό του κάδο ανακύκλωσης.

Άδειασε τον φάκελο ανακύκλωσης απο τον C:\ όπου έχεις τα windows, και λογικά θα αδειάσει και αυτός.

Μπορείς να σβήσεις το περιεχόμενο του recycler σε όλα τα drives, αλλά ο ίδιος φάκελος χρειάζεται. Αν θες τον ξανα κάνεις κρυφό με δεξί κλικ->ιδιότητες.

Έχεις XP σωστά;

[stalker9]

Καλησπέρα και πάλι

Φίλε flik, Οι φάκελοιεμφανίστηκαν κι όλα φαίνονται οκ.

 

Πες από ανασφάλεια,πες από ενδόμυχο φόβο είπα να ξανακάνω την διαδικασία όπως την υπέδειξες και μάντεψε..

 

Το Rkill όταν το ξαναέτρεξα σε safe mode μου έβγαλε το μηνυμα ότι σταμάτησε τη διαδικασία C:\Windows\System32\conime.exe.Ψάχνοντας στο google είδα ότι αυτό μπορεί και να κρύβει ιό.

Στη συνέχεια-πάλι σε safe mode- έτρεξα το Malwarebytes το οποίο βρήκε το Trojan.Agent.Gen στην τοποθεσία HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\GprConv και για ολοκληρωθεί η αφαίρεση του με προέτρεπε να κάνω επανεκκίνηση,πράγμα που έκανα πάλι σε safe mode, ξαναρχίζοντας τη διαδικασία κι έχοντας πάλι το ίδιο αποτέλεσμα (εύρεση πάλι των ίδιων ευρημάτων).

 

Δυστυχώς δεν με βλέπω να γλυτώνω το format,εκτός κι αν έχεις καμμιά καλή ιδέα..

 

Να σου θυμίσω ότι έχω τα Vista.

 

Επίσης εξακολουθεί να εμφανίζει σε όλους τους δίσκους ένα φάκελο μεγέθους 244 ΚΒ με το όνομα RECYCLER.

Αυτός μέσα έχει δύο αρχεία,ένα με όνομα desktop και μέγεθος 63 bytes και ένα άλλο με όνομα e621ca05 και μέγεθος 244 KB.To δεύτερο αρχείο (σύμφωνα με τις ιδιότητες του )είναι εφαρμογή με κατάληξη exe και σαν περιγραφή μου δίνει την εξής: futile messi badera ulula.

Αυτός ο φάκελος δεν πρέπει να είναι ο κάδος ανακύκλωσης γιατί σε όλους τους δίσκους έχει κι εναν ακόμη φάκελο με όνομα $Recycle.Bin,έχω την εντύπωση ότι αυτός είναι ο κάδος ανακύκλωσης.

 

Sorry αν σε κούρασα.

Ευχαριστώ και πάλι και οποιαδήποτε βοήθεια ευπρόσδεκτη.

[flik]

Μάλιστα, πολύ καλά έκανες και εξακρίβωσες τι παίζει με το recycler, γιατί κι εγώ δεν ήμουν πολύ σίγουρος, και νομίζω μόνο στα xp είναι recycler ενώ στα επόμενα windows είναι recycle.bin απο ότι βλέπω και στα δικά μου win8.

Τώρα, θα προσπαθήσουμε με 2 εργαλεία να καθαρίσουμε ότι βρουν και μετά με ένα άλλο εργαλείο θα δούμε τι έχει μείνει να το βγάλουμε χειροκίνητα. Τα 2 εργαλεία, είναι το Norton Power Eraser που το κατεβάζεις και το τρέχεις, και αφού τελειώσει κοιτάς μήπως έχει βρει κανένα αρχείο που είσαι σίγουρος οτι είναι καθαρό μη το σβήσει.

Το δεύτερο είναι το BitDefender online scanner. Κάνει ένα καλό γρήγορο σκανάρισμα.

 

Αφού τλειώσεις με αυτά τα 2, αν έχουν βρει και τίποτα, κατέβασε το OTL, το ξεκινάς και πατάς "Quick Scan".

Όταν τελειώσει μου ανεβάζεις εδώ το αρχείο txt που είναι το Log και το extras.txt.

 

Στο μεταξύ αν έχεις κανέναν σκληρό δίσκο εξωτερικό, πάρε τώρα που τα βλέπεις τα αρχεία που χρειάζεσαι, αν και πιστεύω πως δε θα χρειαστούμε format.

[stalker9]

Ευχαριστώ για την άμεση απάντηση.

Να υποθέσω ότι αυτά τα 2 προγράμματα θα τα τρέξω σε safe mode ?

[flik]

Όχι δε χρειάζεται safe mode. Το norton αν θυμάμαι καλά θα σου ζητήσει επανεκκίνηση για να σκανάρει για rootkits. Το άλλο είναι απλό log άρα θέλει κανονική λειτουργία για να βγάλει τη κατάσταση του συστήματος.

[stalker9]

Καλησπέρα

Χρησιμοποίησα τα εργαλεία που μου πρότεινες.

Το Norton Power Eraser βρήκε και έσβησε ένα αρχείο ονόματι Fonsnx.exe το οποίο υπήρχε στο εξής μέρος c:\users\ΚΩΣΤΑΣ\appdata\roaming\fonsnx.exe.

Το BitDefender online scanner δεν βρήκε τίποτα.

Το OTL έχω την εντύπωση πως κι αυτό δεν βρήκε τίποτα αλλά για πιο σίγουρα σου επισυνάπτω τα αρχείο txt,όπως άλλωστε μου ζήτησες.

Με λίγα λόγια φαίνεται ότι μάλλον λύθηκε το πρόβλημα με το trojan.

 

Ευχαριστώ για μια ακόμη φορά για την ανοχή,την υπομονή και την πολύτιμη βοήθεια σου.

 

 

Extras.Txt

OTL.Txt

[flik]

Του έριξα μια ματιά. Φαίνεται πως έχεις καθαρίσει την ενεργή μόλυνση, όμως ακόμα καλύτερα να σβήσουμε τα alternate data streams που δε ξέρω απο που προέρχονται.

Ξεκίνα το OTL.exe όπως πριν, και στο πεδίο "Custom scans/fixes" κάνε επικόλληση αυτά:

>
:OTL
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
@Alternate Data Stream - 180 bytes -> C:\ProgramData\TEMP:0CE7F3C9
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:4B7BEAFF
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:0D786AE3

:Commands
[EMPTYTEMP]

 

Στη συνέχεια πάτησε "Run Fix"

 

Θα σου ζητήσει επανεκκίνηση γιατί καθαρίζουμε τα temp αρχεία.

 

Μετά απο αυτό θα είσαι πιο καθαρός και απο πριν.

 

Το kaspersky το κρατάς αν είναι αγορασμένο, πάντα ενημερωμένο, όπως ενημερωμένο το λειτουργικό, το java environment και ο flash player.

Το Malwarebytes επίσης το κρατάς για ώρες σαν κι αυτή, συνήθως καθαρίζει μόνο του.

[stalker9]

Καλησπέρα και πάλι

Φιλε flik,ολα οκ.

Ευχαριστώ πάρα πολύ και συγγνωμη αν σου έγινα φόρτωμα..

[flik]

Κανένα φόρτωμα φίλε, παρακαλώ.