Skocz do zawartości

komputer zablokowany przez naruszenie praw prawa polskiego


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Prócz tej infekcji są i inne. Przede wszystkim widoczny naruszony Winsock w sposób, który sugeruje pobyt rootkita ZeroAccess. Nie widzę wprawdzie załadowanego modułu tegoż, ale log jest z poziomu Trybu awaryjnego, co zaciemnia sprawę. I widać także katalog tego rootkita oraz link symboliczny. Ogólnie mówiąc system jest porządnie zaprawiony i akurat blokada to najmniejszy Twój problem... W związku ze skomasowaniem infekcji wyciągam mocniejszy arsenał.

 

1. Z poziomu Trybu awaryjnego uruchom zgodnie ze wskazówkami ComboFix.

 

2. Następnie zrób nowe logi z OTL oraz zaległy GMER. Dołącz log utworzony przez ComboFix w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Hmmm, to nie wygląda na log ComboFix z pierwszego podejścia, to wygląda na drugie podejście. Log nie wykazuje prawie żadnych usunięć, ale one musiały się odbyć, gdyż w skanie OTL widać duże zmiany (zresetowany Winsock, skasowany link symboliczny rootkita, redukcja innych obiektów infekcji). Widzialne też na dysku odświeżenie sterownika sieciowego afd.sys (ComboFix na pewno go wykrył jako zainfekowanego i leczył):

 

[2012-07-17 15:37:17 | 000,138,496 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\afd.sys

 

Idziemy dalej, zostało usunięcie blokady UKASH i szczątków. Poza tym, jeszcze plik sfcfiles.dll zdaje się naruszony, ale to przebije pełna aktualizacja Windows, tu planowana.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\KAROLI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2) 
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKLM..\Run: [xinput1_3] C:\Documents and Settings\Karolinaa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2904\xinput1_3.exe ()
 
:Files
C:\WINDOWS\System32\lprhelp3.dll
C:\Documents and Settings\Karolinaa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2904
C:\Documents and Settings\Karolinaa\Dane aplikacji\hellomoto
C:\Documents and Settings\Karolinaa\Dane aplikacji\Loes
C:\Documents and Settings\Karolinaa\Y˜Y˜
C:\Documents and Settings\Karolinaa\Y=Y=
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. Uruchom SystemLook i do okna wklej:

 

:dir

C:\WINDOWS\assembly /s

 

Klik w Look i przedstaw raport końcowy.

 

 

 

.

Odnośnik do komentarza

System look dał mi taką odpowiedź. Jak to wygląda?

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:35 on 18/07/2012 by Karolinaa

Administrator - Elevation successful

 

========== dir ==========

 

C:\WINDOWS\assembly - Parameters: "/s"

 

---Files---

None found.

 

C:\WINDOWS\assembly\GAC d--hs-- [05:42 27/06/2012]

 

C:\WINDOWS\assembly\GAC_MSIL d--hs-- [05:42 27/06/2012]

 

-= EOF =-

Odnośnik do komentarza

1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\assembly
C:\WINDOWS\erdnt
C:\Documents and Settings\Karolinaa\Y=Y=

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

E:\ComboFix.exe /uninstall

 

Gdy komenda ukończy, w OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. System był tak mocno zainfekowany, że sama ocena logów to za mało. Wykonaj skanowanie w tych dwóch aplikacjach: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. W konfiguracji obu skanerów wybierz pełne skanowanie. To znacznie wydłuży operacje, ale da pewniejsze rezultaty. Przedstaw raporty z obu skanerów. W przypadku Kasperskiego interesują mnie tylko wyniki typu "Detected" a nie całość z wszystkimi typami nagrań.

 

 

.

Odnośnik do komentarza

Jak mówiłam, w Kasperskym mnie interesowało tylko Detected, pełny log zbędny i go usuwam.

 

1. MBAM wykrył mało znaczące rzeczy i usuń. Dokończ akcję ręcznie kasując cały katalog C:\Documents and settings\karolinaa\Dane aplikacji\moho + deinstalując crack NOD32 FiX v2.1.

 

2. Odinstaluj skaner Kasperskiego, o ile już o się nie stało (zamknięcie okna to inicjuje). Po tym wyczyść ponownie foldery Przywracania systemu: KLIK.

 

3. I przejdź do wykonania istotnych aktualizacji. Instrukcje ogólne: KLIK. A tu z Twoich logów co wymaga aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24

"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

"KLiteCodecPack_is1" = K-Lite Codec Pack 4.6.2 (Full)

"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

- System jest w krytycznym stanie aktualizacji. Brak tu pakietu SP3 + IE8 oraz wszystkich łatek zabezpieczających wydanych po nich. Na dodatek Windows jest zablokowany przez aktualizacją, Microsoft nie dopuszcza do pobierania łat systemów poniżej progu XP SP3. Czym prędzej musisz to wszystko nadrobić, od A do Z. Żadnych wykrętów.

- Kolekcja sfatygowanych Java. Wszystko out i zaaplikować najnowszą wersję. Podobnie z resztą. Dziurawa Java to jedna z przyczyn infekcji typu UKASH.

 

 

Uwagi poboczne: odinstaluj sfatygowany tweaker Vtune 7.2. Sugeruję też rozważenie wymiany Gadu-Gadu 10. GG10 to ciężki program, tłucze zasoby i tłucze reklamami. Istnieją programy z obsługą Gadu, które są przyjaźniejsze. W artykule Darmowe komunikatory poczytaj opisy: AQQ, Kadu, WTW, Miranda.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...