Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

ZeroAccess

anek155

Przez anek155
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

anek155

anek155

Opublikowano
Opublikowano

Witam! Od około 2-3 tygodni mam problemy z dostępem do zapory i znacznym spowolnieniem pracy komputera.

Avira wykryła wirusy TR/ATRAPS.Gen i TR/ATRAPS.Gen2, po czym przesuneła je do kwarantanny (co powiodło się dopiero po aktualizacji Aviry), jednak nic to nie naprawiło.

 

 

Wklejam log z gmera, ponieważ na koncie administratora pisze: "Nie masz uprawnień do wysyłania tego typu plików"

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-07-22 15:18:57

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600BB-00GUC0 rev.08.02D08

Running: ksh4bgj4.exe; Driver: C:\DOCUME~1\Migdal\USTAWI~1\Temp\pweoafod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT F7C804A4 ZwClose

SSDT F7C8045E ZwCreateKey

SSDT F7C804AE ZwCreateSection

SSDT F7C80454 ZwCreateThread

SSDT F7C80463 ZwDeleteKey

SSDT F7C8046D ZwDeleteValueKey

SSDT F7C8049F ZwDuplicateObject

SSDT F7C80472 ZwLoadKey

SSDT F7C80440 ZwOpenProcess

SSDT F7C80445 ZwOpenThread

SSDT F7C804C7 ZwQueryValueKey

SSDT F7C8047C ZwReplaceKey

SSDT F7C804B8 ZwRequestWaitReplyPort

SSDT F7C80477 ZwRestoreKey

SSDT F7C804B3 ZwSetContextThread

SSDT F7C804BD ZwSetSecurityObject

SSDT F7C80468 ZwSetValueKey

SSDT F7C804C2 ZwSystemDebugControl

SSDT F7C8044F ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

.xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xF74CE000, 0xC0A, 0x40000040]

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6C3A000, 0x2131D7, 0xE8000020]

.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA327D300, 0x3B6D8, 0xE8000020]

.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF79C0300, 0x1BEE, 0xE8000020]

 

---- Devices - GMER 1.0.15 ----

 

Device \Driver\atapi \Device\Ide\IdePort0 867D9B40

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 867D9B40

Device \Driver\atapi \Device\Ide\IdePort1 867D9B40

Device \Driver\atapi \Device\Ide\IdePort2 867D9B40

Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 867D9B40

Device \Driver\atapi \Device\Ide\IdePort3 867D9B40

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventSourceFlags 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventMessageFile C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\Resources\1033\sqlevn70.rll

Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventSourceFlags 1

Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\MSSQL$SQLEXPRESS$AUDIT@EventMessageFile C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\Resources\1033\sqlevn70.rll

 

---- EOF - GMER 1.0.15 ----

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Conor29134

Conor29134

Opublikowano
Opublikowano

To nie jest pełny scan z gmer-a gdyby był pełny widać by było hidden przy services.exe

 

Loga nie mogłeś załączyć bo miał rozszerzenie .log a tu akceptowalny jest .txt, wystarczyło zmienić nazwę.

U ciebie w logu jest coś takiego

[2006-03-02 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{e68c22f3-cefe-d456-8148-444aa6b8a384}\@
[2006-03-02 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\Migdal\Ustawienia lokalne\Dane aplikacji\{e68c22f3-cefe-d456-8148-444aa6b8a384}\@

 

To nie możliwe chyba coś ci się rozregulował zegar.

 

Pozatym wykonaj skan dostosowany

 

Pobierz system look

 

http://jpshortstuff..../SystemLook.exe

 

W okienko wklej

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

 

Kliknij look i pokaż raport

Odnośnik do komentarza
  • 1 miesiąc temu...
picasso

picasso

Opublikowano
Opublikowano

Pobierz najnowszy OTL (poprawiony skan Firefox zgodnie z moim zgłoszeniem o niewidzialności nowych preferencji).

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom ten plik przez dwuklik.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files



C:\WINDOWS\Installer\{e68c22f3-cefe-d456-8148-444aa6b8a384}



C:\Documents and Settings\Migdal\Ustawienia lokalne\Dane aplikacji\{e68c22f3-cefe-d456-8148-444aa6b8a384}



C:\Documents and Settings\All Users\Dane aplikacji\InstallMate


 



:OTL



O4 - HKLM..\Run: [GEST] m‘|\ü File not found



O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Piotrek\USTAWI~1\Temp\gtermddo.sys -- (gtermddo)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva396.sys -- (XDva396)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393)


 



:Commands



[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami usuwania.

 

3. Odinstaluj adware TheBflix, w dwóch miejscach: w Firefox w Dodatkach oraz przez Dodaj / Usuń Programy. Uruchom AdwCleaner i zastosuj Delete.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz SystemLook na warunki:

 

:reg



HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Dołącz logi z usuwania OTL + AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
"Dołącz logi z usuwania OTL + AdwCleaner."

Czyli mam usunąć OTL i AdwCleaner?

 

Nie, nie w tej fazie. Chodzi o logi, które powstały podczas usuwania programami OTL i AdwCleaner. Zostały dołączone, więc OK.

 

 

Infekcja wygląda na pomyślnie usuniętą. Ostały się tylko szczątki adware Blix. Przechodzimy dalej:

 

1. Poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"info@bflix.info"=-
 
:OTL
FF - prefs.js..extensions.enabledItems: info@bflix.info:5.0 
O2 - BHO: (TheBflix Class) - {DF68C61C-D14E-4AB5-942C-030FFEA0622C} - C:\Documents and Settings\All Users\Dane aplikacji\TheBflix\bhoclass.dll File not found
[2012-09-06 16:24:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TheBflix
[2010-07-21 10:40:48 | 000,000,524 | ---- | M] () -- C:\WINDOWS\Tasks\Install.job
[2010-01-03 18:39:34 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\NSSstub.job

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Przedstaw log z wynikami usuwania.

 

2. Zrekonstruuj skasowane przez ZeroAccess usługi Zapory i Centrum zabezpieczeń, importując pliki REG z artykułu: KLIK. Zresetuj system i podaj nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

O ile skrypt do OTL wykonany, to w logu Farbar Service Scanner nadal:

 

Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.

 

Nie zaimportowałeś pliku REG usługi Centrum zabezpieczeń.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Wyniki MBAM: wszystko do usunięcia. Są tu odpadki po adware BFlix oraz starej infekcji z dysków przenośnych (niemożność przestawienia ukrytych). Po usunięciu ponów czyszczenie folderów Przywracania systemu.

 

2. Zaktualizuj co należy: KLIK. Tu konkretnie cytuję z Twojej listy zainstalowanych wersje (możliwe, że coś jest aktualnie rozbieżne, gdyż był przestój w temacie):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 23
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Microsoft SQL Server 10" = Microsoft SQL Server 2008
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)
"Opera 12.00.1467" = Opera 12.00

 

+ Service Pack dla Microsoft SQL Server 2008: KB968382

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

Odnośnik do komentarza
anek155

anek155

Opublikowano
  • Autor
Opublikowano

1. Nie mogę znaleźć Service Pack dla Microsoft SQL Server 2008: KB968382 przy podanym linku. Gdzie można sprawdzić czy nie jest już zaktualizowany?

2. Zauważyłem jeszcze jeden problem: Przy logowaniu się do Gmeila, po wpisaniu prawidłowego nicku i hasła pojawia się strona:"Połączenie przerwane przez serwer". Jest to niezależne od używanej przeglądarki i występuje tylko na dwóch komputerach z sieci lokalnej.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
1. Nie mogę znaleźć Service Pack dla Microsoft SQL Server 2008: KB968382 przy podanym linku. Gdzie można sprawdzić czy nie jest już zaktualizowany?

 

Przecież w linku, który podałam, w sekcji "More information" jest link do paczki:

 

  Cytat
To obtain Microsoft SQL Server 2008 SP3, visit the following Microsoft website:

http://go.microsoft.com/fwlink/?LinkId=226850

 

 

  Cytat
2. Zauważyłem jeszcze jeden problem: Przy logowaniu się do Gmeila, po wpisaniu prawidłowego nicku i hasła pojawia się strona:"Połączenie przerwane przez serwer". Jest to niezależne od używanej przeglądarki i występuje tylko na dwóch komputerach z sieci lokalnej.

 

Skoro dotyczy to dwóch komputerów, to może jest to kwestia konfiguracji sieciowej / routera?

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...