asher Opublikowano 23 Września 2012 Zgłoś Udostępnij Opublikowano 23 Września 2012 Witam. Przyszedłem tutaj do Was z innego forum, na którym amatorsko pomagam użytkownikom w usuwaniu infekcji. Dziś trafił mi się przypadek rootkita ZeroAccess. Probiłbym o pomoc, gdyż sam troche boje się podejmować jego usuwanie. Problem z komputerem polega na tym, że połączenie z siecią co kilka minut jest zrywane. Tutaj logi: OTL: http://wklej.org/id/835551/ Extras: http://wklej.org/id/835474/ SystemLook: http://wklej.org/id/835552/ FSS: http://wklej.org/id/835553/ Z góry dziękuję za pomoc. Odnośnik do komentarza
Landuss Opublikowano 23 Września 2012 Zgłoś Udostępnij Opublikowano 23 Września 2012 A skąd w ogóle pomysł, że tu jest ZeroAccess? W logach brak najmniejszego śladu tej infekcji. Ogólnie nie widać tutaj żadnej infekcji i logi są czyste. Zrywanie połączenia to może być z rożnych powodów i niekoniecznie musi chodzić o sprawy związane z wirusem. Temat przesuwam do Sieci bo tam bardziej pasuje. Dołącz raport z Net-log Odnośnik do komentarza
asher Opublikowano 23 Września 2012 Autor Zgłoś Udostępnij Opublikowano 23 Września 2012 ZeroAccess pownieważ w logu widnieje coś takiego: ========== ZeroAccess Check ========== [2009/07/14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012/06/09 07:30:56 | 014,165,504 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012/06/09 06:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009/07/14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] Nigdy wcześniej tego nie widziałem. No ok, ogarnełem to, jakiś update OTL był, i mnie to "zeroaccess" zastanowiło:p Ok, tu raport: http://wklej.org/id/835984/ Tylko, że w czasie wykonywania padło połączenie. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się