asarttag Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Witam. Problem polega na nienormalnym działaniu programów tzn. spowolnionym działaniu i samozamykaniu. Nie działa również zapora systemu windows wyskakuje komunikat o błedzie 0x80070006. zrobiłem logi: otl, gmer i fss. Gmer wykrył rootkita log z gmer nie chce się utworzyć ponieważ po zakończeniu scanu program się wyłącza. Extras.TxtPobieranie informacji ... FSS.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 Cytat Gmer wykrył rootkitalog z gmer nie chce się utworzyć ponieważ po zakończeniu scanu program się wyłącza. Po pierwsze, program uruchomiłeś w złym środowisku, nie został odinstalowany sterownik SPTD od emulatora napędów wirtualnych (KLIK): DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ak81bzfa)DRV - [2012-02-08 08:38:36 | 000,473,656 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Po drugie, GMER zapewne wykrył rootkita ZeroAccess, bo w logu jawne ślady aktywności tej infekcji. Wygląda na to, że w systemie jest starsza wersja, sądząc po obecności łącza symbolicznego w OTL, ta która infekuje sterowniki systemowe. 1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie i zresetuj system. Na C powstanie log z usuwania. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, LiveVDO plugin 1.3, SweetIM for Messenger 3.6. Otwórz Google Chrome i w Rozszerzeniach odinstaluj AVG Secure Search, SweetIM for Facebook, LiveVDO plugin. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania TDSSKiller z punktu 1 + AdwCleaner z punktu 4. . Odnośnik do komentarza
asarttag Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 nowe logi AdwCleanerS2.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... TDSSKiller.2.8.10.0_25.09.2012_17.57.45_log.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 To nie wygląda na log Kasperskiego z usuwania. Kaspersky na pewno coś robił, bo w OTL widać zmiany (link symboliczny zniknął, przekształcając się w zwykły dir). Proszę wyszukaj właściwy log i podmień załączniki w poprzednim poście. Muszę precyzyjnie wiedzieć co narzędzie usuwało. . Odnośnik do komentarza
asarttag Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Innych logów nie było ponieważ, kaspersky nic nie wykrył Odnośnik do komentarza
picasso Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 To czy coś dodatkowego robiłeś między założeniem tematu a uruchomieniem Kasperskiego? Owa zmiana w logu OTL w żadnym wypadku nie mogła się wykonać samodzielnie. "Coś" przekształciło link symboliczny rootkita w zwykły folder. Na razie w temacie jedyne używane narzędzie, które jest to zdolne wykonać, to Kaspersky, który jak twierdzisz nic nie robił. I poproszę jednak o log z GMER. Przed uruchomieniem usuń sterownik SPTD jak opisane + restart. . Odnośnik do komentarza
asarttag Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Nic nie robiłem oprócz próby wykonania loga z gmer. Ale teraz użyłem combofixa, o to log Combofix wykrył zero accses ComboFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 asarttag, proszę nie podejmuj działań, które nie zostały zalecone i trzymaj się tego o co proszę w temacie. Żadnego ComboFixa nie miałeś uruchamiać, była łagodniejsza metoda leczenia tego, a instrukcji nie podałam z prostego powodu: nie sprawdzone pewne rzeczy. I nadal aktualny log z GMER. . Odnośnik do komentarza
asarttag Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Przepraszam, ale mój ambitny kolega chciał pokazać, że się zna na tym, i uruchomił combofixa i jeszcze jakieś narzędzia windowsa do naprawy zapory windows. Loga z Gmer nie mogę utworzyć ponieważ program w trakcie skanowania cały czas przestaje działać, nie wiem czemu Odnośnik do komentarza
picasso Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 Cytat Loga z Gmer nie mogę utworzyć ponieważ program w trakcie skanowania cały czas przestaje działać, nie wiem czemu Czy wykonałeś to: KLIK. Jeśli tak: zastartuj do Trybu awaryjnego z obsługą sieci i ponów próbę. Cytat Przepraszam, ale mój ambitny kolega chciał pokazać, że się zna na tym, i uruchomił combofixa i jeszcze jakieś narzędzia windowsa do naprawy zapory windows. Ambitny kolega stosując ComboFix powinien wiedzieć, że ComboFix naprawia zaporę. . Odnośnik do komentarza
asarttag Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 W końcu się udało gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 Możemy przejść dalej: 1. Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK. 2. Uruchom GrantPerms i w oknie wklej: C:\Windows\System32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\%APPDATA% C:\Users\Ja\Documents\dkekejdy.exe C:\Users\Ja\AppData\Local\Temp*.html C:\Windows\is-IMCH4.exe C:\Windows\is-2QK7H.exe :OTL IE - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\SearchScopes\{5D8D891C-C4C1-4177-96E5-AE81BF13F2EA}: "URL" = "http://isearch.avg.com/search?cid={663F07C7-E554-445C-9046-5CF4C939656D}&mid=25a8be404f6147d1a4956de783846a3c-0469635afb387a9ef43f782a8f594072c63cdbc2&lang=en&ds=ins11&pr=sa&d=2012-02-17 13:28:51&v=10.0.0.7&sap=dsp&q={searchTerms}" O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ja\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z pracy narzędzia SFC z punktu 1. . Odnośnik do komentarza
asarttag Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Wszystko zrobione nowe logi sfc.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Września 2012 Zgłoś Udostępnij Opublikowano 26 Września 2012 Narzędzie SFC naprawiło szkody po rootkicie: 2012-09-25 23:34:40, Info CSI 00000384 [sR] Cannot repair member file [l:18{9}]"netbt.sys" of Microsoft-Windows-NetBT, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-09-25 23:34:40, Info CSI 00000385 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup Reszta zadań wykonana. Kolejna partia zadań: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Ja\Desktop\ComboFix.exe /uninstall 2. Wyczyść po pozostałych narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. W systemie jest zainstalowany program MBAM. Upewnij się, że bazy zaktualizowane i wykonaj nim dla pewności pełny skan (a nie ekspresowy). W razie wykrycia czegoś przedstaw raport. . Odnośnik do komentarza
asarttag Opublikowano 26 Września 2012 Autor Zgłoś Udostępnij Opublikowano 26 Września 2012 w/w czynności zostały wykonane w tym scan mbam, który nic nie wykrył. Więc chyba to wszystko, wątek można zamknąć już nie mam żadnych problemów. Wielkie dzięki za poświęcony czas i rozwiązanie problemu Odnośnik do komentarza
picasso Opublikowano 26 Września 2012 Zgłoś Udostępnij Opublikowano 26 Września 2012 Na zakończenie: 1. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie w systemie widać: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"Google Chrome" = Google Chrome 21.0.1180.89"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) 2. Prewencyjnie zmień hasła logowania w serwisach. PS. Gadu-Gadu 10 to zasobożerny program. Sugeruję oglądnięcie alternatywnych programów z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi