Skocz do zawartości

ZeroAcces/Sirefef


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Na pewnym forum napisałem o sprawdzenie logów i zostałem przekierowany na to forum

 

Na jakim forum? To są ważne informacje.

 

Jeśli chodzi o logi to rzeczywiście są ślady ZeroAccess w starszej wersji natomiast ta infekcja nie wygląda na aktywną.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\zntport.sys -- (zntport)
DRV - File not found [Kernel | Boot | Stopped] --  -- (xvotvk)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ksi32sk.sys -- (ksi32sk)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\fips32cup.sys -- (fips32cup)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://internetsearchservice.com/ie6.html"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = "http://internetsearchservice.com/search?q={searchTerms}"
IE - HKLM\Software\Microsoft\Internet Explorer\SearchURL\w, = "http://internetsearchservice.com/search?q=%s"
IE - HKU\S-1-5-21-861567501-2000478354-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = "http://internetsearchservice.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-861567501-2000478354-839522115-1003\Software\Microsoft\Internet Explorer\SearchURL\w, = "http://internetsearchservice.com/search?q=%s"
IE - HKU\S-1-5-21-861567501-2000478354-839522115-1003\..\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found
IE - HKU\S-1-5-21-861567501-2000478354-839522115-1003\..\SearchScopes\{26FBE937-C958-41C5-AA5F-88476114EFDC}: "URL" = "http://internetsearchservice.com/search?q={searchTerms}"
O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found.
O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found.
O2 - BHO: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found.
O2 - BHO: (no name) - {B88F0A3B-663C-4342-A7CE-2D6F81032897} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
 
:Files
netsh winsock reset /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB34124$ /C
C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat
C:\Documents and Settings\LocalService\Dane aplikacji\rbuwzv.dat
C:\Documents and Settings\Piotrek\Dane aplikacji\avdrn.dat
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\Piotrek\Dane aplikacji\Babylon
C:\Documents and Settings\Piotrek\Dane aplikacji\PriceGong
C:\Windows\$NtUninstallKB34124$
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj.

 

2. Przez Panel sterowania odinstaluj: Come2PlayK2P Toolbar

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) z opcji Skanuj, log powstały w punkcie 1 oraz raport z Farbar Service Scanner (zaznacz wszystko do skanowania)

Edytowane przez picasso
12.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...