zabor Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Proszę o pomoc w pozbyciu się Rootkita NECURS. OTL http://www.wklej.org/id/853665/txt/ Extras http://www.wklej.org/id/853667/txt/ Gmer http://www.wklej.org/id/853663/txt/ Odnośnik do komentarza
picasso Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 1. Uruchom Kaspersky TDSSKiller i zostaw wszystkie akcje domyślne czyli dla wyniku Rootkit.Win32.Necurs.gen akcja Cure Delete. Nie ruszaj potencjalnych sterowników oznaczonych jako Locked, to są prawidłowe sterowniki zablokowane przez rootkita i blokada z nich samodzielnie zejdzie po usunięciu Necurs. Zatwierdź leczenie i restart. Na C powstanie log z wynikami usuwania. 2. Przedstaw ów log z TDSSKiller oraz nowy GMER i OTL. . Odnośnik do komentarza
zabor Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Nie wiem czemu ale nie było ani akcji Cure (zamiast tego domyślnie było Delete) ani żadnych sterowników oznaczonych jako Locked. OTL: http://www.wklej.org/id/853661/txt/ Gmer: http://www.wklej.org/id/853660/txt/ TDSSKiller: http://www.wklej.org/id/853657/txt/ http://www.wklej.org/id/853658/txt/ http://www.wklej.org/id/853659/txt/ Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Cure to moja pomyłka, dla Necurs oczywiście Delete. Natomiast Necurs powinien blokować inne sterowniki, ale skoro tu nic takiego TDSSKiller nie zanotował, tym lepiej. Raporty niejasne. TDSSKiller usuwał sterownik 891e0ea0e37ee554.sys. Dwa pozostałe raporty z TSSKiller są niepełne, tak jakby skan się nie wykonał. GMER nadal pokazuje czynnego rootkita, tylko inny plik 51e402cbac44d922.sys. Jeżeli teraz po restarcie GMER nadal widzi to samo, to użyj inne narzędzie ESET Necurs Remover. zabor, dlaczego zostały usunięte logi z pierwszego posta? Linki kierują do nikąd, nie mogę porównać danych... Nie pamiętam przecież co mówiły na początku GMER i OTL. Ja muszę mieć logi od pierwszego do ostatniego posta cały czas dostępne, przeprowadzenie określonych procedur nie anuluje danych dostarczonych na początku. . Odnośnik do komentarza
zabor Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Po użyciu ESET Necurs Remover GMER nie wykrywa juz rootkita. Czy to znaczy że został on na dobre usunięty? Nie mam pojęcia czemu te pliki zostały usunięte z hostingu. Niestety już ich nie mam. A jeszcze takie pytanko, bo ostatnio antywirus nie chciał mi działać poprawnie, wszystkie osłony były zablokowane i nawet reinstalka nic nie dała. Czy to mogło być spowodowane tym rootkitem? gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Nie mam pojęcia czemu te pliki zostały usunięte z hostingu. Niestety już ich nie mam. Udało mi się odzyskać pierwszy GMER + OTL z moich Tempów. Logi przeniosłam na wklej.org. A jeszcze takie pytanko, bo ostatnio antywirus nie chciał mi działać poprawnie, wszystkie osłony były zablokowane i nawet reinstalka nic nie dała. Czy to mogło być spowodowane tym rootkitem? Tak, jak najbardziej. Necurs charakteryzuje się właśnie blokowaniem oprogramowania zabezpieczającego. GMER też powinien mieć problem z uruchomieniem, choć tu u Ciebie o dziwo był zdolny zastartować i zrobić skan. Po użyciu ESET Necurs Remover GMER nie wykrywa juz rootkita. Czy to znaczy że został on na dobre usunięty? Na to wygląda, że nie jest już czynny. Ale tu nie koniec, po Necurs pozostała martwa usługa + na dysku jego pliki *.sys, w starcie masz jeszcze jedną brzydką rzecz (comijehocafy.exe) oraz szczątki innych infekcji i adware. Kolejne czynności wymagane: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\drivers\de6df50938cecbb4.sys C:\WINDOWS\System32\drivers\dbb86f783619462d.sys C:\WINDOWS\System32\drivers\e1ffffcc3c60d677.sys C:\WINDOWS\System32\drivers\c6170a852077e139.sys C:\WINDOWS\System32\drivers\f6e311325143e7dd.sys C:\WINDOWS\System32\drivers\51e402cbac44d922.sys.vir C:\WINDOWS\System32\drivers\str.sys C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} :OTL DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\51e402cbac44d922.sys -- (51e402cbac44d922) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" IE - HKCU\..\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}: "URL" = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searc}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKCU..\Run: [comijehocafy] C:\Documents and Settings\Krzychu\comijehocafy.exe () O4 - HKCU..\Run: [CubeDesktop] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj. . Odnośnik do komentarza
zabor Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Proszę. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 1. Drobna poprawka i usunięcie szczątków skanerów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) :Files C:\Documents and Settings\Krzychu\Dane aplikacji\OpenCandy C:\Documents and Settings\Krzychu\Dane aplikacji\chrtmp C:\Documents and Settings\All Users\Dane aplikacji\BDLogging C:\Documents and Settings\All Users\Dane aplikacji\1350655907.bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\1350595902.bdinstall.bin C:\Documents and Settings\Krzychu\Dane aplikacji\QuickScan C:\Program Files\Common Files\Bitdefender C:\Program Files\Alwil Software netsh firewall reset /C Klik w Wykonaj skrypt. 2. Porządki po narzędziach: przez SHIFT+DEL usuń folder C:\TDSSKiller_Quarantine, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
zabor Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Gotowe. Wykryło 4 błędy. Usunąć je? mbam-log-2012-10-24 (19-30-08).txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 1. Wyniki MBAM: te kierujące na pliki gier zdają się być fałszywymi alarmami, ale za Windows 7 Loader.exe nie podłożę głowy i na wszelki wypadek pozbądź się tego cracka. 2. Zaktualizuj wyliczone poniżej aplikacje: KLIK. W logu widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj SP3"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2 ----> doinstaluj SP FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60310.0\npctrl.dll ( Microsoft Corporation) + Service Pack dla Microsoft SQL Server 2008 R2: KB2527041 3. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
zabor Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 OK. Dzięki wielkie za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi