rom2k Opublikowano 4 Lutego 2013 Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Witam. Podczas instalacji sterowników do skanera pojawił się komunikat w stylu "odmowa dostępu do folderu". Rozpocząłem poszukiwania -tzn uruchamiałem po kolei programy w stylu TDSSKiller, MBR, ADW Cleaner, Rkill, ale niczego nie rozpoznały. Uruchomiony ComboFix wyświetla komunikat: You are infectet with .ZeroAccess!... Niestety chwilę po potwierdzeniu ComboFix przestaje reagować. Załączam log z OTL. Niestety GMER po dosyć długim czasie (ok. 3h) zawiesza komputer - BlueScreen i napis DRIVER_CORRUPTED_MMPOOL . próbowałem dwa razy. Log tylko z QuickScan. Jestem bezsilny. Bardzo proszę o pomoc. Results of screen317's Security Check version 0.99.57 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` COMODO Antivirus Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Spybot - Search & Destroy CCleaner (remove only) Driver Cleaner 3 Java 7 Update 11 Java 6 Update 3 Java 6 Update 5 Java 6 Update 7 Adobe Flash Player 11.4.402.278 Adobe Reader 8 Adobe Reader out of Date! ````````Process Check: objlist.exe by Laurent```````` Comodo Firewall cmdagent.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` OTL.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2013 Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Log z OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" ie została ustawiona na "Użyj filtrowania"). Podczas instalacji sterowników do skanera pojawił się komunikat w stylu "odmowa dostępu do folderu". Czy próbowałeś jak to wygląda przy całkowicie nieaktywnym COMODO Internet Security? Rozpocząłem poszukiwania -tzn uruchamiałem po kolei programy w stylu TDSSKiller, MBR, ADW Cleaner, Rkill, ale niczego nie rozpoznały.Uruchomiony ComboFix wyświetla komunikat: You are infectet with .ZeroAccess!... Niestety chwilę po potwierdzeniu ComboFix przestaje reagować. Zostaw tego Combofixa w spokoju. Wg raportów nie ma tu żadnych oznak czynnej infekcji ZeroAccess, co się zgadza z werdyktem TDSSKiller, który bez problemu wykrywa ten konkretny wariant. ComboFix prawdopodobnie wariuje na jednym z tych: 1. Wybrakowany sterownik mający ścieżkę dostępu rozpoczynającą się od "globalroot": DRV - File not found [Kernel | Unavailable | Unknown] -- globalroot\C:\WINDOWS\system32\drivers\100599.sys -- (100599) 2. Usługa opisana jako "Iomega": SRV - [2011-11-07 18:42:49 | 000,073,728 | ---- | M] (Iomega Corporation) [Disabled | Stopped] -- C:\PROGRA~1\Iomega\System32\AppServices.exe -- (Iomega App Services) Fałszywą usługę z takim opisem tworzy ZeroAccess, tylko że tutaj to nie jest usługa ZeroAccess, tylko dokładnie to co wskazuje opis. Usuń sobie po prostu puste wpisy oraz szczątki po Kasperskym i to tyle jeśli chodzi o "czyszczenie". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab" (Reg Error: Key error.) O29 - HKLM SecurityProviders - (msdhwadaq.dll) - File not found SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\Opcenum.exe -- (OpcEnum) SRV - File not found [Disabled | Stopped] -- -- (Iomega Activity Disk2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\siusbmod.sys -- (siusbmod) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Roman\USTAWI~1\Temp\GPU-Z.sys -- (GPU-Z) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\GenericMount.sys -- (GenericMount) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AmdK8.sys -- (AmdK8) DRV - File not found [Kernel | Unavailable | Unknown] -- globalroot\C:\WINDOWS\system32\drivers\100599.sys -- (100599) DRV - [2009-10-22 12:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\06103692.sys -- (06103692) DRV - [2009-10-09 22:31:10 | 000,315,408 | ---- | M] (Kaspersky Lab) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\0610369.sys -- (Kaspersky_VRTdrv) DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\06103691.sys -- (06103691) [2013-02-04 00:20:53 | 000,000,009 | ---- | M] () -- C:\END [2013-02-03 23:51:53 | 000,000,332 | ---- | M] () -- C:\Start_.cmd [2013-02-03 23:29:54 | 008,405,015 | ---- | M] () -- C:\WINDOWS\TempFile [2013-01-10 17:07:42 | 000,004,096 | ---- | M] () -- C:\WINDOWS\System32\crash [2013-01-27 13:57:48 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. W OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine. . Odnośnik do komentarza
rom2k Opublikowano 4 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2013 Bardzo dziękuję za pomoc. Problem sterowników do skanera to był dla mnie pierwszy sygnał (w końcu go zainstalowałem ), potem doszły problemy z zapisem skanów najpierw szło OK, a potem zaczęło wariować raz zapisywał pięć razy nie. Dziwne zachowanie przeglądarki, a na koniec nie mogłem również jej otworzyć (Opera). Teraz - po wykonaniu skryptów - przeinstalowałem Operę i działa . Co do skanera negatywów - potrzebuję więcej czasu żeby to sprawdzić. Usługa "Iomega" to sterownik napędu Iomega Jaz. Napęd SCSI, obecnie nie używany. Próbowałem ComboFixa i GMERa również z odinstalowanym COMODO. Jeszcze raz kompletne logi: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2013 Zgłoś Udostępnij Opublikowano 5 Lutego 2013 1. Jeszcze poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O29 - HKLM SecurityProviders - (msdhwadaq.dll) - File not found :Reg [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Ale nowych logów OTL już nie potrzebuję, nie ma co sprawdzać. 2. Sterownik emulatorów typu DAEMON Tools / Alcohol zwraca błędy: Error - 2013-02-04 16:14:15 | Computer Name = ROMAN-A8 | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error - 2013-02-04 16:14:28 | Computer Name = ROMAN-A8 | Source = sptd | ID = 262148Description = Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Sprawdź czy widzi go narzędzie SPTDinst: KLIK. Usługa "Iomega" to sterownik napędu Iomega Jaz. Napęd SCSI, obecnie nie używany Tak, wiem, zaznaczam to przecież ("tutaj to nie jest usługa ZeroAccess, tylko dokładnie to co wskazuje opis"). Próbuję spekulować co ma na myśli ComboFix, bo tu nie ma znaków czynnej infekcji ZeroAccess. Jak podałam, były tylko dwa wpisy, które ComboFix mógł w jakiś sposób "interpretować" naciągając sprawę. Problem sterowników do skanera to był dla mnie pierwszy sygnał (w końcu go zainstalowałem ), potem doszły problemy z zapisem skanów najpierw szło OK, a potem zaczęło wariować raz zapisywał pięć razy nie. Dziwne zachowanie przeglądarki, a na koniec nie mogłem również jej otworzyć (Opera). Moim zdaniem nie ma to nic wspólnego z infekcją. . Odnośnik do komentarza
rom2k Opublikowano 5 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2013 SPtDinst nie widzi sterownika Skrypt wykonany ComboFix bez zmian - melduje rootkita Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2013 Zgłoś Udostępnij Opublikowano 5 Lutego 2013 ComboFix bez zmian - melduje rootkita TDSSKiller nie widzi tej infekcji, w logach z OTL + GMER żadnych jej śladów. Moim zdaniem nie ma tu czego szukać. SPtDinst nie widzi steronwnika 1. Uruchom MiniRegTool i w oknie wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. 2. Następnie przez SHIFT+DEL skasuj z dysku plik C:\WINDOWS\system32\drivers\sptd.sys. . Odnośnik do komentarza
rom2k Opublikowano 5 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2013 Zrobiłem jak wyżej. Nie chciałbym zajmować niepotrzebnie Twojego czasu. Jeżeli nie ma infekcji to może nie muszę się już niczym przejmować? Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2013 Zgłoś Udostępnij Opublikowano 5 Lutego 2013 (edytowane) Jak mówię, ja tu nie widzę żadnej infekcji, a problemy z skanerem to w mojej opinii inna sprawa i sugerowałam sprawdzenie jak to wygląda po uziemieniu COMODO. Sprawdź jeszcze czy ComboFix wariuje, jeśli zostanie uruchomiony "na świeżo", po uprzednim usunięciu jego danych: 1. Start > Uruchom > regedit i skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Swearware 2. W OTL uruchom Sprzątanie, co usunie zarówno OTL z kwarantanną, jak i ewentualne pliki ComboFix. . Edytowane 7 Marca 2013 przez picasso 7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi