Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

GMER wykrył ROOTKIT

Robert13

Przez Robert13
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Robert13

Robert13

Opublikowano
Opublikowano

Dzień dobry.

Sytuacja wyglądała tak, był zainstalowany ESET SMART SECURITY 7, ale nie włączyła się ochorna

- HIPS
- W czasie rzeczywistym
- Oraz ochrona poczty

Przez to że ESET był "uszkodzoy" nie można było nawiązać połączenia intereteg u, w czasie jego działania dostawłem komunikaty o trojanie wprocesie
taskhost.exe i o tym ze zagrożenie zostało usunięte. Próba naprawy ESET nie powiodła się, wieć go odinstalowałem i uruchomiłe:

1. Wyłączyłem przywracanie systemu
2. Recznie skasowałem katalog TMP
3. Malwarebytes Anti-Rootkit BETA 1.07.0.1009 (log w załączniku system-log.txt)
4. Uruchmiłem 1 raz GMER (log w załączniku GMER.txt)

5. Uruchomiłem TDSSKiller (logi w załączniku)
6. Uruchomiłem ponownie GMER (log w załączniku GMER2.txt)

7. Skanowanie FRS (Wszytskie opcje)

8. Skan OTL

9. Ponowane instalcja ESET SMART SECURITY 7

system-log.txt

GMER.txt

TDSSKiller.3.0.0.25_13.03.2014_13.53.15_log.txt

TDSSKiller.3.0.0.25_13.03.2014_13.55.03_log.txt

TDSSKiller.3.0.0.25_13.03.2014_14.07.49_log.txt

GMER2.txt

Addition.txt

FRST.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z FRST został wykonany niezgodnie z instrukcją. Sekcje Drivers MD5 i List BCD nie mają być zaznaczone.

 

W systemie był rootkit Necurs, który został usunięty przy udziale TDSSKiller. W podanych tu raportach brak już oznak infekcji. Tylko drobne działania do wykonania:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\12661454.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\49119199.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\12661454.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\49119199.sys => ""="Driver"
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przewdstaw wynikowy plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...