Neon1992 Opublikowano 4 Maja 2011 Zgłoś Udostępnij Opublikowano 4 Maja 2011 Witam, dostałem kilka dni temu komputer do "naprawy", nie otwierały się partycje, ogólnie wszystko się przycinało, system startował za którymś razem... odpaliłem Dr. Web CureIt - znalazł ponad 40 wirusów, Malwarebytes - ponad 450 infekcji. Usunąłem przeczyściłem CCleanerem było OK dwa dni, dziś znowu dostałem ten sam komputer, tym razem rozłączanie z internetem, błąd wyskakujący z svhost. Zablokowałem porty WWDC, oprócz NetBIOS. Zainstalowałem Avast - znalazł 5 wirusów na pełnym skanowaniu i ponad 30 przy skanowaniu przed załadowaniem systemu. Wszystko usunąłem. Wydaje się być wszystko w porządku, ale dla pewności prosiłbym o sprawdzenie loga z OTL. W "Opcje skanowania" wkleiłem skrypt: netsvcs msconfig safebootminimal safebootnetwork %systemdrive%\*.* /md5start agp440.sys atapi.sys beep.sys cdrom.sys ndis.sys winlogon.exe userinit.exe /md5stop OTL: http://wklej.to/UuG3N EXTRAS: http://wklej.to/Rl3QZ Odnośnik do komentarza
Landuss Opublikowano 4 Maja 2011 Zgłoś Udostępnij Opublikowano 4 Maja 2011 W "Opcje skanowania" wkleiłem skrypt: To jest bez sensu i tego się obecnie już nie stosuje. Podpatrzyłeś inne forum bo u nas tego nie radzimy. Natomiast zabrakło loga z GMER pod kątem rootkitów, a rootkit w MBR tutaj na pewno jest o czym świadczy błąd svchost oraz otwarte porty i dopisek "Remote Desktop": [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "7547:TCP" = 7547:TCP:*:Enabled:Services "7548:TCP" = 7548:TCP:*:Enabled:Services "2820:TCP" = 2820:TCP:*:Enabled:Services "8910:TCP" = 8910:TCP:*:Enabled:Services "80:TCP" = 80:TCP:*:Enabled:Services "2364:TCP" = 2364:TCP:*:Enabled:Services "5912:TCP" = 5912:TCP:*:Enabled:Services "9178:TCP" = 9178:TCP:*:Enabled:Services "4927:TCP" = 4927:TCP:*:Enabled:Services "5114:TCP" = 5114:TCP:*:Enabled:Services 1. Rozpocznij od użycia narzędzia Kaspersky TDSSKiller, jeśli wykryje rootkita TDL wciśnij opcję Cure (leczenie) i zaprezentuj wynikowy log. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\tasks\dbuxrgkb.job :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-861567501-1078081533-839522115-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q=" [2010-05-18 19:24:50 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\viuxuopa.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\viuxuopa.default\searchplugins\BearShareWebSearch.xml [2011-03-23 15:25:23 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50} [2011-02-08 17:04:57 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}(2) [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {D4CF558B-745C-44FF-854F-D6FCAE69B6E1} - No CLSID value found. :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wsctf.exe] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, KasperskyTDSSKiller oraz Gmer. Odnośnik do komentarza
Neon1992 Opublikowano 4 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 4 Maja 2011 W takiej kolejności wykonywałem skany: KasperskyTDSSKiller: czysto OTL (po wykonaniu skryptu): http://wklej.to/0wDrc OTL (nowy): http://wklej.to/3CpWL Extras: http://wklej.to/mTXot GMER (zapomniałem zaznaczyć partycji E: ale tam jest tylko parę plików .mp3): http://wklej.to/95IMN Odnośnik do komentarza
Landuss Opublikowano 5 Maja 2011 Zgłoś Udostępnij Opublikowano 5 Maja 2011 Kaspersky w takim razie jest w błędzie bo Gmer też potwierdza rootkita: Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 1250242563 Disk \Device\Harddisk0\DR0 PE file @ sector 1250242585 W takim wypadku trzeba będzie nadpisać MBR z poziomu izolowanego środowiska. 1. Zastartuj do Konsoli Odzyskiwania i wklep polecenie FIXMBR 2. Zaprezentuj nowy log z Gmer. Odnośnik do komentarza
Neon1992 Opublikowano 5 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2011 Nowy... został pomyślnie zainstalowany. - info z konsoli. GMER: http://wklej.to/an9xE Może to pomoże? LINK - czysto. Przeskanowałem jeszcze raz Malwarebytes - znalazł 1 wirusa, usunąłem, wszystko jest w porządku. Użyłem opcji "Sprzątanie" w OTL, uruchomiłem komputer, przeczyściłem CCleaner, zobaczymy, na razie wszystko jest OK Odnośnik do komentarza
Landuss Opublikowano 6 Maja 2011 Zgłoś Udostępnij Opublikowano 6 Maja 2011 (edytowane) Czy na pewno problemy ustąpiły? 1. Wykonaj jeszcze obowiązkowe aktualizacje: KLIK. 2. Wyzeruj na koniec stan Przywracania systemu: KLIK. Edytowane 19 Października 2011 przez picasso 7.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi