zeber Opublikowano 27 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2011 witam, na drugim komputerze pojawiły się problemy. system ciągle się zawiesza, nie uruchamiają się programy antywirusowe. wwdc zgłasza błędną sumę kontrolną w pliku svchost.exe w autorun pojawił się wpis Hjame rundll32.exe c:\windows\nsgx32.dll, startup podejrzany też wydaje mi się bluetoothauthentificationagent w trybie awaryjnym zrobilem skany otl i gmer OTL.Txt gmer.txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2011 wwdc zgłasza błędną sumę kontrolną w pliku svchost.exe Tu nie chodzi o sumę kontrolną tylko o podniesioną pamięć svchost i tego komunikatu nie należy brać na serio. Taki stan rzeczy występuje też gdy nie ma infekcji z wielu przyczyn np. z powodu aktualizacji automatycznych. podejrzany też wydaje mi się bluetoothauthentificationagentż Nie wiem co ci sie tu wydaje podejrzane - przecież to od oprogramowania BlueTooth. Niemniej jednak infekcja tutaj jest i to nie byle jaka. Poniższe wpisy wskazują jednoznacznie na rootkita ZeroAccess: PRC - File not found -- C:\WINDOWS\1041537727:1080421313.exe @Alternate Data Stream - 816 bytes -> C:\WINDOWS\1041537727:1080421313.exe MOD - [2008-06-20 19:48:53 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - File not found Na początek użyj narzędzia Webroot AntiZeroAccess i zaprezentuj wynikowy log AntiZeroAccess_Log.txt Odnośnik do komentarza
zeber Opublikowano 27 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2011 no więc zacznę od tego że to narzędzie w trybie awaryjnym nic nie znalazło. jednak udało mi się uruchomić to w trybie normalnym, niby coś znalazł, usunął, ale po restarcie i uruchomieniu narzędzie jest infekcja znów widoczna. po restarcie dwa razy mi się pojawił 'read disk error' załączam log tak przy okazji - zastanawiałem się jak się laptop zainfekował i przeskanowałem u siebie pendrive i okazało się że tam siedzi infekcja, którą usunąłem (aczkolwiek nie wiem czy to ta sama). a pendrive jest zabezpieczony flash disinfectorem ;/ AntiZeroAccess_Log.txt Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Ta infekcja bywa ciężka do uziemienia niestety. Log pokazuje, że pousuwał składniki rootkita. Teraz uruchom zgodnie z wytycznymi ComboFix i przedstaw wynikowy raport. Pobierając go jednak zmień mu na wszelki wypadek nazwę np. na svchost.exe, aby nie został zablokowany. Gdyby były jednak problemy sprubój ponownie uruchomić najpierw Webroot AntiZeroAccess a następnie ComboFix. Po tej czynności wykonaj też nowe logi z OTL i załącz. Odnośnik do komentarza
zeber Opublikowano 28 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 przy pierwszym uruchomieniu się zawiesił, przy drugim doszedł do momentu kiedy się restartował ale po restarcie się nie uruchomił (w logu była tylko info że skan nie został dokończony). za trzecim razem już po skanowaniu wyskakiwały jakieś komunikaty o odmowie dostępu i żaden log się nie stworzył, a co więcej usunął się ten z drugiego skanowania. więc w trybie awaryjnym przeinstalowałem combofixa i tutaj skan już się powiódł. załączam logi. a teraz się jeszcze przyjrzałem logowi z combofixa i widzę, że chyba 1 dobry plik wyciął C:\MSM.exe - to chyba od programu do nauki angielskiego było... AntiZeroAccess_Log.txt ComboFix.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 ComboFix ma to do siebie, że czasem się myli tak jak w tym wypadku: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) C:\MSM.exe c:\windows\IsUn0415.exe To można przywrócić. Wklej do Notatnika tekst: DeQuarantine:: C:\Qoobox\Quarantine\C\MSM.exe C:\Qoobox\Quarantine\C\WINDOWS\IsUn0415.exe Quit:: Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Jeśli chodzi o infekcję to wygląda, że jest znacznie lepiej. Wykonaj jeszcze drobne usuwanie: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files c:\windows\nsgX32.dll c:\windows\system32\c_34894.nl_ :Services iMSPQMn ASFWHide catchme :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hjame] :OTL IE - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: File not found FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found FF - HKCU\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3: C:\Documents and Settings\Aga\Dane aplikacji\Facebook\npfbplugin_1_0_3.dll File not found FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found [2011-04-30 16:47:05 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\diszdf60.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F97DA966-F09D-4cab-BF29-75A0026986EA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
zeber Opublikowano 28 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 skrypt wykonałem zgodnie z instrukcją, ale zamiast przywrócić pliki to się wykonał ponowny pełny skan combofix. skrypt do otl się nie wykonał - otl zawisł i musiałem zrestartować system. może w trybie awaryjnym go wykonać? programy antywirusowe (panda cloud) nadal się nie uruchamiają a system się zawiesza.. ComboFix.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 skrypt wykonałem zgodnie z instrukcją, ale zamiast przywrócić pliki to się wykonał ponowny pełny skan combofix. Nie miało prawa się coś takiego stać. Była formuła Quit:: która miała zamknąć program. Może coś źle zrobiłeś, ale te pliki można też ręcznie przywrócić. skrypt do otl się nie wykonał - otl zawisł i musiałem zrestartować system. może w trybie awaryjnym go wykonać? Spróbuj w awaryjnym. programy antywirusowe (panda cloud) nadal się nie uruchamiają a system się zawiesza.. Programy, które się nie uruchamiają pewnie trzeba przeinstalować bo to wina tej infekcji. Według loga z ComboFix, któy pokazałeś narzędzie już nic infekcyjnego nie usunęło. Odnośnik do komentarza
zeber Opublikowano 28 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 no raczej trudno coś źle zrobić przy przeciąganiu jednej ikonki na druga za drugim razem tak samo bylo... ale to nie jest teraz najważniejsze... udało mi się wykonać skrypt w otl w trybie awaryjnyml. daję logi w zalaczniku. po tym wszystkim wysypał się firewall. przynajmniej takie komunikaty dostaję przy starcie. system się nadal wiesza w trybie normalnym (rzadko kiedy 5 minut mozna na nim popracowac). w trybie awaryjnym się nie wiesza. w podgladzie zdarzen jest cos o jakims chyba sterowniku usb... i skojarzylem to z tym ze jak skanowalem antizeroaccess to tam tez byl komunikat o błędzie przy pliku usbscan.sys może to ten plik (a w zasadzie jego brak) jest powodem wieszania się systemu? daję logi i printscreen z podgladu zdarzen. OTL.Txt 08282011_151206.txt Odnośnik do komentarza
Landuss Opublikowano 28 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2011 Na błąd z dziennika zdarzeń nie zwracaj uwagi. Ja też mam często taki błąd. Według logów infekcja została pomyślnie usunięta, ale proponuję jeszcze raz abyś sprawdził co mówi Webroot AntiZeroAccess oraz skan Kaspersky Virus Removal Tool Odnośnik do komentarza
zeber Opublikowano 29 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2011 Dzięki Landuss. Kasperski już nic nie znalazł. jednak system się wiesza non stop - nie sposób przepracować 15 minut na komputerze. wiesza się gdy podłączam pendrive. nawet w trybie awaryjnym się wiesza. więc zaczynam się zastanawiać czy może wieszanie się systemu nie wynikało z infekcji tylko z czegoś innego? Odnośnik do komentarza
Landuss Opublikowano 29 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2011 (edytowane) Jeśli nawet w trybie awaryjnym się wiesza, to kto wie czy to nie okoliczności sprzętowe. Możesz ewentualnie założyć temat w Hardware, oczywiście zgodnie z zasadami tamtego działu. Temat infekcji myślę, że można zakończyć, bo wygląda na pomyślnie usuniętą. Do wykonania poniższe czynności: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. Edytowane 28 Października 2011 przez picasso 30.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi