Rootkit ZeroAccess, bezmyślne użycie Combofix, brak internetu

[swienty77]

Witam!

Krótko opiszę problem: w komputerze zaczęły się problemy z połączeniem internetowym. Kolega "informatyk" zalecił Combofix, bo zawsze mu wykrywa i usuwa wirusy. Ja oczywiście posłusznie uruchomiłem cfix i wykrył rootkit zeroaccess, pousuwał coś i przestał działać internet. Oczywiście nie umiałem naprawić, ale że to mój komputer domowy z nieważnymi programami więc windows na nowo i działa. Pech chciał, że nie patrząc na konsekwencje w swoim komputerze, uruchomiłem combofix na komputerze żony.

Też zeroaccess i oczywiście zgodnie z nazwą robaka do internetu nie mam dostępu.

Uruchomiłem kolejny raz combofix mając nadzieję, że coś to zmieni. Zmieniło... żona zdenerwowana, dużo zadań do wykonania i programów do odtworzenia - rozwód w drodze .

W końcu pomyślałem i przeczytałem instrukcję użycia programu combofix i znalazłem Was.

 

Oczywiście wszelkie uruchomienia combofixa robiłem z włączonym emulatorem napędów CD...

Prosze o pomoc. Być może już musztarda po obiedzie, ale muszę wszystkiego spróbować.

 

Logi załączam. Okazało się że więcej razy imałem się combofixa

 

Dziś jeszcze zapuściłem OTL. Logi też dołączam

--

Pozdrawiam, swienty77

ComboFix2.txt

ComboFix3.txt

Extras.Txt

OTL.Txt

[picasso]

Posty sklejam do oczekiwanej formy. Na temat logów:

 

- Zostawiam tylko log z ComboFix numerowany jako 2 oraz 3 = tylko te są istotne, gdyż pokazują w sekwencji co było usuwane i jak ComboFix rozprawiał się z Sirefef/ZeroAccess. Reszta to bezużyteczne dane, a plik numer 5 to w ogóle nie do tego tematu (to zbiorczy log z 2009-2010!). Jedno jest wiadome = nigdy nie odinstalowałeś narzędzia w prawidłowy sposób .....

 

- Zabrakło loga z GMER, a system nie przygotowany do jego uruchomienia:

 

Oczywiście wszelkie uruchomienia combofixa robiłem z włączonym emulatorem napędów CD...

 

Istotnie, a DAEMON Tools i jego sterownik muszą być usunięte przed podejściem z GMER (KLIK):

 

DRV - [2010-08-25 20:39:57 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

 

Pech chciał, że nie patrząc na konsekwencje w swoim komputerze, uruchomiłem combofix na komputerze żony.

Też zeroaccess i oczywiście zgodnie z nazwą robaka do internetu nie mam dostępu.

Uruchomiłem kolejny raz combofix mając nadzieję, że coś to zmieni. Zmieniło... żona zdenerwowana, dużo zadań do wykonania i programów do odtworzenia - rozwód w drodze

 

To nie jest wina ComboFix per se, to są skutki infekcji, infekcja jest nie byle jaka i atakuje sterowniki systemowe, a przy próbach manipulacji na obiektach infekcji może się roznosić na coraz to inne sterowniki. A oto przypuszczalna przyczyna dla braku sieci, sterownik systemowy IPSEC jest naruszony, co widać po braku sygnatury Microsoft:

 

DRV - [2008-04-13 20:19:42 | 000,075,264 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ipsec.sys -- (IPSec)

 

Poza tym, ComboFix zrobił ile zdołał, ale musiał reagować m.in. na zainfekowane pliki, a że nie było czystej kopii w systemie, zostały usunięte. Konkretnie tu od oprogramowania Atheros Wireless oraz Lexmark i to będziesz musiał reinstalować:

 

c:\windows\system32\acs.exe . . . jest zainfekowany!!
c:\windows\system32\acs.exe . . . was deleted!! You should re-install the program it pertains to
.
c:\windows\system32\LEXBCES.EXE . . . jest zainfekowany!!
c:\windows\system32\LEXBCES.EXE . . . was deleted!! You should re-install the program it pertains to

 

Nie zdołał także skasować tego folderu rootkita:

 

c:\windows\$NtUninstallKB46700$ . . . . nie udało się usunąć

 

 

---

Zabierzmy się za korektę tego co widzę.

 

1. Czysty plik IPSEC wyekstraktowany z pakietu SP3 dla XP: KLIK. Plik ułóż w tymczasowo utworzonym folderze C:\Tmp, gdyż taka ścieżka zostanie użyta.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB46700$
C:\WINDOWS\$NtUninstallKB46700$\3430974739

 

Zastosuj opcję Unlock.

 

3. Uruchom OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes

killallprocesses
 
:Files
C:\WINDOWS\system32\dllcache\ipsec.sys|C:\Tmp\ipsec.sys /replace
C:\WINDOWS\system32\drivers\ipsec.sys|C:\Tmp\ipsec.sys /replace
C:\WINDOWS\$NtUninstallKB46700$
C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\cc808513
 
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

 

Rozpocznij proces przyciskiem Wykonaj skrypt. System zostanie zresetowany i powinien się automatycznie otworzyć log z wynikami usuwania.

 

4. Przeinstaluj oprogramowanie, które wyliczyłam jako poszkodowane.

 

5. Zrób nowy log z OTL opcją Skanuj (Extras już nie potrzebuję), zaległy GMER oraz log z Kaspersky TDSSKiller (jeśli cokolwiek wykryje, nie reaguj przyznając wynikom Skip). Dołącz także log pozyskany z procesu skryptowego w punkcie 3.

 

 

 

.

[swienty77]

Istotnie, a DAEMON Tools i jego sterownik muszą być usunięte przed podejściem z GMER (KLIK):

 

DRV - [2010-08-25 20:39:57 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

usunięte

 

 

1. Czysty plik IPSEC wyekstraktowany z pakietu SP3 dla XP: KLIK. Plik ułóż w tymczasowo utworzonym folderze C:\Tmp, gdyż taka ścieżka zostanie użyta.

2. Uruchom GrantPerms i w oknie wklej:

C:\WINDOWS\$NtUninstallKB46700$
C:\WINDOWS\$NtUninstallKB46700$\3430974739

Zastosuj opcję Unlock.

Zrobione

3. Uruchom OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

Rozpocznij proces przyciskiem Wykonaj skrypt. System zostanie zresetowany i powinien się automatycznie otworzyć log z wynikami usuwania.

zadziałało

 

4. Przeinstaluj oprogramowanie, które wyliczyłam jako poszkodowane.

Drukarkę Lexmark usunąłem całkiem, sterownik sieci przeinstalowałem

5. Zrób nowy log z OTL opcją Skanuj (Extras już nie potrzebuję), zaległy GMER oraz log z Kaspersky TDSSKiller (jeśli cokolwiek wykryje, nie reaguj przyznając wynikom Skip). Dołącz także log pozyskany z procesu skryptowego w punkcie 3.

OTL uruchamia się. Po kliknięciu skanuj okienko znika i koniec dzialań.

GMER nie uruchamia się również - okienko wyskakuje i znika.

TDSSKiller wykrył infekcje

 

załączam logi które udało się uzyskać

 

Doczytałem później: GMERam w trybie awaryjnym, jak się skończy spróbuję RootRepeal

11132011_143303.txt

TDSSKiller.2.6.18.0_13.11.2011_15.15.26_log.txt

Edytowane 13 Listopada 2011 przez swienty77

[picasso]

Rootkit nadal czynny. Przypuszczałam to, bo w ComboFix "brakowało" całości rootkita ZeroAccess (żadnej detekcji zainfekowanych sterowników).

 

1. Uruchom TDSSKiller i tym razem dla wyniku Rootkit.Win32.ZAccess.e przyznaj akcję Cure, zaś dla wyniku Rootkit.Win32.PMax.gen akcję Delete. Zresetuj system. Po restarcie ponownie uruchom Kasperskiego i jeśli nic nie wykryje:

 

2. Uruchom ComboFix. Przedstaw z niego raport.

 

 

 

.

[swienty77]

1. Uruchom TDSSKiller i tym razem dla wyniku Rootkit.Win32.ZAccess.e przyznaj akcję Cure, zaś dla wyniku Rootkit.Win32.PMax.gen akcję Delete. Zresetuj system. Po restarcie ponownie uruchom Kasperskiego i jeśli nic nie wykryje:

 

Wynik skanowania trzy razy pod rząd identyczny. Po resecie znów te same pozycje czyli tak jakby nie leczył i nie usuwał.

 

edytowane po dłuższej chwili

uruchomiłem antizeroaccess - powiedział że sobie poradził

TDSSkiller - nie wykrył zagrożenia

combofix wykrył i walczy

 

--

Pozdrawiam, Swienty

TDSSKiller.2.6.18.0_13.11.2011_20.02.10_log.txt

TDSSKiller.2.6.18.0_13.11.2011_20.04.41_log.txt

AntiZeroAccess_Log.txt

[picasso]

EDIT: Pisałam nie widząc edycji. Uruchom ComboFix ponownie i przedstaw raport.

[swienty77]

W załączeniu raport z combofix

ComboFix.txt

[picasso]

ComboFix dokasował obiekty po rootkicie, którymi nie zajął się Webroot. Wykonaj:

 

1. Deinstalacja ComboFix, czyszcząca także foldery Przywracania systemu. W Start > Uruchom > wklej polecenie:

 

"C:\Documents and settings\Marta\Pulpit\ComboFix.exe" /uninstall

 

2. W OTL uruchom Sprzątanie, co usunie z dysku OTL wraz z jego kwarantanną.

 

3. Wykonaj skan za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do przetwarzania. Jeśli zostaną wykryte zagrożenia, przeklej je. Nie pokazuj wyników typu OK/Archive/Packed/Password Protected.

 

 

 

.

[swienty77]

Witam!

Zrobię wszystkie zalecenia jak tylko wrócę do rzeczonego komputera po południu.

Dziekuję za dotychczasową pomoc.

--

Pozdrawiam, Mariusz

 

EDIT:

Kaspersky usunął 3 "zwykłe" zagrożenia(których , ale ponieważ skanował całą noc rano nie zdążyłem zainstalować żadnego antywirusa. Żona zniecierpliwiona zabrała komputer do pracy i zaczęła go używać - BEZ ANTYWIRUSA - przez godzinę wszystko było dobrze. Potem oczywiście zaczęły się zagnieżdżać różne trojany, i m.in. znów zeroaccess.

Zabity został jak poprzednio Antizeroaccess'em i z resztą poradził sobie Kaspersky VRT. Aktualnie piszę z tego komputera, więc internet jest, komputer działa.

Poczytam dokładnie forum i posprzątam i mam nadzieje, że nie będę musiał nikogo angażować do prostych rzeczy

--

Pozdrawiam raz jeszcze

Edytowane 16 Listopada 2011 przez swienty77

[picasso]

Potem oczywiście zaczęły się zagnieżdżać różne trojany, i m.in. znów zeroaccess.

Zabity został jak poprzednio Antizeroaccess'em i z resztą poradził sobie Kaspersky VRT. Aktualnie piszę z tego komputera, więc internet jest, komputer działa.

Poczytam dokładnie forum i posprzątam i mam nadzieje, że nie będę musiał nikogo angażować do prostych rzeczy

 

To zmienia postać rzeczy, należy przedstawić wszystkie logi zrobione na nowo. I wątpię, że Webroot AntiZeroAccess usunął wszystko, gdyż on wcale nie usuwa reparse point od ZeroAccess oraz niektórych plików dodatkowych (te obiekty dedykuje z kolei ComboFix).

 

 

.

[swienty77]

Witam!

Oczywiście, że kiepsko poszło Internet się sporadycznie "wstrzymuje", choć na drugim czystym komputerze bez problemów te same witryny. dr.Web na który mają licencje zainstalował się i potem nie daje się odinstalować ani usunąć. Przy deinstalacji programów co druga się zawiesza.

Odinstaluję co się da, zrobię obowiązkowe raporty i poproszę o pomoc bo cienki jestem jak żyletka. Na nowo instalować Windę każdy potrafi, ale to co tu robicie to majstersztyk.

Oczywiście w weekend bede próbował to robić, bo komputer oczywiscie potrzebny (na szczęście wymusiłem bez internetu)

--

Pozdrawiam

[swienty77]

EDIT: jestem ślepy i nie zauważyłem opcji: DO GÓRY!

Proszę admina o połączenie postÓw.

 

 

Witam!

Podnoszę do góry temat, bo minął tydzień i spadł stronę dalej, a nie wiem czy edycja byłaby zauważalna.

 

pokrÓtce: po całych akcjach internet działał, lecz strony wchodziły strasznie wolno lub co druga nie. Postanowiłem przeskanować dysk poza systemem. Użyłem Kaspersky Rescue Disc. Załączam raport

Następnie włączyłem i wyłączyłem przywracanie systemu.

Odinstalowałem, przeglądarki i inne oprogramowanie i wykonałem rapotry OTL i Gmer.

Przeglądarka internetu zaczęła działać normalnie.

Gmer niestety tak długo działał, że musiałem go przerwać po 5 czy 6 godzinach. To co wygenerował załączam.

Dodatkowo po starcie pojawia się skutek usunięcia wirusa z pierwszego nierejestrowanego podejścia.

Pojawia się okno, że nie może się uruchomić:

 

C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe

 

Pliku nie ma, ale nie umiem znaleźć gdzie on się próbuje uruchamiać (msconfig nie pomógł).

Druga sprawa, to niemożność odinstalowania - wyłączenia Dr.Web, którego po drodze w pracy żony zainstalowano. Instalacja na niego nie daje żadnej poprawy - zawiesza się w trakcie lub wypisuje, że nie ma dostępu do foldera.

Proszę o pomoc.

OTL.Txt

Extras.Txt

gmer_log.txt

kav_cd_raport.txt

[picasso]

Podnoszę do góry temat, bo minął tydzień i spadł stronę dalej, a nie wiem czy edycja byłaby zauważalna.

 

Ja sprawdzałam Twój temat regularnie, czy nie pojawia się obiecywana edycja. Pamiętam co mam w dziale.

 

Postanowiłem przeskanować dysk poza systemem. Użyłem Kaspersky Rescue Disc. Załączam raport

 

Większość wyników mało istotna: kwarantanna CIS, foldery Przywracania systemu, cache Opera i Java.

 

Dodatkowo po starcie pojawia się skutek usunięcia wirusa z pierwszego nierejestrowanego podejścia.

 

Pojawia się okno, że nie może się uruchomić: C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe

 

Pliku nie ma, ale nie umiem znaleźć gdzie on się próbuje uruchamiać (msconfig nie pomógł).

 

Z tego co się zorientowałam, to jest część Rescue and Recovery i działanie sprzęga się z tych schedulerem, tzn. to pod płaszczem tego procesu się to uruchamia (proces w karcie Usługi w msconfig):

 

SRV - [2011-11-07 10:59:58 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe -- (TVT Scheduler)

 

Tej usługi raczej wyłączyć nie można, odpowiada za planowanie kopii zapasowych. Tak więc, skoro po leczeniu jest błąd, przeinstaluj ten soft, by zapewnić poprawne działanie.

 

 

Druga sprawa, to niemożność odinstalowania - wyłączenia Dr.Web, którego po drodze w pracy żony zainstalowano. Instalacja na niego nie daje żadnej poprawy - zawiesza się w trakcie lub wypisuje, że nie ma dostępu do foldera.

 

Zapewne ZeroAccess zresetował uprawnienia aplikacji.

 

 

---

A co w logach ... są nadal ślady ZeroAccess. Już to znasz, czyli reparse point widoczny w GMER:

 

---- Files - GMER 1.0.15 ----
 
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739																																						 0 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\@																																					   2048 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\L																																					   0 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\L\egjdenag																																			  58880 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\loader.tlb																																			  2632 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U																																					   0 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@00000001																																			 45968 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@000000c0																																			 3072 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@000000cb																																			 3072 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@000000cf																																			 1536 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@80000000																																			 23040 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@800000c0																																			 35840 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@800000cb																																			 23040 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\3430974739\U\@800000cf																																			 29184 bytes
File			C:\WINDOWS\$NtUninstallKB46700$\912627064																																						  0 bytes

 

Również przekierowany Winsock:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found

 

Ponadto plik o problematycznej nazwie i alfanumeryczny folder.

 

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB46700$

 

Zastosuj opcję Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

netsh winsock reset /C
netsh firewall reset /C
fsutil reparsepoint delete C:\Windows\$NtUninstallKB46700$ /C
C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\cc808513
C:\Windows\$NtUninstallKB46700$
del "\\?\C:\WINDOWS\System32\ " /C
rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (LexBceS)
SRV - File not found [On_Demand | Stopped] --  -- (ACS)
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Reperacje oprogramowania: Skorzystaj z firmowego usuwacza Dr. Web removal utility. Przeinstaluj Rescue and Recovery. Przy okazji, odinstaluj sobie jeszcze zbędny Akamai NetSession Interface.

 

4. Do oceny przedstaw: log z wynikami usuwania pozyskany w punkcie 2 oraz nowy log z OTL z opcji Skanuj (bez Extras) zrobiony po wszystkim.

 

 

 

 

.

[swienty77]

Witam!

Znów działa

Przesyłam logi. Po OTL zainstalowałem Dr.web'a

Pozdrawiam

OTL.Txt

11272011_200709.txt

[picasso]

1. To rozlinkowanie wygląda na wykonane:

 

C:\Documents and Settings\Marta\Pulpit\fixit\cmd.bat deleted successfully.
C:\Documents and Settings\Marta\Pulpit\fixit\cmd.txt deleted successfully.

 

Ale tu już usuwanie pozorowane:

 

C:\Windows\$NtUninstallKB46700$\3430974739\U folder moved successfully.
C:\Windows\$NtUninstallKB46700$\3430974739\L folder moved successfully.
C:\Windows\$NtUninstallKB46700$\3430974739 folder moved successfully.
Folder move failed. C:\Windows\$NtUninstallKB46700$ scheduled to be moved on reboot.

 

Ten aspekt infekcji ZeroAccess jest Ci znajomy. Potwierdź sobie, że fsutil rzeczywiście zadziałał i C:\Windows\$NtUninstallKB46700$ nie jest już linkiem (mówiliśmy o tym), następnie przepuść tę ścieżkę ponownie w GrantPerms i spróbuj folder ręcznie skasować.

 

2. Jeszcze widzę w systemie działające sterowniki mini skanera Kaspersky (on jest odinstalowany?), są foldery odpadkowe po Comodo oraz szczątek po właśnie wykonanej deinstalacji Akamai. Możesz puszczać kolejny skrypt do OTL o zawartości:

 

:OTL
DRV - [2011-11-14 13:56:16 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\65116954.sys -- (65116954)
DRV - [2011-11-14 13:56:16 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\39755060.sys -- (39755060)
DRV - [2011-11-14 13:56:16 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\07231497.sys -- (07231497)
O4 - HKU\S-1-5-21-220993969-3265632603-3924391503-1005..\Run: [Akamai NetSession Interface] C:\Documents and Settings\Marta\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe File not found
[2011-11-27 10:03:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Comodo
[2011-11-16 06:30:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Comodo Downloader

 

 

Po OTL zainstalowałem Dr.web'a

 

W momencie robienia logów, gdy to widzę, że Dr. Web removal niewątpliwie przeleciał, resztówkami były te foldery:

 

[2011-11-15 14:25:46 | 000,000,000 | -HSD | C] -- C:\DrWeb Quarantine
[2011-11-15 14:16:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marta\Doctor Web
[2011-11-15 14:15:41 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Doctor Web
[2011-11-15 14:15:06 | 000,000,000 | ---D | C] -- C:\Program Files\DrWeb

 

Dr. Web już przeinstalowałeś, toteż ich likwidacja już nie ma zastosowania.

 

 

 

 

.

[swienty77]

Witam!

Folder C:\Windows\$NtUninstallKB46700$ usunięty.

OTL jest zabijany przez DR.web i identyfikowany jako Trojan.Siggen3.20406

Po jego wyłączeniu (dr.weba) uruchomiłem skrypt. Wyniki załączam.

pojawiły się dwa blędy:

Error: Unable to stop service ...

Czy to przeszkadza czy po prostu już nie ma tych usług uruchomionych i stąd błąd?

Pozdrawiam

11282011_130435.txt

[picasso]

OTL jest zabijany przez DR.web i identyfikowany jako Trojan.Siggen3.20406

 

Znany fałszywy alarm. Wszystkie produkty Dr. Web flagują w taki sposób OTL. I tu po prostu należy sobie radzić przez wykluczenia.

 

 

pojawiły się dwa blędy:

Error: Unable to stop service ...

Czy to przeszkadza czy po prostu już nie ma tych usług uruchomionych i stąd błąd?

 

Error: Unable to stop service 65116954!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\65116954 deleted successfully.
C:\WINDOWS\system32\drivers\65116954.sys moved successfully.

 

To raczej niemożność zakończenia procesu usługi przez narzędzie (Kaspersky jednak pracuje na wyższym poziomie niż OTL). Niemniej klucz usługi oraz powiązany plik zostały skasowane.

 

 

Na koniec:

 

1. Użyj Sprzątanie w OTL.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wymień hasła logowania w serwisach.

 

4. Zaktualizuj Internet Explorer do wersji 8. Zakładam, że wszystkie łatki do Windows i Office są na bieżąco instalowane.

 

 

 

 

 

.

[swienty77]

Witam!

Wykonano. Komputer ma się dobrze, jak na razie wszystko działa. Dziękuję!