infekcja przez IE

[andrew2001]

Witam

 

od 2 dni borykam się z infekcją na komputerze (XP Prof 32 bit zainstalowany F-secure Client Security), prawdopodobnie zaciągnięta z internetu i to z witryny onet,wp, czy społecznościowych, nie było żadnych downloadów, media typu pendrive też nie były używane.

infekcja nastąpiła 12 grudnia , następnego dnia komputer pracował "opornie" a zamykanie systemu nie powiodło się. następnego dnia twardy reset i nie pozwała się zalogować.

 

Uruchomiony na poświadczeniach administrator odnalazłem foldery infekcji w "%userprofile%\Ustawienia lokalne\Dane aplikacji" folder ukryty zaczynający się na "1apcs....." , usunąłem ale po około 2 minutach zamrożenie pracy i znowu tylko twardy reset. kolejne wejścia na poświadczeniach administratora przechodzą ale przy odwołaniu się do sieci brak reakcji - tak jakby LAN odcinało, próba podłączenia się z innego komputera, pozwala tylko na dojście do root'a a kolejne foldery to zawiecha

 

próby skanowania zainstalowanym f-securem przerywane i "zamrażane" pierwsza instalacja MalwareBytes' Anti-Malware nieudana. po zastosowaniu Rkill system odzyskał wigor, pozwolił zainstalować MalwareBytes' Anti-Malware, ale wynik skanowania=0, OTL zapuszczony (raporty w załączniku), GMER mimo parokrotnych prób skanowania zawsze kończy się resetem, zatem nie mogę przedstawić raportu.

 

po ponownym uruchomieniu i zastosowanie Rkill'a pozwala na swobodną pracę , odblokowuje LAN.

 

zapuściłem jeszcze FixIEDef (infekcja przeszła przez IE) i HelpAsst Mebroot Fix (MalwareBytes' Anti-Malware nic nie wykrywa a ponowne uruchomienie uaktywnia infekcje zatem może coś jest mbr)

 

 

pzd

OTL.Txt

Extras.Txt

rkill log.txt

[picasso]

Zrzuty ekranu z F-Secure nic nie mówią, przeklej raport tekstowy, który ma wykazać precyzyjnie w czym F-Secure znajdował infekcje (konkretne ścieżki dostępu). RKill nie zabijał procesów malware (wg listy: systemowy userinit oraz Adobe Reader). W logach w ogóle nie widać opisywanego efektu i śladów infekcji, z tym że:

 

 

Uruchomiony na poświadczeniach administrator odnalazłem foldery infekcji w "%userprofile%\Ustawienia lokalne\Dane aplikacji" folder ukryty zaczynający się na "1apcs....." (...)

 

Log z OTL jest zrobiony z poziomu serwisowego konta Administrator. Z opisu wynika, że się przełączyłeś na to konto. Logi z OTL muszą być zrobione z poziomu konta na którym wystąpił problem, przecież rejestry użytkowników są zupełnie inne. Z przesłanek wynika, że infekcja uruchamia się w oparciu o wpisy użytkownika, nie globalne systemu, toteż nie będzie to widoczne na logach z innego konta.

 

 

GMER mimo parokrotnych prób skanowania zawsze kończy się resetem, zatem nie mogę przedstawić raportu

 

Na wszelki wypadek sprawdź system za pomocą Kaspersky TDSSKiller. Jeśli nic nie wykryje, raportu nie dostarczaj. Jeśli coś wykryje, przyznaj akcję Skip i podaj log.

 

 

 

 

.

[andrew2001]

Konto użytkownika z infekcją nie uruchamia się dlatego log OTL'a był z konta serwisowego administratora.

Na chwilę obecną praca w trybie normalnym na koncie serwisowym też nie jest możliwa, co prawda da się zalogować ale potem "zamrożenie" - udało mi się uruchomić system w trybie awaryjnym na poświadczeniach administratora i załączam log z Kasperky TDSSKiller.

 

Dodaję jeszcze log z F-Secure

TDSSKiller.2.6.23.0_16.12.2011_07.46.58_log.txt

removal log.txt

[picasso]

Oceniając log z F-Secure, element 1cf6efbe pochodzi od rootkita ZeroAcccess. Wykryte przez skaner obiekty są dziwnie drobne, w OTL nie była notowalna żadna manipulacja charakterystyczna dla tej infekcji, TDSSKiller także nie mówi tu dużo. System się jednak wiesza, a to wskazuje, że ingerencja gdzieś jednak jest.

 

Spróbuj z poziomu Trybu awaryjnego uruchomić ComboFix.

 

 

 

 

.

[andrew2001]

Dziękuję wszystkim którzy włączyli się w próbę ratowania zgłoszonego, zarażonego systemu.

Ponieważ czas nagli a zastosowanie ComboFix może przynieść kolejne perturbację, postanowiłem postawić system na nowo.

 

pzd