tweek Opublikowano 5 Stycznia 2012 Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 Witam, najprawdopodobniej na laptopie znajduje się ZeroAcces ( a właściwie Tata ma na swoim laptopie), google często przekierowywuje na strone 95.com. Proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2012 Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 Owszem, są ślady aktywności ZeroAccess (w postaci przekierowania w Winsock), plus tego ślady pobocznych trojanów i usunięty plik HOSTS systemu. Już pobrałeś ComboFix (stosowany tu do leczenia na systemie typu x64 tej infekcji w jej partii aktywnej = nie naprawia szkód wynikłych z tej infekcji): [2012/01/05 10:46:24 | 004,370,492 | ---- | C] (Swearware) -- C:\Users\beata\Desktop\ComboFix.exe I była próba jego uruchomienia. Objaśnij co się działo i czy istnieje na dysku log z tego podejścia z narzędziem. . Odnośnik do komentarza
tweek Opublikowano 5 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 hmm, może powinienem zacząć od tego że, tata dał laptopa mamy jakiemuś znajomemu magikowi żeby go naprawił, mnie nie było przez dłuższy czas w domu ( akademik), prawda pobrałem ComboFixa ale nie wykonywałem nim żadnych operacji jeszcze Odnośnik do komentarza
picasso Opublikowano 5 Stycznia 2012 Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 W tej sytuacji uruchom ComboFix ponownie i zaprezentuj bieżący raport z jego działania. Gdy narzędzie ukończy, stwórz także nowy log z OTL dla porównania. Odnośnik do komentarza
tweek Opublikowano 5 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 Logi ComboFix i OTL ComboFix.txt OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2012 Zgłoś Udostępnij Opublikowano 6 Stycznia 2012 (edytowane) ComboFix skasował konfigurację rootkita oraz obiekty infekcji towarzyszącej, ustało bezpośrednie działanie infekcji. Na widoku mamy rekonstrukcję poprawnej postaci Winsock, usunięcie szczątkowych wpisów startowych po infekcji oraz do rozwiązania ten oto problem z zależnościami nadrzędnymi dla zapory Windows: [ System Events ]Error - 1/5/2012 5:22:23 AM | Computer Name = Marcin-Acer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Sterownik uwierzytelniania Zapory systemuWindows z powodu następującego błędu: %%183 Error - 1/5/2012 5:22:23 AM | Computer Name = Marcin-Acer | Source = Service Control Manager | ID = 7001Description = Usługa Zapora systemu Windows zależy od usługi Sterownik uwierzytelnianiaZapory systemu Windows, której nie można uruchomić z powodu następującego błędu: %%183 Jest tu jednak notowana jakaś nieścisłość. OTL wyglądający na uruchomiony już po ComboFix przedstawia puste wpisy, które ComboFix oznaczył jako usunięte ..... Czy aby tu nie było sytuacji, że sam zablokowałeś zmiany w rejestrze np. jakiś program ochronny (typu Windows Defender) zgłaszał modyfikację, którą zbanowałeś? W związku z tym, że OTL zdaje się być nowszy, załączam w imporcie rejestru wpisy, które teoretycznie już były usuwane. Jeżeli cokolwiek zgłosi komunikat o modyfikacji rejestru, dopuść do zmian. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "tray_ico"=- "tray_ico1"=- "tray_ico2"=- "tray_ico3"=- "tray_ico4"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system. 3. Wykonaj nowy skan w OTL, ale na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /S /md5start mpsdrv.sys /md5stop Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy. . Edytowane 13 Lutego 2012 przez picasso 13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi