Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wolno działający internet (trojan)

kwiatek

Przez kwiatek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Użycie ComboFix było tutaj wskazane choć oczywiście samodzielnie na start tego robić nie powinieneś. System jest porządnie zainfekowany i jest tu też infekcja rootkitem ZeroAccess a co za tym idzie zaprawiony sterownik:

 

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[7] 2009-04-11 . 76B06EB8A01FC8624D699E7045303E54 . 72192 . . [6.0.6002.18005] . . c:\windows\SoftwareDistribution\Download\3bd8fe73c6fda64a95e9e60ac46184d4\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6002.18005_none_ec294157d9377403\tdx.sys

[-] 2008-04-25 08:24 . F4057208CD7C11A09F038EF4644656A2 . 71680 . . [------] . . c:\windows\System32\drivers\tdx.sys

[-] 2008-04-25 08:24 . F4057208CD7C11A09F038EF4644656A2 . 71680 . . [------] . . c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6001.18000_none_ea3dc84bdc15a8b7\tdx.sys

[7] 2006-11-02 . AB4FDE8AF4A0270A46A001C08CBCE1C2 . 68096 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6000.16386_none_e807064fdf2a97e3\tdx.sys

 

Program usunął sporą część infekcji natomiast moim zdaniem pomylił się usuwając cały folder c:\users\xxx\spkpod, który wygląda na pochodną programu p2p Ares, którego widać w logach. To się później przywróci.

 

1. Uruchom narzędzie Kaspersky TDSSKiller i wykonaj nim skan. Powinien wykryć infekcję ZeroAccess na sterowniku tdx.sys i dla tego wyniku przydziel akcję Cure (leczenie). Zachowaj raport z programu.

 

2. Wklej do notatnika taki tekst:

 

File::
c:\users\xxx\*.exe
c:\users\xxx\*.com
c:\program files\wintask.exe
c:\windows\system32\2dKlYdI.exe
c:\windows\system32\2dKlYdI.exe_
 
ATJob::
 
Folder::
c:\windows\$NtUninstallKB20909$
c:\users\xxx\AppData\Local\c30592a8
c:\users\xxx\AppData\Roaming\3AEDD
c:\users\xxx\AppData\Roaming\DD172
c:\users\xxx\AppData\Roaming\Microsoft\3F43
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wintask"=-
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"Load"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

cfscript.gif

 

3. Wklejasz nowy log z ComboFix, raport z Kasperskyego oraz logi z OTL + Gmer

Edytowane przez picasso
13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...