Skocz do zawartości

ZeroAccess consrv.dll i coś jeszcze bałagani mi :)


Rekomendowane odpowiedzi

Nie wiem jak to złapałem ale dobra.

 

Avast wykrywa consrv.dll jakiegoś ZeroAcces. (Po wywaleniu całego innego syfu który on mi znalazł zostało ponoć tylko to ale kto by mu wierzył) Co chwila mi to wyskakuje.

 

Co sprawdzić by kompletnie prześwietlić system i wszystko wyplenić ?

 

OTL

http://wklej.org/id/676148/

http://wklej.org/hash/0172be9552e/

 

Pozdrawiam prosiłbym o pomoc !

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie jest to prosta infekcja, a omawianego pliku nie wolno usuwać bez dostosowania rejestru, w przeciwnym wypadku system przestanie startować.

 

1. Pobierz narzędzie FRST x64 i umieść je na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: Sus2pl
2 Sus2pl; C:\Windows\System32\TdmService.dll [5120 2009-07-13] (Iomega)
C:\Windows\System32\TdmService.dll
C:\Windows\System32\consrv.dll
C:\Windows\assembly\tmp\U
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\Kotus\AppData\Local\8b0581b4
C:\Windows\System32\%APPDATA%

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

5. Zrób nowe logi z OTL + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt.

 

 

 

.

Odnośnik do komentarza

C:\Users\Kotus\AppData\Local\8b0581b4 not found. (Ręcznie z Windowsa wcześniej wywaliłem po 1 OTL)

 

Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 17-01-2012 00

Ran by SYSTEM at 2012-01-23 21:46:54 R:1

Running from M:\

 

==============================================

 

HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\SubSystems\\Windows Value was restored.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs Sus2pl Deleted successfully.

Sus2pl service deleted successfully.

C:\Windows\System32\TdmService.dll moved successfully.

C:\Windows\System32\consrv.dll not found.

C:\Windows\assembly\tmp\U moved successfully.

C:\Windows\assembly\GAC_64\desktop.ini not found.

C:\Windows\assembly\GAC_32\desktop.ini not found.

C:\Users\Kotus\AppData\Local\8b0581b4 not found.

C:\Windows\System32\%APPDATA% moved successfully.

 

==== End of Fixlog ====

Extras.Txt

OTL.Txt

Odnośnik do komentarza

Zadanie z usuwaniem częściowo wykonane. Proszę zapakuj katalog C:\FRST do ZIP i wyślij mi na PW link. Natomiast nie wygląda na to, że wykonałeś to:

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

Proszę wykonaj tę komendę (musi być przez Uruchom jako Administrator) i dostarcz nowy log z OTL zrobiony opcją Skanuj (Extras po raz drugi już nie potrzebuję). Nie dodałeś raportu z Farbar Service Scanner.

 

 

.

Odnośnik do komentarza

Podsumowując: wykonanie skryptu pomyślne + reset Winsock pomyślny. Bezpośrednie działanie infekcji ZeroAccess zdjęte. Jednakże są szkody po infekcji, wg skanera Farbar z Windows zostały kompletnie skasowane usługi: Centrum zabezpieczeń + Zapora systemu Windows + Podstawowy aparat filtrowania. Należy usługi odtworzyć:

 

1. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.

 

2. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK.

 

3. Zresetuj system. Zrób nowy log za pomocą Farbar Service Scanner.

 

Gdy pozytywnie ocenię wyniki, przejdziemy do czyszczenia innych śmieci w systemie (adware).

 

 

 

.

Odnośnik do komentarza

Coś jest nie tak. Usługi jakoby odtworzone, ale nie są uruchomione:

 

Windows Firewall:

=============

MpsSvc Service is not running. Checking service configuration:

The start type of MpsSvc service is OK.

The ImagePath of MpsSvc service is OK.

The ServiceDll of MpsSvc service is OK.

 

bfe Service is not running. Checking service configuration:

The start type of bfe service is OK.

The ImagePath of bfe service is OK.

The ServiceDll of bfe service is OK.

 

mpsdrv Service is not running. Checking service configuration:

The start type of mpsdrv service is OK.

The ImagePath of mpsdrv service is OK.

 

Security Center:

============

wscsvc Service is not running. Checking service configuration:

The start type of wscsvc service is OK.

The ImagePath of wscsvc service is OK.

The ServiceDll of wscsvc service is OK.

 

Proszę wykonaj jeszcze raz wszystkie kroki odtwarzania Zapory systemu Windows: KLIK. Po ukończeniu zadania zresetuj system i podaj nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza

Z zaporą już wszystko jawi się w porządku. Natomiast nie są uruchomione usługi: Centrum zabezpieczeń, Windows Update. Czy to celowe działania z Twojej strony? Kolejny etap to porządki z zakresu adware.

 

1. Przejdź do Panelu sterowania i odinstaluj śmiecia StartNow Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
 
:OTL 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111113&user_guid=BF7983D9FC274870818CE0C2AB2B82A3&machine_id=65dfb853c985562975abc48735eb6f70&browser=FF&os=win&os_version=6.1-x64-SP0&q="
 
:Files
C:\Users\Kotus\AppData\Roaming\Mozilla\Firefox\Profiles\hgko4tum.default\searchplugins\search.xml
C:\Users\Kotus\AppData\Roaming\Mozilla\Firefox\Profiles\hgko4tum.default\searchplugins\yahoo-zugo.xml
rd /s /q C:\FRST /C
 
:Commands
[resethosts]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Prezentujesz nowy log z OTL zrobiony opcją Skanuj (bez Extras) oraz log z wynikami usuwania.

 

 

 

.

Odnośnik do komentarza

Marcelix3 źle odczytałeś moją wypowiedź. Nie kazałam powtarzać żadnego skryptu, to są skrypty jednorazowego użytku i ponowienie ich bezsensowne (próbują usuwać coś co już zlikwidowało pierwsze podejście). Aktualnie miałeś tylko odinstalować tego śmiecia + zrobić nowy log opcją Skanuj. Co widzę teraz? Nowego śmiecia, czyli DealBulldog Toolbar, a z wykazu wygląda, że zainstalował się wraz z HyperCam 2. Nie wykazujesz żadnej uwagi przy instalacji, te śmieci sponsoringowe typu paski / wyszukiwarki należy bezwzględnie odznaczać, by nie dopuścić do zanieczyszczeń systemu.

 

 

1. Odinstaluj DealBulldog Toolbar. Przeczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

2. Posprzątaj po używanych narzędziach: przez SHIFT+DEL skasuj katalog C:\FRST, następnie użyj Sprzątanie w OTL. SetACL z katalogu Windows także usuń, już do niczego nie jest potrzebne.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Wykonaj dla pewności skan za pomocą Kaspersky Virus Removal Tool. Przedstaw rezultaty.

 

 

 

.

Edytowane przez picasso
29.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...