bpm Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Witam, system (Windows XP SP3) został przywrócony z konsoli odzywskiwania ponieważ rejestr był uszkodzony. Jednak po przeskanowaniu go GMER-em pokazuje infekcję. Wcześniej skanowany był tylko TDSSKiller oraz Malwarebytes, które nic nie wykryły. Infekcja jest na pewno, bo czyste pendrivy infekują się od razu. Wklejam obowiązkowe logi oraz proszę o porady. LOG GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Tak, jest tu rootkit w postaci dwóch ukrytych usług bazujących na tym samym module. Również widoczne mapowanie w MountPoints2 jako konsekwencja podpinania zainfekowanych nośników USB oraz odpadki adware. Napoczynamy elementy rootkit, reszta potem: 1. Uruchom Avenger, w oknie wklej: Drivers to delete: fsoum lkcuh Files to delete: C:\WINDOWS\system32\sbdae.dll Registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\fsoum HKLM\SYSTEM\ControlSet002\Services\lkcuh Klik w Execute i zatwierdź restart systemu. 2. Przedstaw log, który automatycznie utworzy Avenger przy usuwaniu + nowy log z GMER. . Odnośnik do komentarza
bpm Opublikowano 19 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Bardzo proszę, nowe logi. Pendrive już się nie infekuje, jednak nie działała opcja aby pokazać ukryte pliki i foldery. Dopiero po przestawieniu w rejestrze wartości ChckedValue z "0" na "1" w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL można było pokazać ukryte pliki. avenger.txt LOG GMER 2.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Możemy przejść do kolejnych czynności. 1. Otwórz Firefox i w menedżerze rozszerzeń odinstaluj gry Community Toolbar + My Web Search, zresetuj również stronę startową oraz wyszukiwarkę. 2. Przejdź do Dodaj / Usuń programy i usuń gry Toolbar. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1477:TCP"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Nastąpi restart. 4. Przedstawiasz: nowy log z OTL z opcji Skanuj (bez Extras) + AdwCleaner z opcji Search. . Odnośnik do komentarza
bpm Opublikowano 19 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Zrobione. Jednak Wykonaj skrypt udało się jedynie zrobić w trybie awaryjnym, bo w normalnym przez pół godziny żadnej reakcji, tylko informacja: Killing processes DO NOT INTERRUPT. Wklejam nowy log z OTL i ADWCleaner Nowy OTL.Txt AdwCleanerR1.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 1. Uruchom AdwCleaner z opcji Delete. 2. Przedstaw nowy log z AdwCleaner z opcji Search. Odnośnik do komentarza
bpm Opublikowano 19 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Bardzo proszę. AdwCleanerR2.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Czynności końcowe: 1. Zapomniałam o wartości NetSvcs. Start > Uruchom > regedit, wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost Dwuklik na netsvcs i z listy tam widzianej usuń delikwentów fsoum + lkcuh (oczywiście innych wpisów nie ruszasz). 2. W OTL uruchom Sprzątanie, co zlikwiduje z dysku majdan OTL i Avenger. W AdwCleaner zastosuj Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj aktualizacje: KLIK. Na Twojej liście zainstalowanych notuję: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 18"{922E8525-AC7E-4294-ACAA-43712D4423C0}" = Adobe Flash Player 10 ActiveX"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Dla jasności: przestarzały Adobe Flash to ten od Internet Explorer (wersja ActiveX). . Odnośnik do komentarza
bpm Opublikowano 20 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Gotowe, właśnie system się "łata". Czy po wszystkim dać jeszcze jakiś log? Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Czy po wszystkim dać jeszcze jakiś log? Przecież nie proszę o żadne logi, a podanie opcji "Sprzątanie" (usuwa z dysku OTL) jest jednoznaczne. Odnośnik do komentarza
bpm Opublikowano 20 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Ok, ja pytam tylko grzecznie. Jeżeli tak, to serdecznie dziękuję za pomoc, temat wydaje mnie się jest do zamknięcia Odnośnik do komentarza
Rekomendowane odpowiedzi