Backdoor.Win32.ZAccess.aug

[RufleX]

Witam, najprawdopodobniej to siedzi na moim kompie właśnie ściągam OTL'a poniżej daję Logi Aviry, przy następnej edycji pojawi się log z OTL'a.

 

 

 

Avira Free Antivirus

Report file date: 23 lutego 2012 11:33

 

Scanning for 3492928 virus strains and unwanted programs.

 

The program is running as an unrestricted full version.

Online services are available:

 

Licensee : Avira AntiVir Personal - Free Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows 7 x64

Windows version : (plain) [6.1.7600]

Boot mode : Normally booted

Username : RufleX

Computer name : RUFLEX-KOMPUTER

 

Version information:

BUILD.DAT : 12.0.0.849 41825 Bytes 2011-09-23 20:19:00

AVSCAN.EXE : 12.1.0.17 490448 Bytes 2011-09-23 17:04:46

AVSCAN.DLL : 12.1.0.17 54224 Bytes 2011-09-23 12:34:56

LUKE.DLL : 12.1.0.17 68304 Bytes 2011-09-23 11:55:16

AVSCPLR.DLL : 12.1.0.22 100048 Bytes 2012-02-23 10:31:06

AVREG.DLL : 12.1.0.29 228048 Bytes 2012-02-23 10:31:05

VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009-11-06 19:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 2010-12-14 10:07:39

VBASE002.VDF : 7.11.19.170 14374912 Bytes 2011-12-20 10:29:20

VBASE003.VDF : 7.11.21.238 4472832 Bytes 2012-02-01 10:29:58

VBASE004.VDF : 7.11.21.239 2048 Bytes 2012-02-01 10:29:59

VBASE005.VDF : 7.11.21.240 2048 Bytes 2012-02-01 10:29:59

VBASE006.VDF : 7.11.21.241 2048 Bytes 2012-02-01 10:29:59

VBASE007.VDF : 7.11.21.242 2048 Bytes 2012-02-01 10:30:00

VBASE008.VDF : 7.11.21.243 2048 Bytes 2012-02-01 10:30:00

VBASE009.VDF : 7.11.21.244 2048 Bytes 2012-02-01 10:30:00

VBASE010.VDF : 7.11.21.245 2048 Bytes 2012-02-01 10:30:01

VBASE011.VDF : 7.11.21.246 2048 Bytes 2012-02-01 10:30:01

VBASE012.VDF : 7.11.21.247 2048 Bytes 2012-02-01 10:30:01

VBASE013.VDF : 7.11.22.33 1486848 Bytes 2012-02-03 10:30:14

VBASE014.VDF : 7.11.22.56 687616 Bytes 2012-02-03 10:30:20

VBASE015.VDF : 7.11.22.92 178176 Bytes 2012-02-06 10:30:21

VBASE016.VDF : 7.11.22.154 144896 Bytes 2012-02-08 10:30:23

VBASE017.VDF : 7.11.22.220 183296 Bytes 2012-02-13 10:30:24

VBASE018.VDF : 7.11.23.34 202752 Bytes 2012-02-15 10:30:26

VBASE019.VDF : 7.11.23.98 126464 Bytes 2012-02-17 10:30:27

VBASE020.VDF : 7.11.23.150 148480 Bytes 2012-02-20 10:30:28

VBASE021.VDF : 7.11.23.151 2048 Bytes 2012-02-20 10:30:28

VBASE022.VDF : 7.11.23.152 2048 Bytes 2012-02-20 10:30:29

VBASE023.VDF : 7.11.23.153 2048 Bytes 2012-02-20 10:30:29

VBASE024.VDF : 7.11.23.154 2048 Bytes 2012-02-20 10:30:29

VBASE025.VDF : 7.11.23.155 2048 Bytes 2012-02-20 10:30:30

VBASE026.VDF : 7.11.23.156 2048 Bytes 2012-02-20 10:30:30

VBASE027.VDF : 7.11.23.157 2048 Bytes 2012-02-20 10:30:30

VBASE028.VDF : 7.11.23.158 2048 Bytes 2012-02-20 10:30:31

VBASE029.VDF : 7.11.23.159 2048 Bytes 2012-02-20 10:30:31

VBASE030.VDF : 7.11.23.160 2048 Bytes 2012-02-20 10:30:31

VBASE031.VDF : 7.11.23.212 154112 Bytes 2012-02-22 10:30:33

Engineversion : 8.2.10.4

AEVDF.DLL : 8.1.2.2 106868 Bytes 2012-02-23 10:31:01

AESCRIPT.DLL : 8.1.4.5 442745 Bytes 2012-02-23 10:31:00

AESCN.DLL : 8.1.8.2 131444 Bytes 2012-02-23 10:30:59

AESBX.DLL : 8.2.4.5 434549 Bytes 2012-02-23 10:31:02

AERDL.DLL : 8.1.9.15 639348 Bytes 2011-09-08 22:16:06

AEPACK.DLL : 8.2.16.3 799094 Bytes 2012-02-23 10:30:58

AEOFFICE.DLL : 8.1.2.25 201084 Bytes 2012-02-23 10:30:54

AEHEUR.DLL : 8.1.3.31 4395383 Bytes 2012-02-23 10:30:53

AEHELP.DLL : 8.1.19.0 254327 Bytes 2012-02-23 10:30:38

AEGEN.DLL : 8.1.5.21 409971 Bytes 2012-02-23 10:30:37

AEEXP.DLL : 8.1.0.22 70005 Bytes 2012-02-23 10:31:03

AEEMU.DLL : 8.1.3.0 393589 Bytes 2011-09-01 22:46:01

AECORE.DLL : 8.1.25.4 201079 Bytes 2012-02-23 10:30:35

AEBB.DLL : 8.1.1.0 53618 Bytes 2011-09-01 22:46:01

AVWINLL.DLL : 12.1.0.17 27344 Bytes 2011-09-23 11:13:18

AVPREF.DLL : 12.1.0.17 51920 Bytes 2011-09-23 10:53:57

AVREP.DLL : 12.1.0.17 179408 Bytes 2011-09-23 10:55:01

AVARKT.DLL : 12.1.0.17 223184 Bytes 2011-09-23 10:25:26

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 2011-09-23 10:34:37

SQLITE3.DLL : 3.7.0.0 398288 Bytes 2011-09-16 01:05:58

AVSMTP.DLL : 12.1.0.17 62928 Bytes 2011-09-23 11:03:47

NETNT.DLL : 12.1.0.17 17104 Bytes 2011-09-23 11:58:06

RCIMAGE.DLL : 12.1.0.17 4450000 Bytes 2011-09-23 12:37:25

RCTEXT.DLL : 12.1.0.16 96208 Bytes 2011-09-23 12:37:24

 

Configuration settings for the scan:

Jobname.............................: Scan for Rootkits and active malware

Configuration file..................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp

Logging.............................: default

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Process scan........................: on

Extended process scan...............: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: Complete

 

Start of the scan: 23 lutego 2012 11:33

 

Starting search for hidden objects.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c

[NOTE] The registry entry is invisible.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '74' Module(s) have been scanned

Scan process 'avcenter.exe' - '111' Module(s) have been scanned

Scan process 'avguard.exe' - '70' Module(s) have been scanned

Scan process 'avgnt.exe' - '77' Module(s) have been scanned

Scan process 'sched.exe' - '40' Module(s) have been scanned

Scan process 'gg.exe' - '106' Module(s) have been scanned

Scan process 'plugin-container.exe' - '116' Module(s) have been scanned

Scan process 'ping.exe' - '52' Module(s) have been scanned

Scan process 'mbamservice.exe' - '39' Module(s) have been scanned

Scan process 'firefox.exe' - '145' Module(s) have been scanned

Module is OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

[WARNING] The file could not be opened!

Scan process 'XMBLicensing.exe' - '16' Module(s) have been scanned

Scan process 'jusched.exe' - '28' Module(s) have been scanned

Scan process 'Sound_Blaster_X-Fi_MB_Cleanup.0001' - '19' Module(s) have been scanned

Scan process 'VolPanlu.exe' - '71' Module(s) have been scanned

Scan process 'AMBSPISyncService.exe' - '46' Module(s) have been scanned

Scan process 'XFastUsb.exe' - '41' Module(s) have been scanned

Scan process 'fraps.exe' - '51' Module(s) have been scanned

Scan process 'ProtectedObjectsSrv.exe' - '31' Module(s) have been scanned

Scan process 'CTAudSvc.exe' - '30' Module(s) have been scanned

 

Starting to scan executable files (registry).

The registry was scanned ( '651' files ).

 

 

 

End of the scan: 23 lutego 2012 12:22

Used time: 49:00 Minute(s)

 

The scan has been done completely.

 

0 Scanned directories

1814 Files were scanned

0 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 Files were deleted

0 Viruses and unwanted programs were repaired

0 Files were moved to quarantine

0 Files were renamed

1 Files cannot be scanned

1813 Files not concerned

0 Archives were scanned

1 Warnings

6 Notes

455888 Objects were scanned with rootkit scan

6 Hidden objects were found

 

 

 

 

Tutaj jest link do tematu na innym forum, to forum właśnie tutaj mnie skierowało, być może jest tam więcej informacji na temat tego co u mnie siedzi.

[picasso]

Otóż i to, czekam na log z OTL. I proszę log wstaw jako Załącznik forum, nie w spoilerze.

[RufleX]

W załączniku jest logi z OTL'a

OTL.Txt

Extras.Txt

[picasso]

Istotnie, mamy tu ZeroAccess:

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\Windows\SysNative\klif.dll -- (mindretrieve)
 
MOD - [2009-07-14 02:15:51 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL
MOD - [2009-07-14 02:15:51 | 000,232,448 | ---- | M] () -- \\.\globalroot\systemroot\syswow64\mswsock.dll
 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found
 
[2012-02-21 19:19:34 | 000,000,000 | ---D | C] -- C:\Windows\system64
[2012-02-21 21:28:48 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_trash_log.cmd

 

Prócz tego uszkodzone usługi systemowe.

 

 

1. Pobierz narzędzie FRST x64 i umieść je na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: mindretrieve
2 mindretrieve; C:\Windows\System32\klif.dll [6656 2009-07-14] (Oak Technology Inc.)
C:\Windows\System32\klif.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\tmp\U
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

5. Zrób nowe logi z OTL opcją Skanuj + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt.

 

 

 

.

[RufleX]

Dodaje nowe logi

FSS.txt

Fixlog.txt

OTL.Txt

[picasso]

1. O ile skrypt wykonany pomyślnie i 99% składników ZeroAccess poszło w siną dal, nadal widać naruszony Winsock:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found

 

Podałam do wykonania:

 

4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

Czy komendę wykonałeś, czy na pewno cmd startowałeś przez opcję "Uruchom jako Administrator", a jeżeli komenda wykonana to czy na pewno zastosowałeś się do zaleceń w oknie i zresetowałeś komputer?

 

2. Druga sprawa: sprecyzowałam w skrypcie likwidację łącza symbolicznego C:\Windows\system64, by przemienić go na zwyczajny folder gotowy do kasacji. Komenda fsutil jakoby wykonała się poprawnie. Sprawdź czy C:\Windows\system64 ma ikonę normalnego folderu a nie ikonę ze strzałką. Jeżeli będzie widnieć normalna ikona, przez SHIFT+DEL skasuj folder z dysku. Jeżeli jednak będzie ikona ze strzałką, stop.

 

 

.

[RufleX]

Nie wykonałem polecenia z CMD, już się robi i wstawiam nowe logi, przepraszam.

[picasso]

Tylko log z OTL potrzebny (bez Extras już) i to zrobiony po wykonaniu komendy + restart i po skasowaniu system64 (o ile to już zwyczajny folder).

[RufleX]

Zrobiłem log przed wykonaniem operacji powyżej.

 

Ad2. Jest to folder ale z kłódką, tak to miało wyglądać ??

OTL.Txt

[picasso]

Reset Winsock pomyślnie wykonany, zniknęły wszystkie odczyty "not found".

 

 

Ad2. Jest to folder ale z kłódką, tak to miało wyglądać ??

 

Kłódka oznacza określone uprawnienia. Uruchom GrantPerms x64 jako Administrator, w oknie wklej co podane poniżej i klik w Unlock.

 

C:\Windows\system64

 

Po tej akcji sprawdź jak wygląda ikona, czy zniknęła kłódka i czy to jest normalna ikona folderu a nie ze strzałką.

 

 

.

[RufleX]

GrantPerms x64 podziałał, folder usunięty skrótem Shift + Del

No to to już chyba było by wszystko, Jeszcze miałem problem z tym PING.EXE ale myślę ze to on stał za tym że obciążał procka w 80%

[picasso]

Tak, infekcja ZeroAccess jest przyczyną dla szaleństw ping. ZeroAccess został usunięty, ale jesteśmy w połowie zadania. Należy zreperować szkody, które zrobił trojan. Masz skasowany cały układ Zapory systemu Windows (usługi BFE + MpsSvc), usługę Centrum Zabezpieczeń i usługę Windows Defender. Do wykonania:

 

1. Odtworzenie usług Windows:

• Rekonstrukcja usług firewalla: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

2. Po odtworzeniu wszystkich usług restartujesz system i tworzysz nowy log z Farbar Service Scanner.

 

 

 

.

[RufleX]

Log z FSS

 

@edit. Jeśli gdybyś mogła polecić mi najlepszy twoim zdaniem program antywirusowy, byłbym ci bardzo wdzięczny.

FSS.txt

[picasso]

Wygląda na to, że usługi zostały zrekonstruowane. Przechodzimy do kolejnej partii:

 

1. Porządki po używanych narzędziach: przez SHIFT+DEL skasuj katalog C:\FRST, możesz oczywiście usunąć wszystkie pobrane w trakcie napraw narzędzia.

 

2. Skoryguj sytuację w antywirusach, bo aktualnie jest Kaspersky PURE oraz doinstalowana w trakcie diagnostyki Avira. Niedobry układ, Avirę odinstaluj, by nie obciążać systemu.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełny skan potwierdzający czystość systemu, za pomocą posiadanych Kasperskiego + MBAM na najnowszych bazach. Przedstaw wyniki, o ile coś zostanie wykryte.

 

 

@edit. Jeśli gdybyś mogła polecić mi najlepszy twoim zdaniem program antywirusowy, byłbym ci bardzo wdzięczny.

 

Mitologia współczesna. Nie istnieje twór "najlepszy", dlatego ja nie mam zdania na ten temat . Piastuję przekonanie: wszystko dobre co pochodzi z wiodącej marki o ustalonej reputacji, zaś sam antywirus to ledwie cząstka zabezpieczeń, nie ma antidotum dla określonych działań użytkownika i jego myślenia. Rozumiem, że Kaspersky PURE tu był podstawowym antywirusem czy został doinstalowany na czas leczenia?

 

 

 

.

[RufleX]

Kasperskiego zainstalowałem w nadziei przed zniszczeniem problemu jednak podczas skanowania coś mi go dosłownie "zjadło" zaktualizowałem mu bazy danych i wygląda na czystego.

[picasso]

Podczas gdy działa ZeroAccess można się spodziewać nokautu oprogramowania zabezpieczającego. Czy dobrze rozumiem, że Kaspersky w chwili bieżącej już działa? Wypowiedz się wyraźnie.

[RufleX]

zaktualizowałem go i aktualnie powinien działać poprawnie, wszystkie aktualizacje są dobre, rozważam też opcję usunięcia Kasperskiego (Avira już niema) i ponowna jego instalacja.

[picasso]

rozważam też opcję usunięcia Kasperskiego (Avira już niema) i ponowna jego instalacja

 

Wprawdzie ja w raportach nie notuję, by Kaspersky był w widzialny sposób zdefektowany i potwierdzasz, że zdaje się działać poprawnie, ale też log z OTL to jest bardzo ograniczona analiza w tym kontekście. Reinstalacja całego silnika nie wydaje się taka głupia, tak na wszelki wypadek.

 

 

 

.

[RufleX]

Dobrze, zrobię reinstalację Kasperskiego jednak skan będzie najprawdopodobniej na jutro (Skan ok 6 godzin pełny). Jutro wstawię loga a teraz odpalę skanowanie szybkie.

 

@edit.

Dodaje log z Kasperskiego Pure ale jest on jeszcze na starej wersji która uległa nokautowi jak to picassa określiła

Kaspersky Pure log.txt

[picasso]

Oceniając to co jest w owym starym skanie, w skrypcie uwzględniałam już ścieżki w Assembly i FRST je przetwarzał:

 

Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 21-02-2012
Ran by SYSTEM at 2012-02-23 14:41:23 R:1
Running from E:\
 
==============================================
 
C:\Windows\assembly\tmp\U not found.
C:\Windows\assembly\GAC_64\desktop.ini moved successfully.
C:\Windows\assembly\GAC_32\desktop.ini moved successfully.

 

Wyniki z desktop.ini zostały więc załatwione już dawno. Log jednak wyjaśnia dlaczego skrypt nie znalazł C:\Windows\assembly\temp\U, PURE go załatwił o dziesiątej rano. Co dziwne jednak, PURE go wykrył ponownie o siódmej wieczorem, czyli daleko po przetwarzaniu skryptu ...

 

Czy na pewno skany tandemu Kaspersky + MBAM w momencie bieżącym już nic nie wykrywają?

 

 

.

[RufleX]

Przepraszam że tak późno piszę ale miałem problemy z dostępem do internetu (lokalny dostawca coś spierniczył), przez ten czas właściwie bawiłem się Pure no i nie właściwymi patchami itp. Teraz próbuję go odratować ale co z tego wyjdzie.

 

Ps. Pure Trial podobno ma właściwości wykrywające ale właściwości bojowe u niego są ograniczone, jest to prawda ?

 

@edit. teraz najprawdopodobniej mam coś na kompie ponieważ często sama przeglądarka przechodzi na strony typu "nagrody-internetowe.pl/apple/products/ipad2/adv"

[RufleX]

Dodaję tylko plik logu OTL bo EXTRAX mi nie utworzyło.

OTL.Txt

[picasso]

Ps. Pure Trial podobno ma właściwości wykrywające ale właściwości bojowe u niego są ograniczone, jest to prawda ?

 

Triale Kasperskiego powinny mieć pełne możliwości w zakresie czasu ustawionym w trial. Nie przypominam sobie, by były jakieś blokady, ale głowy nie dam... Zresztą widzę, że grzecznie Avasta wsadziłeś. Dobrze jest.

 

 

@edit. teraz najprawdopodobniej mam coś na kompie ponieważ często sama przeglądarka przechodzi na strony typu "nagrody-internetowe.pl/apple/products/ipad2/adv"

 

W logu z OTL nie widzę żadnych oznak infekcji czynnej. Aczkolwiek jest tu zmodyfikowany i ukryty plik HOSTS:

 

O1 HOSTS File: ([2012-02-22 18:39:30 | 000,001,398 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.
O1 - Hosts: 67.215.245.19 www.google-analytics.com.
O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.
O1 - Hosts: 67.215.245.19 www.statcounter.com.

 

Wykonaj reset pliku HOSTS do postaci domyślnej za pomocą narzędzia automatycznego Fix-it z KB972034.

 

 

Dodaję tylko plik logu OTL bo EXTRAX mi nie utworzyło.

 

Na ślepo przyjęte, że OTL ma identyczną konfigurację. OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a należy ustawić to na "Użyj filtrowania", by pozyskać log Extras.

 

 

 

.

 

 

[RufleX]

To da się coś z tym zrobić bo Avast nic nie widzi. Gdzie ustawić OTL'a tak aby tworzył też plik Extrax?

 

Mam problem z znalezieniem pliku Hosts ponieważ kiedy wpisuję "%systemroot% \system32\drivers\etc" to wszystko się pokazuje lecz niema go tam, spróbuję go utworzyć i zobaczę co się stanie.

 

@edit. Nawet jeśli wpiszę "%systemroot% \system32\drivers\etc\hosts" przechodzę do folderu tak jakby etc, nie przechodzę do HOSTS.

 

@edit2. Znalazłem następny problem a mianowicie coś mi "odcina" dostęp do neta np Jestem na GG nie używam go ale jest w Trialu i coś mi odcina jego dostęp do neta sprawdzam czy to przypadkiem nie Avast (usunięty), usunąłem go kilka chwil wcześniej i jak na razie cały czas jestem na Dostępnym przypuszczam że on miał ustawione coś w stylu "priorytetowego" dostępu do sieci a jakoż ze mam internet mobilny to mogą się cyrki dziać.

[picasso]

Nie czytasz uważnie co mówię.

 

 

Gdzie ustawić OTL'a tak aby tworzył też plik Extrax?

 

Powiedziałam: "OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a należy ustawić to na "Użyj filtrowania", by pozyskać log Extras." Jedna opcja do przestawienia ...

 

 

To da się coś z tym zrobić bo Avast nic nie widzi.

 

Przecież wskazuję: w logach nie ma widocznej infekcji poza zmodyfikowanym plikiem HOSTS, który nakazałam zresetować. Zresetowałeś? Nie.

 

 

Mam problem z znalezieniem pliku Hosts ponieważ kiedy wpisuję "%systemroot% \system32\drivers\etc" to wszystko się pokazuje lecz niema go tam, spróbuję go utworzyć i zobaczę co się stanie.

 

@edit. Nawet jeśli wpiszę "%systemroot% \system32\drivers\etc\hosts" przechodzę do folderu tak jakby etc, nie przechodzę do HOSTS.

 

Po pierwsze: plik jest tylko go nie widzisz, bo jest ukryty (atrybuty HS), a Ty nie masz skonfigurowanych wszystkich opcji widoku, tzn. w Opcjach folderów "zapomniałeś" odfajkować "Ukryj chronione pliki systemu operacyjnego". Po drugie: nie kazałam nic robić ręcznie, cytuję: "Wykonaj reset pliku HOSTS do postaci domyślnej za pomocą narzędzia automatycznego Fix-it"". W artykule jest do pobrania automat ...

 

 

@edit2. Znalazłem następny problem a mianowicie coś mi "odcina" dostęp do neta np Jestem na GG nie używam go ale jest w Trialu i coś mi odcina jego dostęp do neta sprawdzam czy to przypadkiem nie Avast (usunięty), usunąłem go kilka chwil wcześniej i jak na razie cały czas jestem na Dostępnym przypuszczam że on miał ustawione coś w stylu "priorytetowego" dostępu do sieci a jakoż ze mam internet mobilny to mogą się cyrki dziać.

 

To jaka jest bieżąca sytuacja, bo na finale wygląda, że problem ustąpił? O co tu pytasz konkretnie?

 

 

 

.