Cypek Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Witam, Wyniki google'a są przekierowywane na stronę abnow za każdym razem. Nie umiem tego wyplewić a i nie znam się na tym zbytnio Próbowałem wcześniej program AVG do usuwania ZeroAccessa, Bitdefendera do usuwania ZeroAccesa i spyware doctora i rzekomo usuwał problem po czym pojawiał się on ponownie. Zazwyczaj za pierwszym razem wyszukiwanie działało poprawnie, potem przy następnym wyszukaniu już przekierowywało znów na abnow.com Proszę o pomoc, załączam logi z GMER-a, OTL-a i FFS'a. Pozdrawiam, Cypek OTL.Txt FSS.txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Niestety, rootkit jest w formie, opowiada to GMER. 1. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. 2. Wygeneruuj nowe logi z OTL + GMER + Farbar Service Scanner. Dołącz też raport z wynikami ComboFix. . Odnośnik do komentarza
Cypek Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 Przeleciałem kompa Combofixem, nie było mnie przy całym procesie ale w międzyczasie chyba musiał mu się wywalić bluescreen albo coś, bo taki też komunikat otrzymałem przy odpaleniu Windowsa. Combofix rozwiązał problem ponieważ już wyszukiwarki działają super, jednak nie został zapisany log z combofixa. Dołączam logi z OTL, GMER i FFS'a. Nie wiem, można chyba założyć że wirus pokonany i nie trzeba jeszcze raz combofixa uruchamiać? gmer.txt Extras.Txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Niewątpliwie był BSOD - na dysku jest odświeżony katalog zrzutów pamięci C:\Windows\Minidump. Brak raportu z ComboFix uniemożliwia sprawdzenie co w zasadzie zostało wykonane, ale wygląda na to, że naprawa była na tyle kompleksowa, że główny pociąg infekcji został wyeliminowany. Log z GMER dobrze wygląda, nie są notowane tam żadne charakterystyczne dla ZeroAccess obiekty. W logu z OTL również potwierdzenie usunięcia usługi "Iomega" oraz wykonanego resetu Winsock. Ale tu nie koniec działań. Po ZeroAccess pozostał jeszcze ukryty plik dds_log_trash.cmd, musi być sprawdzanie poprawności plików, wreszcie i działania finalizacyjne. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2012-03-05 15:49:01 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_log_trash.cmd IE - HKU\S-1-5-21-1125675357-3644848481-3202317887-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found O3 - HKU\S-1-5-21-1125675357-3644848481-3202317887-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1125675357-3644848481-3202317887-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart) :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 3. Prezentujesz: log z wynikami SFC z punktu 2, nowy log z OTL z opcji Skanuj, log z AdwCleaner z opcji Search. . Odnośnik do komentarza
Cypek Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 Poleciało, imponujące jak potraficie w tym działać, w jaki sposób najlepiej się tego wszystkiego uczyć? Jak rozpoznawać logi i które elementy są zagrożeniem? W załączniku logi z OTL, AdwCleanera i SFC, poszło bez problemów. OTL.Txt Extras.Txt AdwCleanerR1.txt sfc.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 (edytowane) SFC wykonał korektę szkód: 2012-03-07 09:07:03, Info CSI 000001dd [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-03-07 09:07:03, Info CSI 000001de [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup 1. AdwCleaner widzi drobne szczątki sponsoringowe (pdfforge Toolbar). Uruchom go z opcji Delete. Po tym skorzystaj w nim z opcji Uninstall. 2. W ostatnim OTL nie widzę już komponentów ComboFix, czy Ty go w prawidłowy sposób odinstalowałeś poprzez parametr /uninstall? Jeśli tak, to w OTL możesz już zastosować Sprzątanie usuwające OTL wraz z jego kwarantanną. 3. Wykonaj skanowanie potwierdzające za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie wykryte. w jaki sposób najlepiej się tego wszystkiego uczyć? Jak rozpoznawać logi i które elementy są zagrożeniem? Komentowałam to tutaj: KLIK. Na to nie ma prostej i jednoznacznej odpowiedzi. Logi to jedynie uproszczony wycinkowy sposób na pokazanie danych systemu, które już są i które można równie dobrze obejrzeć na X innych sposobów. Logi to tylko ułatwienie, przy znajomości systemu ich nie trzeba się wcale "uczyć", to jest jasne samo przez siebie co to za wpisy. Rozpoznanie zagrożeń jako takich i prawidłowa ocena co infekcja robi w systemie skutkująca w dobraniu odpowiedniej metody usuwania i tak wymaga ogromnej praktyki. Codziennie wychodzą nowe zagrożenia, takie o których nawet Google jeszcze nie wie. Analizujący nie otrzyma żadnych materiałów potwierdzających poza własną wiedzą, rozumem i instynktem. Analiza logów nie polega zresztą tylko i wyłącznie na typowaniu zagrożeń, ale i ocenie wielu innych aspektów i wyciąganiu wniosków na temat działania Windows. Poza tym, uzdolnienia / predyspozycje od strony myślenia też należy posiadać. Nie każdy może wykonywać określony zawód, tak jest i z takimi analizami. . Edytowane 17 Kwietnia 2012 przez picasso 17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi