Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

ZeroAccess + dodatki

mylo

Przez mylo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
mylo

mylo

Opublikowano
  • Autor
Opublikowano

Padły jakieś pliki systemowe podczas ponownego uruchamiania. Musiałem uruchomić odzyskiwanie systemu - ale to zapewne nie pozbyło się rootkita. Naprawiło to system. Uruchomiłem potem combofixa zgodnie z poleceniem.

 

Oto log z Combofixa: http://wklej.org/id/704466/

OTL: http://wklej.org/id/704473/

Extras: http://wklej.org/id/704475/

FSS: http://wklej.org/id/704477/

 

Pozdrawiam

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Sprostowanie: ZeroAccess na systemie 64-bit nie działa w technologii rootkit. Zaś te "pliki systemowe, które padły" to zapewne chodziło o consrv.dll infekcji ZeroAccess. ComboFix umie się z tym obchodzić, ale ewidentnie coś musiało przeszkodzić ComboFix przy wdrażaniu procedury i zapewne plik został usunięty, ale nie wykonana została modyfikacja rejestru w kluczu SubSystems. Skutki takiego dysonansu: BSOD i niemożność wejścia do Windows.

 

Wyniki usuwania ComboFix "marne", nie ma pewności co tu jest a czego już nie ma. Wykonaj skan dostosowany, w OTL ustaw wszystko na Brak + Żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C
netsvcs

 

Klik w Skanuj. Przedstaw log.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Miałeś zaznaczyć wszędzie Brak+Żadne, ostał się zbędny skan sterowników. Co do wyników właściwych: brak notowanych komponentów ZeroAccess, czyli usuwanie było kompleksowe. Aktualnie to tylko mamy do usunięcia odpadkowy katalog widoczny w poprzednim OTL. Do przeprowadzenia czynności:

 

1. Odinstaluj Babylon toolbar on IE. Zmień dostawcę wyszukiwania w Google Chrome:

 

========== Chrome  ==========
 
CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = "http://search.babylon.com/?q={searchTerms}&AF=109989&babsrc=SP_ss&mntrId=d02d647900000000000074e50b15cee7"

 

Wejdź do opcji do zarządzania wyszukiwarkami, przestaw domyślną na coś innego niż aktualny Babylon, zaś Babylon usuń.

 

2. Zastosuj AdwCleaner z opcji Delete. Po tym użyj Uninstall.

 

3. Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

 

:OTL
[2012/03/07 12:09:43 | 000,000,000 | -HSD | C] -- C:\Users\imylo\AppData\Local\0387111a
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

C:\Users\imylo\Desktop\ComboFix.exe /uninstall

 

Gdy zadanie się wykona, zastosuj Sprzątanie w OTL kasujące z dysku OTL wraz z kwarantanną.

 

5. Na wszelki wypadek przeprowadź skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

 

 

.

Edytowane przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...