synuf Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Witam serdecznie, podobnie jak inni koledzy/koleżanki zostałem skierowany tu przez filutkę. Poniżej wątek oraz logi ze wskazanych programów: pclab - wątek na forum http://forum.pclab.p... OTL http://wklej.org/id/704644/ EXTRAS http://wklej.org/id/704645/ FSS http://wklej.org/id/704646/ Widziałem, że doradzacie uzycie innej "artylerii" ale z drugiej strony każdy problme jest indywidualny, także przed użyciem combofixa, wolę zapytać o wskazówki. Z góry dziękuję. pozdrawiam Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Zabrakło obowiązkowego raportu z GMER, który podaje istotne informacje na temat składowych ZeroAccess. ZeroAccess na systemie 32-bit działa w technice rootkit, OTL to bardzo proste narzędzie prezentujące jedynie wybiórcze znaki aktywności infekcji. Widziałem, że doradzacie uzycie innej "artylerii" ale z drugiej strony każdy problme jest indywidualny, także przed użyciem combofixa, wolę zapytać o wskazówki. Owszem, to narzędzie zostanie tu użyte wstępnie, ale nie gwarantuje ono bezbolesnego procesu. Infekcja jest oporna i trudna. Zobaczymy co wyjdzie w praniu: 1. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows. Uruchom narzędzie. 2. Po ukończeniu pracy narzędzia wygeneruj nowe logi z OTL + GMER. Dołącz raport pozyskany z usuwania ComboFix. . Odnośnik do komentarza
synuf Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 witam ponownie, jestem po skanowaniu - trochę to trwało, ale podaję wyniki: otl http://wklej.org/id/704797/ gmer http://wklej.org/id/704798/ combofix http://wklej.org/id/704795/ czekam na dalsze instrukcje z góry dzięki Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 W Twoim przypadku poszło sprawnie. Wygląda na to, że prawie wszystko od infekcji zostało usunięte. Zostały poprawki, m.in. korekta naruszonej przez rootkita wartości NetSvcs. 1. Otwórz Notatnik i wklej w nim treść zgodną z XP: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\explorer.exe"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2012-03-07 15:11:19 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\karolinka\Ustawienia lokalne\Dane aplikacji\adb41fb8 [2012-03-07 15:15:09 | 000,000,784 | ---- | M] () -- C:\Documents and Settings\All Users\Pulpit\Internet Security.lnk O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = File not found SRV - File not found [On_Demand | Stopped] -- -- (McComponentHostService) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme) :Commands [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Przejdź do Dodaj / Usuń programy i odinstaluj resztkę LiveUpdate (Symantec Corporation). 4. Do oceny wystarczy tylko: log z wynikami usuwania z punktu 2 oraz dla pewności jeszcze raz Farbar Service Scanner. . Odnośnik do komentarza
synuf Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 witam, uczyniłem wszystkie zalecane porady i wygląda to dużo lepiej, nie ma już szitowego internet security. wklejam logi: OTL http://wklej.org/id/704966/ FSS http://wklej.org/id/704967/ Domyślam się, że problem rozwiązany i można już spokojnie działać? Czy jest jakieś działanie, które wyeliminuje w przyszłości możliwość zarażenia, czy wystarczy dobry antywir? Pozostaje mi tylko PODZIĘKOWAĆ Odnośnik do komentarza
synuf Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Wygląda na to, że wszystko śmiga, jedynie uruchamia sie za każdym razem okno, być może z pendrive'a chce się uruchomić jakiś skaner, którego używałem: obrazek: http://www.fotosik.pl/pokaz_obrazek/f2c3780a410b0e9b.html Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Proszę używaj opcję "Edytuj", gdy chcesz dodać nowe informacje, a nikt jeszcze nie odpisał, zamiast tworzyć X postów własnych w ciągu. Domyślam się, że problem rozwiązany i można już spokojnie działać? Domyślam się, że odczyt z Farbar Service Scanner "There is no connection to network." to jakaś przejściowa sprawa (?), skoro nie notujesz mi problemu z połączeniem sieciowym ... A tu mamy jeszcze zadania wykończeniowe: 1. Odinstaluj w prawidłowy sposób ComboFix (co także czyści foldery Przywracania systemu), w Start > Uruchom > wklejając komendę: "C:\Documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy ukończy, zastosuj Sprzątanie w OTL, które z kolei skasuje z dysku OTL wraz z kwarantanną. 2. Wykonaj pełne skanowanie za pomocą programu Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. Wygląda na to, że wszystko śmiga, jedynie uruchamia sie za każdym razem okno,być może z pendrive'a chce się uruchomić jakiś skaner, którego używałem To nie ma związku z pendrive i skanerami. Ten wpis jest na liście zainstalowanych programów, Status wygląda na część oprogramowania drukarki: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{2FB9EA69-51D4-4913-9AD5-762C034DE811}" = Status Zgłaszające się okno jest charakterystyczne dla uszkodzenia danych instalacyjnych oprogramowania. Błąd się rozwiązuje poprzez usunięcie owych danych. Uruchom Windows Installer CleanUp, na liście podświetl wejście "Status" i usuń. Zresetuj system i potwierdź ustąpienie błędu. . Odnośnik do komentarza
synuf Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 Proszę używaj opcję "Edytuj", gdy chcesz dodać nowe informacje, a nikt jeszcze nie odpisał, zamiast tworzyć X postów własnych w ciągu. . będę używał opcji "Edytuj" na przyszłość. 1. Combofix odinstalowany Sprzątanie w OTL zastosowane 2. Skanowanie Malwarebytes Anti-Malware zakończone pomyślnie - nic nie wykryto 3. Zgłaszające się okno nie wyskakuje. Dziękuję bardzo za wszelkie instrukcje i za fachową oraz konkretną pomoc. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 Na zakończenie: 1. Wykonaj aktualizacje: KLIK. Na Twojej liście zainstalowanych widać: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 24"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 2. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
synuf Opublikowano 21 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2012 Drugi tydzień użytkowania i wszystko ładnie śmiga. Jeszcze raz dziękuję Odnośnik do komentarza
Rekomendowane odpowiedzi