nuts Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Witam, kilka dni temu przydarzyła mi się następująca sytuacja: po uruchomieniu komputera, przejściu przez ekran ładowania się systemu, maszyna samoczynnie się restartowała. Działał tylko tryb awaryjny (ten z dostępem do sieci i linii poleceń już nie). Najpierw spróbowałem użyć punktu przywracania sprzed paru dni, ale nie pomogło - po przejściu ekranu ładowania, komputer zwisał na czarnym ekranie. Przeskanowałem system HJT - nic niepokojącego nie znalazłem, więc uruchomiłem CF, który rzucił informacją, że wykrył rootkita ZeroAccess. Usunął go chyba, skanowanie antywirusem wykazało mimo to jeszcze 2 zainfekowane pliki, które też poleciały. Mam prośbę teraz o kontrolę logów, które wklejam w kolejności ich powstawania. CF: http://www.text-upload.com/read.php?id=305071&c=2158760 Antywir: http://www.text-upload.com/read.php?id=305072&c=3455812 GMER: http://www.text-upload.com/read.php?id=305073&c=8401144 Odnośnik do komentarza
Landuss Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 ComboFix poradził sobie z infekcją i wygląda, że niewiele tu jeszcze jest do roboty. Pomijając fakt, że nie powinieneś go używać na własną reke. Zaprezentuj jednak logi z OTL dla potwierdzenia tego. Odnośnik do komentarza
nuts Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 (edytowane) Dzięki za poświęcenie czasu na przeglądnięcie logów. Antywirusem puściłem przed momentem skanowanie na obecność malware/rootkitów i po tym zasugerował jeszcze skan partycji systemowej. Właśnie leci, a że mam trochę drobnych plików graficznych z gry, to chwilę to potrwa (GMER skanował prawie 6h ). Po tym puszczę OTL'a i postaram się go tutaj wkleić - przyznam, że zapomniałem o nim wcześniej, a zirytował mnie czas skanowania GMER Przy skanowaniu CF jedyny problem to to, że wyleczył mnie przy okazji ze sterowników do grafiki, ale możliwe, że faktycznie plik doznał infekcji ZeroAccess. OK, wklejam skan z OTL: OTL.txt - http://www.text-upload.com/read.php?id=305159&c=1486632 Extras.txt - http://www.text-upload.com/read.php?id=305161&c=7855107 Edytowane 10 Marca 2012 przez nuts Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 Przy skanowaniu CF jedyny problem to to, że wyleczył mnie przy okazji ze sterowników do grafiki, ale możliwe, że faktycznie plik doznał infekcji ZeroAccess. Objawy z niemożnością startu w trybie normalnym zgadzają się z tym, co stwierdził ComboFix. Plik sterownika ATI był wykryty jako zainfekowany: Zainfekowana kopia c:\windows\system32\drivers\ati2mtag.sys została znaleziona. Problem naprawiono Plik odzyskano z - The cat found it Jeżeli po przeprowadzonej przez ComboFix podmianie plików nastąpiła degradacja sterownika grafiki, należy przeinstalować go. Wykonaj jeszcze: 1. Mini poprawki i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme) IE - HKU\S-1-5-21-117609710-152049171-839522115-1003\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = "http://www.ask.com/web?o=15710&l=dis&q={searchTerms}" O7 - HKU\S-1-5-21-117609710-152049171-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Prawidłową deinstalację ComboFix, która przeczyści też foldery Przywracania systemu. W Start > Uruchom > wklej polecenie: "C:\Documents and settings\123\Pulpit\ComboFix.exe" /uninstall Po tym możesz zastosować Sprzątanie w OTL. 3. Aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych widać następujące wersje: Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 24"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"ShockwaveFlash" = Adobe Flash Player 9 ActiveX Masz oszukany status SP, system rzekomo w stanie SP3, ale data explorer.exe jest zgodna z SP2: Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation ========== Processes (SafeList) ========== PRC - [2004-08-04 00:44:20 | 001,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe Tak nie może pozostać. System jak sito, bez wsparcia, bez aktualizacji. Przywróć prawidłowy ciag zgodny z SP2, a po tym wykonaj prawdziwą aktualizację SP3. Start > Uruchom > regedit[/b] i wejdź do poniższych kluczy w celu wykonania korekty: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows Dwuklik w wartość CDSVersion i zamień aktualnie tam widoczny numer 300 (zgodny z SP3) na 200 (zgodny z SP2). HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion W tym kluczu CDSVersion ma być równe Service Pack 2 4. Prewencyjną wymianę haseł w serwisach z logowaniem. . Odnośnik do komentarza
nuts Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 OK, pobawię się. Sterowniki już wrzuciłem, Managera zadań odblokowałem ręcznie w rejestrze, więc ten wpis w OTL chyba zbędny. CF wyleciał, OTL też, Przywracanie wyłączyłem ręcznie. Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi