Uszaty Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Witam uprzejmie. Wykryłem w netbooku rootkita, objawami przypominającego "ZeroAccess". Komputer ogólnie chodzi wolno, a przekierowania z wyszukiwarek prowadzą do domeny "abnow.com". Logi: OTL.txt Extras.txt GMER.log Z góry dzięki za udzieloną pomoc Odnośnik do komentarza
Landuss Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Infekcja ZeroAccess tutaj jest i działa w najlepsze. Przejdź w tryb awaryjny Windows i uruchom z jego poziomu narzędzie ComboFix z którego zaprezentuj wynikowy raport. Po jego działaniu wykonaj nowe logi z OTL oraz Gmer i załącz też do posta. Odnośnik do komentarza
Uszaty Opublikowano 11 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2012 Niestety ComboFix po rozpakowaniu plików przestaje dawać oznaki życia. EDIT. Dodam tylko, że ComboFix był ściągany zarówno w trybie awaryjnym, na zainfekowanym komputerze, jak i na maszynie zewnętrznej z wyłączonym antywirusem. Zmiana nazwy execa również nic nie dała. Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 (edytowane) 1. Przygotuj materiały: ----> Pobierz płytę OTLPE oraz plik netbt.sys w wersji XP SP3 (KLIK). Rozpakowany netbt.sys umieść wprost na C:\, ta ścieżka będzie brana pod uwagę w skrypcie. ----> Przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\drivers\netbt.sys|C:\netbt.sys /replace C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB63088$ /C del "\\?\C:\Windows\System32\ " /C C:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\e38bea04 C:\WINDOWS\System32\dds_log_trash.cmd C:\WINDOWS\System32\dds_log_ad13.cmd C:\WINDOWS\82480099 :OTL SRV - [2008-04-15 13:00:00 | 000,005,120 | ---- | M] (Iomega) [Auto] -- C:\WINDOWS\system32\tfsnifs.dll -- (mbmiodrvr) NetSvcs: mbmiodrvr - C:\WINDOWS\system32\tfsnifs.dll (Iomega) :Commands [emptytemp] Plik zapisz sobie na dysku twardym na C:\. Plik ten będzie otwierany ręcznie. 2. Startujesz z płyty OTLPE. Uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. 3. Restart do Windows. 4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 5. Logi do oceny: OTL zrobiony na warunku dostosowanym (patrz dalej) + GMER + log z wynikami przetwarzania skryptu z punktu 2. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB63088$;true;true;false /FP Klik w Skanuj. . Edytowane 17 Kwietnia 2012 przez picasso 17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi