Marcin1985 Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 Witam, System: operacyjny Windows 7 32 service pack 1 (wersja po upgrade z windows vista przez windows 7 upgrade CD) Komputer: Notebok ASUS K50AB Antivirus: Avira free Antivirus problem zaczął się po sciągnięciu niezaufanego pliku z internetu i uruchomieniu nieznanej aplikacji. Pierwszym objawem było zablokowanie centrum zabezpieczeń windows, razem z windowsowskim firewallem, windows defenderem. Skanowanie Avira free antivirus, wykazało obecność rootkita, jednakże bez możliwości usunięcia. Kolejne objay to zablokowanie avirze dostępu do plików hosta. Spróbowałem usunąć problem nażędziami dostępnymi na stronach producentów antywirusów: -ESETSirefefRemover -BDRemovalTool_sirefef_x86 bez rezultatu oraz odbudować firewalla: - Repair_WMI_Windows_Firewall również bez rezultatu. Ponieważ zgodnie z zasadami forum, każdy problem ma być rozpatrywany osobno, rozpoczynam nowy temat. Raporty wygenerowane zgodnie z instrukcjami na stronie. Nie wykonywałem żadnych operacji w trakcie tworzenia raportów, mimo iż AV, wykazywał coraz to nowe infekcje. W trakcie skanów komputer podłączony kablem do sieci lokalnej i internetu, sieć Wii-Fii, odłączone. Po załączeniu posta odłącze kabel i będę sięlogował z innej sieci i innego komputera. Przesyłam wymagane raporty, oraz raporty z AVIRY od najmłodszych do najstarszych. Będę wdzięczny za szybką pomoc. Pozdrawiam, Marcin OTL.Txt Extras.Txt raport G.txt Avira I.txt Avira 2.txt Avira 3.txt Avira 4.txt Odnośnik do komentarza
picasso Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 Rootkit jak nabardziej czynny, poświadczają to wspólnie GMER (zainfekowany netbt.sys + ukryty moduł rootkit + link symboliczny C:\Windows\$NtUninstallKB34655$) i OTL (przekierowany Winsock oraz usługi / pliki dodatkowe). 1. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. Gdy ukończy: 2. Wygeneruj nowe logi z OTL + GMER + Farbar Service Scanner (z wszystkimi opcjami zaznaczonymi). Dołącz też log pozyskany z pracy ComboFix. oraz odbudować firewalla:- Repair_WMI_Windows_Firewall To nie odbuduje firewalla w zakresie szkód, które są wynikiem aktywności ZeroAccess. Masz z pewnością skasowane z rejestru całkowicie usługi BFE (Podstawowy aparat filtrowania) oraz MpsSvc (Zapora systemu Windows). Poświadcza to log OTL Extras: Error - 2012-03-19 06:16:20 | Computer Name = Marcin-Komputer | Source = Service Control Manager | ID = 7003Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana. Na razie ten wątek pomijam. To akurat najmniejszy problem. Usługi reperuje ComboFix, a gdy nie uda się to, to mam dedykowany temu cały artykuł mojego autorstwa (KLIK). I to na końcu, nic nie wykonuj. . Odnośnik do komentarza
Marcin1985 Opublikowano 19 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2012 Witam, dziękuję za szybką odpowiedź Wykonałem wszystko zgodnie z instrukcjami. Najpierw zciągnąłem Combo fix, oraz FSS, następnie odinstalowałem program emulujący (Daemon tools little) włączyłem tryb awaryjny z obsługą sieci i zapuściłem Combo, program przypomniał mi o konieczności wyłączenia antivirusa, ponieważ nie widziałem ikonki w pasku start, przywołałem menadżer urządzeń i wyłączyłem aplikację Avira, potem chciałem dla pewności odinstalować Avirę, więc kliknąłem na znak zamknięcia w oknie dialogowym Combo fix, jednakże program rozpoczął działanie. Program pominął krok aktualizacji i tworzenia kopie bezpieczeństwa, poczym przeszedł do skanowania w trakcie skanowania pojawił się komunikat potwierdzający infekcję ZeroAcces i o konieczności restartu. Podczas każdego restartu systemu włączałem system w trybie awaryjnym z obsługą sieci. Ostatecznie program wygenerował raport. Krok następny (skany OTL, GMER oraz FSS) wykonałem przy normalnie uruchomionym systemie. Zgodnie z instrukcją załączam wygenerowane raporty i czekam na dalsze instrukce Pozdrawim/Marcin Dodatkowo mam 2 pytania: 1. Pomieważ komputer jest używany głownie do pracy, która w tym momencie lerzy i się nawarstwia, chciałbym się dowiedzieć, czy mogę używać kompytera do pracy z pominięciem sieci internetowej? Niestety praca na innych komputerach nie wchodzi w grę z powodu specjalistycznych programów do obróbki danych z których muszą korzystać. 2. Czy pliki stworzone na zainfekowanym systemie, zapisane na dysku zewnętrznym również mogą stanowić zagrożenie, czy działanie robaka ogranicza się jedynie do dysku systemowego? Pozdrawiam ponownie/Marcin ComboFix.txt Test G.txt FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 ComboFix usunął infekcję, ale trzeba tutaj podjąć jeszcze kilka kroków. Między innymi nie zostały przywrócone usługi, o których wyżej pisała @picasso i będziesz to robił ręcznie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- \.\globalroot\C:\Windows\system32\svchost.exe -- (tfsnopio) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ehstart.dll -- (rpskt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NMSCFG.dll -- (qcmerced) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symids.dll -- (pcradminserver) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vss.dll -- (generichidservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mdmxsdk.dll -- (EKECioCtl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ESDCR.dll -- (Defrag32b) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\personalsecuredriveservice.dll -- (atixsaudio) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marcin\AppData\Local\Temp\catchme.sys -- (catchme) NetSvcs: EKECioCtl - File not found NetSvcs: Defrag32b - File not found NetSvcs: pcradminserver - File not found NetSvcs: qcmerced - File not found NetSvcs: CADlink - File not found NetSvcs: belgium_id_card_service - File not found NetSvcs: CnxTrLan - File not found NetSvcs: GoProto - File not found NetSvcs: konfig - File not found NetSvcs: rpskt - File not found NetSvcs: atixsaudio - File not found NetSvcs: generichidservice - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w ten temat: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL. Następnie Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem. Uruchamianie ma być ustawione na tryb Automatyczny. 3. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 4. Pokazujesz nowe logi z OTL, z FSS oraz z AdwCleaner z opcji Search. Odnośnik do komentarza
Marcin1985 Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Witam, krok: 1. ok, wszystko przeszło bez problemów krok 2. przy przejściu na następny poziom i próbie rekonstrukcji uprawnień kluczy pojawia się problem przy drógim kluczu (Zapora systemu Windows (MpsSvc)), przyznaję, że próbowałem wykonać operację dwukrotnie, końcowa wiadmość z CMD to "error message: Opening a registry key failed" Pozdrawiam i czekam na dalsze instrukcje, (logów nie wkleajm, ponieważ nie wykonałem zadania do końca) Marcin Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 W takim razie wykonuj mimo wszystko dalsze kroki i załącz wymagane logi. Odnośnik do komentarza
Marcin1985 Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Witam, wszystkie kroki wykonane, załączam logi Pozdrawiam/Marcin OTL LOG (po kroku 1)03222012_211408.txt sfc (CBS LOG).txt OTL 2.Txt FSS.txt AdwCleanerR1.txt Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Według FSS usługi zostały przywrócone mimo błędu, o którym pisałeś. Jedynie log pokazuje, że nie są uruchomione więc wykonaj tą czynność tak jak wcześniej pisałem w punkcie drugim. Teraz można już przejść do czynności końcowych. 1. Wciśnij kombinacje klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Marcin\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL oraz najpierw opcji Delete z AdwCleaner a potem opcji Uninstall. 3. Opróżnij folder przywracania systemu: KLIK 4. Zmień hasła logowania do serwisów na wszelki wypadek. 5. Do aktualizacji poniżej wymienione programy: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
Marcin1985 Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 Wielkie dzięki!!! Naprawdę chylę czoła, sam nigdy bym sobie nie poradził. na koniec 3 krótkie pytania: 1. Czy instalować od nowa avirę? (wiem, że ten wirus sporo w niej miesza) 2. Czy zmiana logowania do serwisów dotyczy również tych nieużywanych w trakcie infekcji (jedyny używany to poczta dla rejestracji do serwisu)? 3. Czy jest możliwość, że wirus zagneździł się na innym dysku niż systemowy (wszystkie skany miałem wykonywać jedynie dla dysku systemowego "C") Jeszcze raz dziękuję!!! Odnośnik do komentarza
Landuss Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 1. Czy instalować od nowa avirę? (wiem, że ten wirus sporo w niej miesza) Możesz zainstalować, nie ma problemu. 2. Czy zmiana logowania do serwisów dotyczy również tych nieużywanych w trakcie infekcji (jedyny używany to poczta dla rejestracji do serwisu)? Tak zmiana dotyczy wszystkich serwisów - to tak na wszelki wypadek. 3. Czy jest możliwość, że wirus zagneździł się na innym dysku niż systemowy (wszystkie skany miałem wykonywać jedynie dla dysku systemowego "C") Nie ma takiej możliwości - to infekcja, która występuje tylko na dysku systemowym. Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi