lbj6 Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Cześć, dobrze wiedzieć, że w internecie siedzą nie tylko źli ludzie, ale i ci dobrzy. Przechodząc do tematu. Kilka dni temu antywirus zaczął krzyczeć o dziwnych rzeczach dziejących się z komputerem. Szybka analiza wykazała, że to trojan zeroaccess!inf. Pogrzebałem trochę po sieci i znalazłem informacje o Combofiksie i jego cudownych właściwościach. Uruchomiłem, przeskanowałem, pobieżny przegląd efektów wykazał, że istota problemu odeszła. Pojawiły się jednak kolejne. Najbardziej dotkliwą był brak możliwości ustanowienia połączenia z siecią - sieć nie mogła być zidentyfikowana. Dopiero ustawienie połączenia na sztywno zadziałało. Minęło kilka dni, a ja nie miałem za bardzo czasu ni możliwości by siedzieć przy komputerze. Dopiero w weekend zacząłem nieco grzebać i trafiłem m.in. na Wasze forum i już wiem, że Combofiks ma nie tylko rewelacyjne właściwości, ale i te gorsze. Doczytałem, że problem może być z usługą DHCP i że pewnie po usunięciu infekcji (o ile rzeczywiście tak się stało) na komputerze zostało wiele śmieci. W związku z powyższym proszę serdecznie o pomoc. Dołączam zestawy logów z Combofiksa - nie odinstalowywałem go, logi są z 23 marca oraz logi z OTL i GMER (z dziś). Niestety z przyczyn niezależnych ode mnie nie mogłem wyłączyć / odinstalować antywirusa, więc programy działały obok siebie, mam nadzieję, że zbyt dużych problemów to nie przysporzy. ComboFix.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 ComboFix wprawdzie częściowo usunął infekcję w sferze aktywnej, ale jest nie doczyszczona cała masa usług odpadków po ZeroAccess, a sieć ma trudności, bo rootkit ZeroAccess naruszył plik sieciowy Windows: DRV - [2009-07-14 01:12:11 | 000,074,240 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\System32\drivers\tdx.sys -- (tdx) Odpowiednikiem tego uszkodzenia są te błędy z Dziennika zdarzeń: Error - 2012-04-01 04:07:10 | Computer Name = ... | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Sterownik obsługi starszych urządzeń TDI NetIO z powodu następującego błędu: %%193 Error - 2012-04-01 04:07:10 | Computer Name = ... | Source = Service Control Manager | ID = 7001Description = Usługa Klient DNS zależy od usługi Sterownik obsługi starszych urządzeń TDI NetIO, której nie można uruchomić z powodu następującego błędu: %%193 1. Przejdź w Tryb awaryjny Windows i wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 2. Odbuduj domyślną wartość NetSvcs dla systemu Windows 7. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\ 00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\ 00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\ 00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\ 54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\ 6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\ 00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\ 69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\ 00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\ 73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\ 00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\ 61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\ 73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\ 00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\ 44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\ 00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\ 64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\ 00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\ 6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\ 00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\ 69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\ 00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\ 00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\ 00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\ 00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\ 74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\ 00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\ 70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcją Scal 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nsm1serd.dll -- (yukonwxp) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\avgcoresvc.dll -- (wmdmpmsn) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\kpfwsvc.dll -- (winachsf) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tosrfsnd.dll -- (websensecpmcommunicationagent) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NWUSBPort.dll -- (w29n51) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdcomp.dll -- (vmauthdservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\gusvc.dll -- (vaiomediaplatform-integratedserver-appserver) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\acprfmgrsvc.dll -- (ups) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mgactrl.dll -- (tavsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\merakpop3.dll -- (Tablet2k) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctsfm2k.dll -- (symids) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CTEXFIFX.DLL.dll -- (Spsmqvsm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\avfilter.dll -- (smbusp) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ELmou.dll -- (sfilter) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\i81x.dll -- (se45mdm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctmmfilt.dll -- (se44bus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\apache2.dll -- (SE2Ebus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dptrackerd.dll -- (s125mdm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\viamraid.dll -- (s117obex) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lxct_device.dll -- (roxmediadb9) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\hcf_msft.dll -- (retroexplauncher) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\srtspx.dll -- (pcandis5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\atikmdag.dll -- (patrol_scheduler) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ventrilo.dll -- (p1131vid) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\YahooAUService.dll -- (Nsynas32) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ndasscsi.dll -- (NdisFilt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\rpskt.dll -- (merakcontrol) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\diskperf.dll -- (mcsysmon) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\paamsrv.dll -- (lvuvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zdeviceservice.dll -- (lmimaint) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ppa3.dll -- (lbtserv) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symndis.dll -- (kpfwsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\artdhcp.dll -- (kavsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ownershipprotocol.dll -- (ip6fw) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\orbmediaservice.dll -- (inspect) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s616nd5.dll -- (igateway) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdlncfwk.dll -- (idechndr) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zpnodecollector.dll -- (ibmfilter) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\epstnt01.dll -- (GTPTSER) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\abiosdsk.dll -- (GT680x) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\afs2k.dll -- (giveio) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sscdbhk5.dll -- (GENERICDRV) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Rawwan.dll -- (fsbwsys) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NSSvcMgr.dll -- (forcewarewebinterface) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SE27mdm.dll -- (fix) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lemsgt.dll -- (EPOWER) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\symantecantibotagent.dll -- (earthlinksafeconnectagent) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\msvad_simple.dll -- (drvmcdb) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\basic2.dll -- (djsnetcn) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\winmtsrv.dll -- (datunidr) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NuidFltr.dll -- (cxusb) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\s116bus.dll -- (cxlpt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\aavmker4.dll -- (comhost) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\transarcafsdaemon.dll -- (clmtomcatstartersvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zfdwm.dll -- (cisvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se45mdfl.dll -- (cdmservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pgpsdkservice.dll -- (CAMFLT) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\regservice.dll -- (BUFADPT) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CXTUNE.dll -- (btnetfilter) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\proxyserverservice.dll -- (bdfdll) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\GENERICDRV.dll -- (avgmfx86) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\PCTINDIS5.dll -- (atalk) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vmauthdservice.dll -- (aspnet_state) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\IJPLMSVC.dll -- (antivirservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ssdiagn.dll -- (ANC) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\resourcemanagermail.dll -- (amsint) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\hnmsvc.dll -- (ACDaemon) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\delldmi.dll -- (_iomega_active_disk_service_) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\lnowicki\AppData\Local\Temp\catchme.sys -- (catchme) FF - prefs.js..browser.startup.homepage: "pl.v9.com/ins/ins_1332543244_119391" [2012-03-24 00:54:05 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 4. Przedstawiasz log z wynikami SFC z punktu 1, log z przetwarzania skryptu z punktu 3 oraz nowy log z OTL z opcji Skanuj. . Odnośnik do komentarza
lbj6 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Dzięki za szybką odpowiedź. Dodaję logi, o które prosiłaś. sfc.txtPobieranie informacji ... 04012012_113514.txtPobieranie informacji ... OTL_2.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Wszystkie zadania pomyślnie przeprowadzone. Narzędzie SFC naprawiło plik: 2012-04-01 11:28:21, Info CSI 000001b6 [sR] Cannot repair member file [l:14{7}]"tdx.sys" of Microsoft-Windows-TDI-Over-TCPIP, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-04-01 11:28:21, Info CSI 000001b7 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup2012-04-01 11:28:21, Info CSI 000001b9 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"tdx.sys" from store Plik otrzymał sygnaturę Microsoftu i zniknął z listy niedomyślnych sterowników OTL. Sieć powinna już działać poprawnie bez sztywnego adresowania (Klient DNS będący w zależności od TDX może już startować), aczkolwiek jeszcze pod tym kątem na wszelki wypadek poniżej punkt 1 do wykonania. 1. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Posprawdzaj czy na liście w sekcjach "Sterowniki niezgodne z Plug and Play" oraz "Karty sieciowe" widnieją jakieś zdefektowane urządzenia z wykrzyknikiem. Jeśli nie, OK. Jeśli tak, z prawokliku je odinstaluj i zresetuj system. Windows na restarcie przebuduje urządzenia. 2. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\lnowicki\Desktop\ComboFix.exe /uninstall Gdy deinstalacja się ukończy, możesz zastosować opcję Sprzątanie w OTL, parającą się samokasacją OTL i jego kwarantanny. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte. Pustego nie ma sensu dołączać. . Odnośnik do komentarza
lbj6 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Dzięki śliczne. Ad. 1 Nie znalazłem żadnych problemów z urządzeniami. Połączenie z internetem na podstawie danych uzyskanych automatycznie, więc jest ok. ComboFix i OTL odinstalowane bez przeszkód Skanowanie Malwarebytes Anti-Malware też nie wykazało żadnych problemów. Dzięki raz jeszcze za błyskawiczną i sprawną pomoc. Będę pamiętał o wsparciu dla forum. Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Tu jeszcze mamy do zrobienia pewne rzeczy: 1. Aktualizacje systemu + oprogramowania pobocznego wg wytycznych: KLIK. Na Twojej liście widać brak SP1 oraz wersje: Enterprise Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 18"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)"Opera 11.60.1185" = Opera 11.60 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1644491937-117609710-682003330-71028\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome (Google Chrome to 17.0.963.83 = wg ścieżek z głównego OTL) 2. Na wszelki wypadek zmiana haseł logowania w serwisach. Dopiero jak wykonasz w/w i potwierdzisz pomyślną instalację pakietu SP1 / brak błędów w tej materii, temat uznam za zakończony. . Odnośnik do komentarza
lbj6 Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 (edytowane) Ok., powyższe będę mógł wykonać dopiero bardzo późnym wieczorem. Dam znać jak poszło. Edytowane 7 Maja 2012 przez picasso 7.05.2012 - Ponad miesiąc, brak dodatkowych komentarzy, temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi