pacyliuszek Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Witam Po kliknieciu w wyniki wyszukiwania google za kazdym razem wlacza sie abnow.com. Poza tym nie zauwazylem zadnych innych problemow. Co robic? OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Te przekierowania są konsekwencją pobytu rootkita ZeroAccess, który m.in. silnie ingeruje w układ sieciowy Windows. Nie widzisz wprawdzie żadnych dodatkowych "problemów", ale one są utajone. GMER zrobiony w nieprawidłowych warunkach, działa Alcohol/DAEMON i jego silny sterownik zakłócający pracę narzędzi diagnostycznych: DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ayvvj73m)DRV - [2009-07-27 17:14:09 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) 1. Rozpocznij od wykonania ogłoszenia: KLIK. Czyli deinstalacja Alcohola/DAEMONa, następnie deinstalacja sterownika SPTD narzędziem SPTDinst + restart systemu. 2. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. 3. Wykonaj nowe logi z OTL + GMER. Dołącz log z pracy ComboFix. . Odnośnik do komentarza
pacyliuszek Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Wlasnie zauwazylem jzu po czasie ze trzeba odinstalowac, a wlaczony byl Deamon Tools. Dzieki zaraz zabieram sie do roboty Po skanie Combo nie moge teraz nic otworzyc wiec nie mam jak zrobic nowych logow z OTL i Gmer Dobra doczytalem w innym watku ze trzeba tylko zresetowac komputer. Dziala zaraz dodam pozostale logi ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Po skanie Combo nie moge teraz nic otworzyc Czy pokazuje się błąd "Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został przeznaczony do usunięcia"? To skutek uboczny ComboFix występujący czasem na niektórych Windows, efekt tymczasowy, wystarczy zresetować system. . Odnośnik do komentarza
pacyliuszek Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Tak picasso to o ten komunikat chodzilo. Dodaje pozaostale logi zrobione po skanie Combo Gmer.txt OTL.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Nie wszystko zostało usunięte, nadal widać urządzenie rootkita oraz modyfikację pliku systemowego: ---- Kernel code sections - GMER 1.0.15 ---- .INIT C:\Windows\System32\Drivers\dfsc.sys entry point in ".INIT" section [0x8D2AC522] ---- Devices - GMER 1.0.15 ---- Device \Driver\00000709 \GLOBAL??\ACPI#PNP0303#2&da1a3ff&0 870E6B80 1. Przejdź w Tryb awaryjny Windows. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 2. Po restarcie systemu wytwórz nowy log z GMER. Dołącz log z wynikami filtrowania działań SFC z punktu 1. . Odnośnik do komentarza
pacyliuszek Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 zrobione Gmer.txt sfc.txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 (edytowane) Narzędzie SFC wykonało robotę i plik naprawiło: 2012-04-04 18:21:01, Info CSI 000001ac [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.0.6001.18633, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-04-04 18:21:01, Info CSI 000001ad [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup2012-04-04 18:21:01, Info CSI 000001af [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:16{8}]"dfsc.sys" from store Z GMER zniknęło urządzenie rootkit. Sprawa infekcji na poziomie czynnym rozwiązana. Możemy przejść do czyszczenia systemu z odpadków oraz innych śmieci (vShare i adware przez niego wprowadzone, inne paski śmiecące). 1. Przejdź do Panelu sterowania i odinstaluj: Ask Toolbar + DAEMON Tools Toolbar + VshareComplete + vShare Plugin / vShare.tv plugin 1.3 + Winamp Toolbar. W menedżerze rozszerzeń Firefox odinstaluj wymienione (tylko DAEMON nie będzie) i MapQuest Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Bodzio\AppData\Local\1884c42a C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\aol-search.xml C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\aol-web-search.xml C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\askcom.xml C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\daemon-search.xml C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\startsear.xml C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\web-search.xml C:\Users\Bodzio\AppData\Roaming\Mozilla\Firefox\Profiles\x74khvan.default\searchplugins\winamp-search.xml :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{021706AE-7F3A-40C9-8AD1-99720634723D}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{021706AE-7F3A-40C9-8AD1-99720634723D}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] :OTL FF - prefs.js..browser.startup.homepage: "http://www.szybko-szukaj.pl" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20111116090229346&tb_oid=18-02-2012&tb_mrud=18-02-2012&query=" FF - prefs.js..browser.search.selectedEngine: "AOL Search" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20111116090229346&tb_oid=18-02-2012&tb_mrud=18-02-2012&query=" O3 - HKU\S-1-5-21-3471784925-2866932089-2430185930-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VMC302.sys -- (VMC302) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Wygeneruj nowe logi: OTL z opcji Skanuj + AdwCleaner z opcji Search. Dołącz log z wynikami usuwania pozyskany w punnkcie 2. . Edytowane 7 Maja 2012 przez picasso 7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi