siupq Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Witam, dostałem do sprawdzenia komputer (WIN XP 32 sp3) od znajomej bo "coś" zaczęło się dziać. Był tam puszczony ComboFix dwukrotnie, po czym wyrzuciło komunikat o infekcji komputera Rootkit ZeroAccess i net przestał działać. GG, przeglądarki stoją w miejscu. Próbowałem zresetować stos TCP/IP itp itd jednak nic nie pomogło. Drugi log z ComboFix'a (pierwszego niestety nie posiadam): http://wklej.org/id/776867/ ComboFix-quarantined-files: http://wklej.org/id/776869/ Log OTL: http://wklej.org/id/776870/ Log GMER: http://wklej.org/id/776872/ Log Extras'a nie mam.. :/ dopiero przy pisaniu tego postu zauważyłem że o nim zapomniałem.. tj skopiować na pendraka bo na tamtym PC nie mam neta.. jutro dorzuce log Extras i ew inne jeśli będzie taka potrzeba. Musiałbym od nowa przepinać wszystkie kable, a dzisiaj już nie mam na to sił, sorka. Z góry dzięki za pomoc. Pozdrawiam, Rafał. Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Przyczyna braku sieci to skasowany plik sterownika sieciowego AFD: DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\afd.sys -- (AFD) Dodatkowo wg ComboFix główny sterownik TCP/IP jest niesygnowany: ------- Sigcheck -------Note: Unsigned files aren't necessarily malware..[-] 2008-05-05 . EAEC6EA32BDABD7622371C10B8D68A17 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys Poza tym, nadal aktywny wpis infekcji w starcie. 1. Przesyłam pliki afd.sys + tcpip.sys w wersji zgodnej z XP SP3: KLIK. Ten pierwszy wstaw ręcznie do katalogu C:\WINDOWS\System32\drivers. Ten drugi połóż bezpośrednio na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\tcpip.sys C:\WINDOWS\system32\drivers\tcpip.sys DeleteFolder: "C:\Documents and Settings\krzyH\Dane aplikacji\Civ" "C:\Documents and Settings\krzyH\Dane aplikacji\Asywuqi" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Zastosuj AdwCleaner z opcji Delete. 4. Wklej do posta log BlitzBlank oraz dołącz log z AdwCleaner. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
siupq Opublikowano 20 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Dzięki za szybką reakcję, net ruszył. Logi: 1. AdwCleaner - http://wklej.org/id/776903/ 2. BlitBlank - http://wklej.org/id/776904/ 3. OTL - http://wklej.org/id/776905/ 4. Extras - http://wklej.org/id/776906/ 5. FSS - http://wklej.org/id/776908/ Chyba tym razem niczego nie pominąłem. Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Wszystko wykonane. Wymagane tylko poprawki. 1. Odinstaluj aplikację FoxTab. Nośnik adware. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-343818398-879983540-1417001333-1003..\Run: [{DCDD620C-7A49-E237-F7FF-3B1145BB6A63}] C:\Documents and Settings\krzyH\Dane aplikacji\Civ\waxiil.exe File not found [2012-06-20 23:35:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\krzyH\Dane aplikacji\Civ FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110000&babsrc=adbartrp&mntrId=c84ea88f000000000000001970011e6f&q=" DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\krzyH\USTAWI~1\Temp\catchme.sys -- (catchme) :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{DCDD620C-7A49-E237-F7FF-3B1145BB6A63}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Log ten przedstaw do wglądu. . Odnośnik do komentarza
siupq Opublikowano 21 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Log : All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-343818398-879983540-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\\{DCDD620C-7A49-E237-F7FF-3B1145BB6A63} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DCDD620C-7A49-E237-F7FF-3B1145BB6A63}\ not found. C:\Documents and Settings\krzyH\Dane aplikacji\Civ folder moved successfully. Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1 Prefs.js: "Search the web (Babylon)" removed from browser.search.selectedEngine Prefs.js: "http://search.babylon.com/?AF=110000&babsrc=adbartrp&mntrId=c84ea88f000000000000001970011e6f&q=" removed from keyword.URL Service GMSIPCI stopped successfully! Service GMSIPCI deleted successfully! File E:\INSTALL\GMSIPCI.SYS not found. Service catchme stopped successfully! Service catchme deleted successfully! File C:\DOCUME~1\krzyH\USTAWI~1\Temp\catchme.sys not found. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{DCDD620C-7A49-E237-F7FF-3B1145BB6A63}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DCDD620C-7A49-E237-F7FF-3B1145BB6A63}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: krzyH ->Temp folder emptied: 192521 bytes ->Temporary Internet Files folder emptied: 364847 bytes ->Java cache emptied: 18730720 bytes ->FireFox cache emptied: 49471345 bytes ->Flash cache emptied: 33463 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352022 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 32768 bytes RecycleBin emptied: 138523 bytes Total Files Cleaned = 68,00 mb OTL by OldTimer - Version 3.2.12.1 log created on 06212012_061753 Files\Folders moved on Reboot... Registry entries deleted on Reboot... już wszystko ok? Jeśli tak to dziękuję bardzo za pomoc Pozdrawiam, Rafał. Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2012 Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Finalizacja: 1. Prawidłowa deinstalacja ComboFix. W Start > Uruchom > wklej polecenie: "C:\Documents and settings\krzyH\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, zastosuj Sprzątanie w OTL + Uninstall w AdwCleaner. Ręcznie dokasuj resztę używanych narzędzi. 2. Aktualizacje: KLIK. Tu wyciąg wersji z listy zainstalowanych: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{8BD6DD52-2F49-4E35-B678-71E1E7D286DB}" = ESET NOD32 Antivirus"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1" = NOD32 FiX"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"ENTERPRISE" = Microsoft Office Enterprise 2007"KLiteCodecPack_is1" = K-Lite Codec Pack 2.77 Full"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) NOD nie najnowszy i skrakowany. Z darmowych wymienników np.: Avast, Panda Cloud Antivirus, Microsoft Security Essentials. 3. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
siupq Opublikowano 22 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Czerwca 2012 Wielkie dzięki za błyskawiczną pomoc ! Co fachowiec to fachowiec Temat można chyba zamknąć. Wszystko ładnie pięknie chodzi. Jeszcze raz dziękuję. Pozdrawiam, Rafał. Odnośnik do komentarza
Rekomendowane odpowiedzi