futrzak
-
Postów
26 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez futrzak
-
-
Wyżej wymienione polecenia wykonałem.
Jest poprawa pobiera mi aktualizację. Nareszcie mam nadzieję że to już koniec.
-
Wszystkie polecenia zostały wykonane bez żadnych problemów. Przy sprawdzaniu błędów nie wykryło mi żadnych błędów.
Również przedstawiam log z Kasperskego
Nadal nie mogę pobrać aktualizacji. Skanowałem ComboFixem w trybie awaryjnym ale wierszał mi się przy tworzeniu raportów.
-
Combofix chodził ponad godzinę informując że skanowanie będzie trwało około 10 min. Obecnie również wyskoczył mi błąd: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić Kosz na tym dysku?
Również zaproponowałaś żebym przeskanował Kasperskim nie uczyniłem tego ponieważ pracował ComboFix. Czy mam teraz przeskanować ??
Przyjrzyj się czy w wynikach jest oznaczenie [sYMLINKD] takiego rodzajuPrzedstawię log z tego polecenia. Znalazł ale jest inny.
Microsoft Windows [Wersja 6.0.6001]
Copyright © 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.
C:\>DIR /A C:\Windows
Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 76A8-5960
Katalog: C:\Windows
2011-10-07 16:31 <DIR> .
2011-10-07 16:31 <DIR> ..
2008-09-25 20:12 <SYMLINKD> $NtUninstallKB3255$ [c:\windows\system32\config]
-
-
Odpaliłem FixIta ale dalej nie mogę pobrać aktualizacji.
-
Podczas uruchomienia programu (na samym początku) wyskoczył mi błąd:
Instalator napotkał błąd: 0x80096001
Podczas weryfikowania zaufania wystąpił błąd poziomu systemu.
-
Pliki usunąłem ręcznie tak jak mówiłaś, a z Windows Update dalej jest tak samo po odinstalowaniu NODA
-
1 Jeżeli chodzi o OTL: tak wykonałem cały skrypt z postu wyżej, a po zakończeniu skryptu dałem sprzątanie wszystkie logi oraz OTL się skasowały. Spybot został odinstalowany.
2 Uruchomiłem Fixit ale dalej mam komunikat że nie może wyszukać nowych aktualizacji oraz kod 80096001. Wyłączyłem NODA ale dalej jest tak samo.
-
Przedstawiam log z OTL:
-
Witam ponownie
Mam problem próbuję zainstalować SP2 ale wyskakuje mi komunikat żebym zainstalował SP1. Natomiast SP1 mam zainstalowaną razem z Vistą więc mam ją w systemie. Ściągnąłem SP1 i jak próbuję zainstalować mam komunikat że jest już zainstalowany.
Natomiast jak chce pobrać aktualizacje przez internet pokazuje mi komunikat: kod 80096001.
Wczoraj przeskanowałem mbam i znalazł mi trojana, poniżej przedstawiam log.
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Wersja bazy: 7877
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
2011-10-05 17:38:12
mbam-log-2011-10-05 (17-38-12).txt
Typ skanowania: Pełne skanowanie (C:\|)
Przeskanowano obiektów: 320030
Upłynęło: 51 minut(y), 21 sekund(y)
Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 1
Zainfekowanych plików: 1
Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)
Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)
Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)
Zainfekowanych folderów:
c:\Users\agnieszka\AppData\Roaming\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
Zainfekowanych plików:
c:\Users\agnieszka\downloads\nero_8.3.6.0_pl\nero lite 8.3.6.0\keygen.exe (Trojan.Agent) -> Not selected for removal.
Natomiast obecnie skanuję nodem i również mam 1 infekcję (przedstawiam wpis z raportu)
C:\Documents and Settings\Agnieszka\AppData\Local\Temp\3203397148:3809022017.exe - Win32/Sirefef.CT koń trojański - wyleczony przez usunięcie - poddany kwarantannie
-
Zastosuję się do twoich rad. Porobię aktualizacje oraz po testuję Vistę. Mam nadzieję że, wszystko będzie OK.
Wielkie dzięki za ofiarowaną pomoc oraz cierpliwość.
-
Kaspersky nie wykrył żadnych problemów, wiec nie przedstawiam raportu (OK / Packed / Archive / Password Protected takie wyniki cię nie interesują)
GrantPerms został uruchomiony pliki skasowane
Przedstawiam logi:
-
-
Podaję log z OTLPE:
========== FILES ==========
File C:\Windows\System32\drivers\dfsc.sys successfully replaced with C:\dfsc.sys
C:\Windows\System32\c_47915.nl_ moved successfully.
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.
< rd /s /q C:\32788R22FWJFW /C >
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
< rd /s /q C:\ComboFix /C >
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
< rd /s /q C:\Qoobox /C >
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 10042011_161852
Podczas uruchomienia Fixit mam komunikat że:
Usługa instalator Windows nie jest dostępna w trybie awaryjnym.
Informuje mnie żebym spróbował ponownie kiedy komputer nie będzie pracował w trybie awaryjnym.
-
Przedstawiam logi. Mam problem z Webroot -em a mianowicie
pierwsze okno jest takie:
Would you like to perform a System Scan? [Y/N]
Następnie mi skanuje a na koncu zaraz po skanowaniu mam komunikat
Your system is not infected by ZeroAccess/Max++ Rootkit!
Execution ended.
Press any key to exit...
Tych środkowych okien z leczeniem mi nie wyświetla miałem raz tak post czy dwa wyżej co skasowało połowę.
Mam tak za każdym razem kiedy go uruchamiam.
-
Przedstawiam logi:
Webroot AntiZeroAccess 0.8 Log File
Execution time: 03/10/2011 - 22:06
Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1
22:06:26 - CheckSystem - Begin to check system...
22:06:26 - OpenRootDrive - Opening system root volume and physical drive....
22:06:26 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.
22:06:26 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".
22:06:27 - InstallAndStartDriver - Main driver was installed and now is running.
22:06:27 - CheckSystem - Warning! Disk class driver is INFECTED.
22:06:28 - CheckFile - Warning! File "dfsc.sys" is Infected by ZeroAccess Rootkit.
22:07:01 - CheckExecutableEP - Unable to open "C:\Program Files\ESET\ESET Smart Security\ekrn.exe" file. CreateFile last error: 5
22:07:01 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\pdf complete\pdfsvc.exe
22:07:01 - CheckExecutableEP - Unable to open "c:\windows\system32\slsvc.exe" file. CreateFile last error: 5
22:07:15 - DoRepair - Begin to perform system repair....
22:07:15 - DoRepair - System Disk class driver was repaired.
22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed.
22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned!
22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file.
22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file.
22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process.
22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned!
22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found.
22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot.
22:08:19 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
22:08:19 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
22:08:19 - Execution Ended!
Webroot AntiZeroAccess 0.8 Log File
Execution time: 03/10/2011 - 22:12
Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1
22:12:48 - CheckSystem - Begin to check system...
22:12:48 - OpenRootDrive - Opening system root volume and physical drive....
22:12:48 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.
22:12:48 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".
22:12:49 - InstallAndStartDriver - Main driver was installed and now is running.
22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED.
22:13:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
22:13:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
22:13:10 - Execution Ended!
========== FILES ==========
File C:\Windows\System32\drivers\netbt.sys successfully replaced with C:\netbt.sys
OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_235929
-
Daję raporty Antizeroaccess byl uruchomiony przed otlpe
Webroot AntiZeroAccess 0.8 Log File
Execution time: 03/10/2011 - 20:34
Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1
20:35:02 - CheckSystem - Begin to check system...
20:35:02 - OpenRootDrive - Opening system root volume and physical drive....
20:35:02 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.
20:35:02 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".
20:35:02 - InstallAndStartDriver - Main driver was installed and now is running.
20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED.
20:35:08 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
20:35:13 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
20:35:13 - Execution Ended!
========== FILES ==========
Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys
C:\Windows\System32\c_47915.nl_ moved successfully.
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_220517
Jestem w trybie awaryjnym podczas wypakowywania plików Combo wyświetlił mi okno z błędem:
Błąd otwarcia pliku do zapisu:
C:\32788R22FWJFW\swxcacls.3XE
Wybierz Anuluj, aby przerwać instalację,
Ponów, aby ponowić zapis do pliku lub
Ignoruj aby pominąć ten plik
-
Podczas resetu winsock mam następujące komunikaty:
Nie można załadować następującego pomocnika DLL: WSHELPER.DLL.
Nie można załadować następującego pomocnika DLL: IFMON.DLL.
Nie znaleziono następującego polecenia: winsock reset
-
Plik podmieniłem klawiatura jest ok. Daję logi z OTL i z Webroot AntiZeroAccess:
Webroot AntiZeroAccess 0.8 Log File
Execution time: 03/10/2011 - 20:05
Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1
20:05:15 - CheckSystem - Begin to check system...
20:05:15 - OpenRootDrive - Opening system root volume and physical drive....
20:05:15 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.
20:05:15 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".
20:05:15 - InstallAndStartDriver - Main driver was installed and now is running.
20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED.
20:05:21 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
20:05:21 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
20:05:21 - Execution Ended!
-
Daję raporty z Kaspersky Rescue Disk.
Stan: Zagrożenie (zdarzenia: 9)11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/AEADISRV.EXE Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/agrsmsvc.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/Microsoft.NET/Framework/v2.0.50727/mscorsvw.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/System32/HASPSrv.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/HP Health Check/HPHC_Service.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/Shared/hpqWmiEx.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Intel/Intel Matrix Storage Manager/IAANTmon.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Common Files/InterVideo/RegMgr/iviRegMgr.exe Wysoki poziom bezpieczeństwa
11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Common Files/LightScribe/LSSrvc.exe Wysoki poziom bezpieczeństwa
Nie mogę się zalogować do Visty klawiatura nie reaguje
-
1. Wstępnie, z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej (...) Klik w Run Fix.
Załączam logi:
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\1cf6efbe deleted successfully.
C:\Windows\System32\c_47915.nl_ moved successfully.
C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_173348
========== OTL ==========
Service\Driver key 1cf6efbe not found.
========== FILES ==========
File\Folder C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} not found.
File\Folder C:\Windows\System32\c_47915.nl_ not found.
C:\Windows\Assembly\GAC_MSIL\Desktop.ini moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_181727
-
Combofix chodził przez całą noc i stał w tym samym miejscu.
Ściągnąłem oraz przeskanowałem OTLPE Przedstawiam log.
-
Odpowiedz mi wyraźnie na pytanie czy go uruchamiałeś w Trybie awaryjnym Windows?
TAK
W końcu odpaliłem Combofix jestem na etapie skanowania
Nadal stoi na niebieskim oknie i informuje mnie, że skanowanie zajmie około 10 minut, tak jest około 4 godzin. Zostawię go na noc może ruszy.
Mam kilka pytań:
Jak zrobię format i postawię nowy system to wykasuję tego rootkita ?
Czy jak będę robił kopie danych to nie zainfekuję swojego kompa ? Mam WinXP więc się trochę obawiam.
-
Hm mam problem z Combofix wypakował pliki i się wyłączył będę próbował dalej przeskanować.
Podczas wypakowywania plików wyskoczył błąd:
Błąd otwarcia pliku do zapisu
c:\32788R22FWJFW\swxcacls.3xe
Wybierz Anuluj, aby przerwać instalację,
Ponów aby ponowić zapis do pliku lub
Ignoruj, aby pominąć ten plik.
I co mam z tym zrobić ??
EDIT
Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się
Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?
Rootkit "ZeroAccess"
w Dział pomocy doraźnej
Opublikowano
Hura !! Pobrałem aktualizacje bez żadnych błędów. Noda również postawiłem i po skanie nic mi nie wykrył.
Wielkie dzięki Picasso za ofiarowaną pomoc oraz cierpliwość