futrzak

Hura !! Pobrałem aktualizacje bez żadnych błędów. Noda również postawiłem i po skanie nic mi nie wykrył.

Wielkie dzięki Picasso za ofiarowaną pomoc oraz cierpliwość

Wyżej wymienione polecenia wykonałem.

Jest poprawa pobiera mi aktualizację. Nareszcie mam nadzieję że to już koniec.

Wszystkie polecenia zostały wykonane bez żadnych problemów. Przy sprawdzaniu błędów nie wykryło mi żadnych błędów.

Również przedstawiam log z Kasperskego

Nadal nie mogę pobrać aktualizacji. Skanowałem ComboFixem w trybie awaryjnym ale wierszał mi się przy tworzeniu raportów.

TDSSKiller.2.6.6.0_07.10.2011_20.24.10_log.txt

Combofix chodził ponad godzinę informując że skanowanie będzie trwało około 10 min. Obecnie również wyskoczył mi błąd: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić Kosz na tym dysku?

Również zaproponowałaś żebym przeskanował Kasperskim nie uczyniłem tego ponieważ pracował ComboFix. Czy mam teraz przeskanować ??

Przyjrzyj się czy w wynikach jest oznaczenie [sYMLINKD] takiego rodzaju

Przedstawię log z tego polecenia. Znalazł ale jest inny.

Microsoft Windows [Wersja 6.0.6001]

Copyright © 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\>DIR /A C:\Windows

Wolumin w stacji C nie ma etykiety.

Numer seryjny woluminu: 76A8-5960

Katalog: C:\Windows

2011-10-07 16:31 <DIR> .

2011-10-07 16:31 <DIR> ..

2008-09-25 20:12 <SYMLINKD> $NtUninstallKB3255$ [c:\windows\system32\config]

1 Usługi kryptograficzne mają status Uruchomiono oraz Automatyczny

Przedstawiam log:

sfc.txt

Odpaliłem FixIta ale dalej nie mogę pobrać aktualizacji.

Podczas uruchomienia programu (na samym początku) wyskoczył mi błąd:

Instalator napotkał błąd: 0x80096001

Podczas weryfikowania zaufania wystąpił błąd poziomu systemu.

Pliki usunąłem ręcznie tak jak mówiłaś, a z Windows Update dalej jest tak samo po odinstalowaniu NODA

1 Jeżeli chodzi o OTL: tak wykonałem cały skrypt z postu wyżej, a po zakończeniu skryptu dałem sprzątanie wszystkie logi oraz OTL się skasowały. Spybot został odinstalowany.

2 Uruchomiłem Fixit ale dalej mam komunikat że nie może wyszukać nowych aktualizacji oraz kod 80096001. Wyłączyłem NODA ale dalej jest tak samo.

Przedstawiam log z OTL:

OTL.Txt

Witam ponownie

Mam problem próbuję zainstalować SP2 ale wyskakuje mi komunikat żebym zainstalował SP1. Natomiast SP1 mam zainstalowaną razem z Vistą więc mam ją w systemie. Ściągnąłem SP1 i jak próbuję zainstalować mam komunikat że jest już zainstalowany.

Natomiast jak chce pobrać aktualizacje przez internet pokazuje mi komunikat: kod 80096001.

Wczoraj przeskanowałem mbam i znalazł mi trojana, poniżej przedstawiam log.

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

Wersja bazy: 7877

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

2011-10-05 17:38:12

mbam-log-2011-10-05 (17-38-12).txt

Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowano obiektów: 320030

Upłynęło: 51 minut(y), 21 sekund(y)

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 1

Zainfekowanych plików: 1

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

Zainfekowanych folderów:

c:\Users\agnieszka\AppData\Roaming\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.

Zainfekowanych plików:

c:\Users\agnieszka\downloads\nero_8.3.6.0_pl\nero lite 8.3.6.0\keygen.exe (Trojan.Agent) -> Not selected for removal.

Natomiast obecnie skanuję nodem i również mam 1 infekcję (przedstawiam wpis z raportu)

C:\Documents and Settings\Agnieszka\AppData\Local\Temp\3203397148:3809022017.exe - Win32/Sirefef.CT koń trojański - wyleczony przez usunięcie - poddany kwarantannie

Zastosuję się do twoich rad. Porobię aktualizacje oraz po testuję Vistę. Mam nadzieję że, wszystko będzie OK.

Wielkie dzięki za ofiarowaną pomoc oraz cierpliwość.

Kaspersky nie wykrył żadnych problemów, wiec nie przedstawiam raportu (OK / Packed / Archive / Password Protected takie wyniki cię nie interesują)

GrantPerms został uruchomiony pliki skasowane

Przedstawiam logi:

OTL.Txt

Ad-Report-SCAN1.txt

Przedstawiam logi :

AntiZeroAccess_Log.txt

OTL.Txt

Podaję log z OTLPE:

========== FILES ==========

File C:\Windows\System32\drivers\dfsc.sys successfully replaced with C:\dfsc.sys

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

< rd /s /q C:\32788R22FWJFW /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

< rd /s /q C:\ComboFix /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

< rd /s /q C:\Qoobox /C >

C:\cmd.bat deleted successfully.

C:\cmd.txt deleted successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 10042011_161852

Podczas uruchomienia Fixit mam komunikat że:

Usługa instalator Windows nie jest dostępna w trybie awaryjnym.

Informuje mnie żebym spróbował ponownie kiedy komputer nie będzie pracował w trybie awaryjnym.

Przedstawiam logi. Mam problem z Webroot -em a mianowicie

pierwsze okno jest takie:

Would you like to perform a System Scan? [Y/N]

Następnie mi skanuje a na koncu zaraz po skanowaniu mam komunikat

Your system is not infected by ZeroAccess/Max++ Rootkit!

Execution ended.

Press any key to exit...

Tych środkowych okien z leczeniem mi nie wyświetla miałem raz tak post czy dwa wyżej co skasowało połowę.

Mam tak za każdym razem kiedy go uruchamiam.

OTL.Txt

AntiZeroAccess_Log.txt

Przedstawiam logi:

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:06

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

22:06:26 - CheckSystem - Begin to check system...

22:06:26 - OpenRootDrive - Opening system root volume and physical drive....

22:06:26 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

22:06:26 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

22:06:27 - InstallAndStartDriver - Main driver was installed and now is running.

22:06:27 - CheckSystem - Warning! Disk class driver is INFECTED.

22:06:28 - CheckFile - Warning! File "dfsc.sys" is Infected by ZeroAccess Rootkit.

22:07:01 - CheckExecutableEP - Unable to open "C:\Program Files\ESET\ESET Smart Security\ekrn.exe" file. CreateFile last error: 5

22:07:01 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\pdf complete\pdfsvc.exe

22:07:01 - CheckExecutableEP - Unable to open "c:\windows\system32\slsvc.exe" file. CreateFile last error: 5

22:07:15 - DoRepair - Begin to perform system repair....

22:07:15 - DoRepair - System Disk class driver was repaired.

22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed.

22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned!

22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file.

22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file.

22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process.

22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned!

22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found.

22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot.

22:08:19 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:08:19 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:08:19 - Execution Ended!

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 22:12

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

22:12:48 - CheckSystem - Begin to check system...

22:12:48 - OpenRootDrive - Opening system root volume and physical drive....

22:12:48 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

22:12:48 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

22:12:49 - InstallAndStartDriver - Main driver was installed and now is running.

22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED.

22:13:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:13:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:13:10 - Execution Ended!

========== FILES ==========

File C:\Windows\System32\drivers\netbt.sys successfully replaced with C:\netbt.sys

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_235929

Daję raporty Antizeroaccess byl uruchomiony przed otlpe

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 20:34

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

20:35:02 - CheckSystem - Begin to check system...

20:35:02 - OpenRootDrive - Opening system root volume and physical drive....

20:35:02 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

20:35:02 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

20:35:02 - InstallAndStartDriver - Main driver was installed and now is running.

20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED.

20:35:08 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

20:35:13 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

20:35:13 - Execution Ended!

========== FILES ==========

Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_220517

Jestem w trybie awaryjnym podczas wypakowywania plików Combo wyświetlił mi okno z błędem:

Błąd otwarcia pliku do zapisu:

C:\32788R22FWJFW\swxcacls.3XE

Wybierz Anuluj, aby przerwać instalację,

Ponów, aby ponowić zapis do pliku lub

Ignoruj aby pominąć ten plik

Podczas resetu winsock mam następujące komunikaty:

Nie można załadować następującego pomocnika DLL: WSHELPER.DLL.

Nie można załadować następującego pomocnika DLL: IFMON.DLL.

Nie znaleziono następującego polecenia: winsock reset

Plik podmieniłem klawiatura jest ok. Daję logi z OTL i z Webroot AntiZeroAccess:

Webroot AntiZeroAccess 0.8 Log File

Execution time: 03/10/2011 - 20:05

Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1

20:05:15 - CheckSystem - Begin to check system...

20:05:15 - OpenRootDrive - Opening system root volume and physical drive....

20:05:15 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors.

20:05:15 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".

20:05:15 - InstallAndStartDriver - Main driver was installed and now is running.

20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED.

20:05:21 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

20:05:21 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

20:05:21 - Execution Ended!

OTL.Txt

Daję raporty z Kaspersky Rescue Disk.

Stan: Zagrożenie (zdarzenia: 9)

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/AEADISRV.EXE Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Windows/System32/agrsmsvc.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/Microsoft.NET/Framework/v2.0.50727/mscorsvw.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Windows/System32/HASPSrv.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/HP Health Check/HPHC_Service.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Hewlett-Packard/Shared/hpqWmiEx.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Intel/Intel Matrix Storage Manager/IAANTmon.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie Koń trojański Trojan-Spy.Win32.Zbot.gen C:/Program Files/Common Files/InterVideo/RegMgr/iviRegMgr.exe Wysoki poziom bezpieczeństwa

 

11-10-03 16:57 Zagrożenie wirus Type_Win32 C:/Program Files/Common Files/LightScribe/LSSrvc.exe Wysoki poziom bezpieczeństwa

 

Nie mogę się zalogować do Visty klawiatura nie reaguje

1. Wstępnie, z poziomu OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej (...) Klik w Run Fix.

Załączam logi:

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\1cf6efbe deleted successfully.

C:\Windows\System32\c_47915.nl_ moved successfully.

C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_173348

========== OTL ==========

Service\Driver key 1cf6efbe not found.

========== FILES ==========

File\Folder C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} not found.

File\Folder C:\Windows\System32\c_47915.nl_ not found.

C:\Windows\Assembly\GAC_MSIL\Desktop.ini moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_181727

Combofix chodził przez całą noc i stał w tym samym miejscu.

Ściągnąłem oraz przeskanowałem OTLPE Przedstawiam log.

OTL.txt

Odpowiedz mi wyraźnie na pytanie czy go uruchamiałeś w Trybie awaryjnym Windows?

TAK

W końcu odpaliłem Combofix jestem na etapie skanowania

Nadal stoi na niebieskim oknie i informuje mnie, że skanowanie zajmie około 10 minut, tak jest około 4 godzin. Zostawię go na noc może ruszy.

Mam kilka pytań:

Jak zrobię format i postawię nowy system to wykasuję tego rootkita ?

Czy jak będę robił kopie danych to nie zainfekuję swojego kompa ? Mam WinXP więc się trochę obawiam.

Hm mam problem z Combofix wypakował pliki i się wyłączył będę próbował dalej przeskanować.

Podczas wypakowywania plików wyskoczył błąd:

Błąd otwarcia pliku do zapisu

c:\32788R22FWJFW\swxcacls.3xe

Wybierz Anuluj, aby przerwać instalację,

Ponów aby ponowić zapis do pliku lub

Ignoruj, aby pominąć ten plik.

I co mam z tym zrobić ??

EDIT

Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się

Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?