Skocz do zawartości
Nadchodzące zmiany w logowaniu

mib888

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    11

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez mib888

  3. Rootkit ZeroAccess - po naprawie brak internetu

    w Dział pomocy doraźnej

    Opublikowano

    Próbowałem ręcznie, ale wykłada się na dwóch pierwszych poleceniach: nie działa net stop bits oraz przy poleceniu: Del "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat" - brak folderu Microsoft.

     

     

    podczas wpisywania polecenia: Ren %systemroot%\SoftwareDistribution\...(DataStore,Download) *.bak -"Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu niepoprawna." (catroot2 - nie próbowałem). Foldery i plik isntnieją.

     

    DNS zmieniałem ale nic to nie dało.

     

     

    Nie wiem czy to ma jakieś znaczenie, ale nie mogę wyłączyć połączeń (zarówno lokalnego jak bezprzewodowego): "W tej chwili nie można wyłączyć połączenia. Być może to połączenie korzysta z jednego lub więcej protokołów nie obsługujących standardu Plug and Play lub zostało zainicjowane przez innego użytkownika lub konto systemowe"

     

    Masz jeszcze jakieś pomysły? W sumie to zajmuje się nieswoim kompem i się zastanawiam czy nie zrobić w końcu formata bo przydało by się go już oddać...

  7. Rootkit ZeroAccess - po naprawie brak internetu

    w Dział pomocy doraźnej

    Opublikowano

    Tylko nie wiadomo co ComboFix usuwał lub gdzie podmieniał pliki. Jego deinstalacja była niestety zbyt szybko wykonanym krokiem.

    .

     

    Trochę się uniosłem i z rozpędu odinstalowałem przed sprawdzeniem sieci.

     

    Nie łączy: Firefox, Internet Explorer, Opera USB ani zwykła Opera.

     

    Ten skrypt nie miał u Ciebie zastosowania (z wyjątkiem jak rozumiem podmiany i8042prt.sys). Jedyne co w nim jest wspólnego z Twoim systemem to komenda czyszczenia plików tymczasowych, a jeśli podstawiono prawidłowe pliki względnie komendy /replace ujdą, tylko brak potwierdzenia, by cokolwiek innego niż i8042prt.sys miało tu uzasadnienie...

     

    zainfekowany był równiez acpi.sys

     

    Przyznaje, że działałem na oślep bo nie bawiłem się w temacie skryptów, ale schematycznie dodałem jedynie wymiane acpi.sys.

     

     

    Istnieje jakiś poradnik dotyczący np czytania logów czy właśnie związany ze skryptami, bo zainterosowałem się podczas tego problemu?

  8. Rootkit ZeroAccess - po naprawie brak internetu

    w Dział pomocy doraźnej

    Opublikowano

    Włączyłem ComboFixa, ale w trakcie pracy system restartował się, a przy ekranie logowania już dało się zauważyć, że mysz i klawiatura nie działają (jak poźniej okazało się strowniki byl zainfekowane). Kierowałem się instrukcjami z podobnego tematu (http://www.fixitpc.p...kit-zeroaccess/) i naprawiłem problem klawiatury i myszy. Po zalogowaniu ComboFix dokończył robote, ale jak już wspomniałem efektów jego pracy nie ma...

     

    Reset nie pomógł.

    Zone Alarm gruntownie usunięty.

     

     

    Odnośnie tego co robiłem podczas naprawy:

    Zastosowałem w OTL ten skrypt:

     

     

     

    :Files

    C:\Windows\system32\drivers\i8042prt.sys|C:\Pliki\i8042prt.sys /replace

    C:\Windows\system32\dllcache\i8042prt.sys|C:\Pliki\i8042prt.sys /replace

    C:\Windows\system32\mswsock.dll|C:\Pliki\mswsock.dll /replace

    C:\Windows\system32\dllcache\mswsock.dll|C:\Pliki\mswsock.dll /replace

    C:\Windows\system32\drivers\acpi.sys|C:\Pliki\acpi.sys /replace

    C:\Windows\system32\dllcache\acpi.sys|C:\Pliki\acpi.sys /replace

    C:\Windows\system32\drivers\klif.cab

    C:\Documents and Settings\Trzy\Dane aplikacji\f-secure

    C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

    C:\Documents and Settings\All Users\Dane aplikacji\ESET

    C:\Documents and Settings\All Users\Dane aplikacji\F-Secure

     

    :OTL

    DRV - File not found [Kernel | On_Demand] -- -- (F-Secure Standalone Minifilter)

    DRV - File not found [Kernel | On_Demand] -- -- (dd17994e)

    O4 - HKLM..\Run: [combofix] File not found

    O4 - HKU\B_ON_C..\Run: [userinit] File not found

    O4 - HKLM..\RunOnce: [combofix] File not found

    O4 - HKLM..\RunOnceEx: [flags] Reg Error: Invalid data type. File not found

     

    :Commands

    [emptyflash]

    [emptytemp]

     

     

     

    Wiem, żę niektóre elementy wogóle nie mają związku z moim problemem ( skopiowałem skrypt z tamtego tematu), ale postanowiłem zaryzykować.

    Wymiana sterowników pomogła.

    FSS.txt

  9. Rootkit ZeroAccess - po naprawie brak internetu

    w Dział pomocy doraźnej

    Opublikowano

    Nie mam jego wyników... zostały nadpisane podczas próby deinstalacji ComboFixa (uruchomił się ponownie, prawdopodobnie przez pomyłkę).

     

    Nie jasno sie wyraziłem("Nadal brak połączenia"). Sytuacja poprostu bez zmian. Przeglądarka wyświetla brak połączenia.

     

    Odinstalowałem Zone Alarm, ale nadal bez zmian.

     

    Wyskoczył komunikat, że nie może usunąć folderu. Po zakończeniu procesu dał znać, że niektóre elementy do usunięcia wymagają restartu, więc być może wtedy został usunięty.

  10. Rootkit ZeroAccess - po naprawie brak internetu

    w Dział pomocy doraźnej

    Opublikowano

    Nadal brak połączenia...

     

    1. Jeszcze raz log przed wykonaniem skryptu:

    http://wklej.org/id/662837/

    http://wklej.org/id/662838/

     

    2. Raport z Kaspersky'iego:

    http://wklej.org/id/662840/

     

    3. Log po wykonaniu skryptu:

    http://wklej.org/id/662841/

     

    4. Log z OTL:

    http://wklej.org/id/662844/

    http://wklej.org/id/662845/

     

    p.s. podczas wykonywania skryptu nie chciał usunąć folderu Dc30.

  11. Rootkit ZeroAccess - po naprawie brak internetu

    w Dział pomocy doraźnej

    Opublikowano

    Witam!

    Ostatnio miałem problem z Rootkitem Zero Access, który już zażegnałem kierując się tutejszymi intrukcjami, ale po usunięciu infekcji pozostaje słaby net ( gg i skype dają rade, ale na przeglądarke już jest za słaby). Zainstalowałem nowe sterowniki jednak brak poprawy. Proszę o pomoc.

    Logi z GMER i OTL:

     

     

    http://wklej.org/id/662788/

     

    http://wklej.org/id/662792/

×
×
  • Dodaj nową pozycję...