abraham2ooo

Dostałem od znajomej komputer, Win 7 64bit, zainstalowany Trend Micro - nieaktywny, komputer ciężko chodzi, wolno się uruchamia. Odinstalowałem Trenda i zainstalowałem Avasta, ten woła, że wykrył infekcję typu rootkit i uruchomi ponownie komputer ze skanowaniem. Podczas skanowania zatrzymuje się na jednym pliku (C:\Boot\pl-PL\bootmgr.exe.mui) i nie idzie dalej, próbowałem kilka razy. Proszę o przejrzenie loga.

Na serwerze zainstalowana jest Avira. Po zalogowaniu, w trayu widać ikonkę Aviry z wykrzyknikiem i po kliknięciu jej, w głównym oknie av widać, że ochrona jest wyłączona, nie można jej włączyć, przycisk jest nieaktywny lub po najechaniu myszką ikona w trayu znika i w menadżerze zadań nie ma uruchomionego żadnego procesu Aviry. Nie pomaga żadna reinstalacja. Wcześniej Avira działała tam 3 lata bez problemu.

Trochę to trwało, ale w końcu dotarłem do sprzętu. Gmer nadal powoduje bsod, tak w normalnym trybie, jak i awaryjnym, ale szczątkowy skan zapisałem. Oba programy, Gmer i TDSSKiller, pokazują zainfekowany plik SBCore, ale nie wiem jaka to infekcja. Logi załączam. gmer.txt tdss.txt

Niestety nie próbowałem w trybie awaryjmym, spróbuję w środę jak będę miał dostęp do maszyny. ComboFix używam na własną odpowiedzialność, ale nie robiłem tego jeszcze na systemach serwerowych, więc o to pytam, bo chcę wiedzieć na przyszłość. Resztę raportów dołączę jak tylko uzyskam raport z Gmera,czyli między świętami. PS. Przy poprzednik kompie pomagała picasso w tym temacie.

W zeszłym tygodniu odwirusowaliśmy jeden komputer, ale używany był w szkole i mam kolejne przypadki dziwnych zachowań. Najgorsza jest infekcja Win 2003 Server, ale nie do końca mogę stwierdzić co to jest. Po zalogowaniu widziałem przez chwilę Avirę (jest na wszystkich kompacha ta sama, bo szkoła ma wersję edukacjyjną) i później sama się wyłącza, przeprowadzana reinstalacja oczywiście nic nie daje. Zacząłem skanować Gmerem, po odpaleniu dostałem informację, że coś wykrył i czy zrobić pełny skan systemu, chwilę później dostałem BSODa z memory dump. Więcej nie kombinowałem, bo serwer uruchamia się ok godziny i nie miałem czasu. Moje pytanie jest takie, czy mam postępować tak jak przy zwykłym systemie, czy np. ComboFixem mogę wyrządzić większe szkody na systemie serwerowym?

Wszystko jasne, dziękuję za pomoc

OTL usunął zadane śmieci, log załączam. ComboFix, zarówno odinstalowany z F:, jak i nowy, pobrany na pulpit nie wykazują błędów związanych z ZeroAccess, Cały czas działa jeszcze catchme: c:\docume~1\S0904~1.IWO\USTAWI~1\Temp\catchme.dll Usunąć go przez OTL, ręcznie, czy samoistnie się usuwa? ComboFix.txt OTL.Txt

Załączam. Żadnych alertów na czerwono nie widać. (tak późno, bo z rana wydawał mi się za krótki i puściłem jeszcze raz ) Widzę oba komunikaty, plus trzeci po polsku, że ComboFix wykrył rootkita i musi ponownie uruchomić komputer, ale po drugim komunikacie zamykają się już wszystkie procesy systemowe i nie mogę zrobić screena. No tak, dobrze wiedzieć na przyszlość. gmer.txt

Witam. Do tej pory radziłem sobie raczej ze wszystkimi infekcjami, z jakimi mialem do czynienia, zazwyczaj google albo ComboFix rozwiązywałe sprawę, ale teraz mam małą zagwozdkę - ZeroAccess. Klientka zadzwoniła do mnie, że coś sie dzieje z antyvirusem, ochrona jest nieaktywna i nie idzie jej włączyć. Przy sprawdzaniu poszperalem chwilę, uruchomiłem ComboFixa i za pierwszym razem się zawiesił, reset i ponowne uruchomienie Combo, wyskoczyło: po naciśnięciu ok, 2-3 min i: tu po OK był jeszcze jeden kompunikat, po którym uruchomił się ponownie komputer. Później jeszcze ComboFix wymienił problemy z plikami Volsnap.sys i apenoq1s.dll Przeskanował komputer, wyrzucił parę plików i folderów (niestety nie mam pierwszego loga, usunąłem go, bo myślałem, że sprawa załatwiona, wrzucam bieżący). Po restarcie zainstalowany Eset działa, nie ma konkretnych objawów działania wirusa, internet jest, ale podczas ponownego uruchamiania Combofixa cały czas pokazuje się powyższy komunikat, bardzo długo pracuje, komputer się restuje, sprawdzanie przechodzi w 15 min (dość długo, mz.) nic nie wykrywa i wyświetla załączony log (odpalałem go dzisiaj 4 czy 5 razy i cały czas to samo). Przeczytałem juz kilka tematów związanych z tym rootkitem, próbowałem się go pozbyć, ale nadal coś gdzieś siedzi. Najbardziej niepokoją mnie: [2012-04-23 18:13:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2012-04-23 18:13:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2012-04-23 18:13:03 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2012-04-23 18:13:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2012-04-23 17:14:01 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012-04-23 17:14:01 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012-04-23 17:14:01 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012-04-23 17:14:01 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012-04-23 17:14:01 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe usuwałem je ręcznie z OTL Live CD, ale znów się pojawiły. Antizeroaccess pisze, że nic nie wykrył. Użyłem jeszcze TDSSKiller i Kaspersky Removal Tool, i one też nic nie wykryły. Raporty z Gmera i mbam dołączę jutro, puściałem skanowanie na noc i rano jadę do klientki po logi. Proszę o pomoc. ComboFix.txt Extras.Txt OTL.Txt