Witam. Do tej pory radziłem sobie raczej ze wszystkimi infekcjami, z jakimi mialem do czynienia, zazwyczaj google albo ComboFix rozwiązywałe sprawę, ale teraz mam małą zagwozdkę - ZeroAccess.
Klientka zadzwoniła do mnie, że coś sie dzieje z antyvirusem, ochrona jest nieaktywna i nie idzie jej włączyć. Przy sprawdzaniu poszperalem chwilę, uruchomiłem ComboFixa i za pierwszym razem się zawiesił, reset i ponowne uruchomienie Combo, wyskoczyło:
po naciśnięciu ok, 2-3 min i:
tu po OK był jeszcze jeden kompunikat, po którym uruchomił się ponownie komputer.
Później jeszcze ComboFix wymienił problemy z plikami Volsnap.sys i apenoq1s.dll
Przeskanował komputer, wyrzucił parę plików i folderów (niestety nie mam pierwszego loga, usunąłem go, bo myślałem, że sprawa załatwiona, wrzucam bieżący).
Po restarcie zainstalowany Eset działa, nie ma konkretnych objawów działania wirusa, internet jest, ale podczas ponownego uruchamiania Combofixa cały czas pokazuje się powyższy komunikat, bardzo długo pracuje, komputer się restuje, sprawdzanie przechodzi w 15 min (dość długo, mz.) nic nie wykrywa i wyświetla załączony log (odpalałem go dzisiaj 4 czy 5 razy i cały czas to samo).
Przeczytałem juz kilka tematów związanych z tym rootkitem, próbowałem się go pozbyć, ale nadal coś gdzieś siedzi. Najbardziej niepokoją mnie:
[2012-04-23 18:13:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012-04-23 18:13:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012-04-23 18:13:03 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012-04-23 18:13:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012-04-23 17:14:01 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012-04-23 17:14:01 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012-04-23 17:14:01 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012-04-23 17:14:01 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012-04-23 17:14:01 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
usuwałem je ręcznie z OTL Live CD, ale znów się pojawiły.
Antizeroaccess pisze, że nic nie wykrył. Użyłem jeszcze TDSSKiller i Kaspersky Removal Tool, i one też nic nie wykryły.
Raporty z Gmera i mbam dołączę jutro, puściałem skanowanie na noc i rano jadę do klientki po logi.
Proszę o pomoc.
ComboFix.txt
Extras.Txt
OTL.Txt