nuno Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Witam, Proszę o pomoc w usunięciu tego badziejstwa. Skany robione w systemie awaryjnym. GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-07-15 13:50:20 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD3200BEVT-22A23T0 rev.01.01A01 Running: 46tomcx0.exe; Driver: C:\Users\laptop\AppData\Local\Temp\awrdapob.sys ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwRollbackEnlistment + 140D 820433C9 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 8207CD52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} ---- Devices - GMER 1.0.15 ---- Device \Driver\ACPI_HAL \Device\00000052 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp aswFW.SYS (avast! Filtering TDI driver/AVAST Software) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Udp aswFW.SYS (avast! Filtering TDI driver/AVAST Software) ---- EOF - GMER 1.0.15 ---- Sam przeanalizowałem msconfig i otl. Znalazłem tam " HKLM..\Run: [WinSyncMetastore] C:\Users\laptop\AppData\Local\Microsoft\Windows\724\WinSyncMetastore.exe ()". Użyłem też Norton Power Eraser, który także wskazał, że coś jest nie tak z tym plikiem. Program usunął plik i komputer już działa normalnie. Mimo wszystko proszę o sprawdzenie bo może coś jeszcze tu siedzi. Pozdrawiam OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Przemilczałeś użycie ComboFix. Na przyszłość: KLIK. Cytat Sam przeanalizowałem msconfig i otl. Znalazłem tam " HKLM..\Run: [WinSyncMetastore] C:\Users\laptop\AppData\Local\Microsoft\Windows\724\WinSyncMetastore.exe ()". Użyłem też Norton Power Eraser, który także wskazał, że coś jest nie tak z tym plikiem. Program usunął plik i komputer już działa normalnie. Mimo wszystko proszę o sprawdzenie bo może coś jeszcze tu siedzi. No tak, to logi z OTL pochodzą sprzed usuwania? Wpis w logu całkowity, żadnego wybrakowania pliku ... Niezależnie od tego czy to stara postać rzeczy mimo wszystko załączę to na usuwanie, włącznie z całym nadrzędnym folderem numerycznym (nie wystarczy tylko usunąć ten plik punktowany wpisem startowym). I to nie wszystkie elementy infekcji, jest także folder poboczny "hellomoto". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WinSyncMetastore] C:\Users\laptop\AppData\Local\Microsoft\Windows\724\WinSyncMetastore.exe () FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=9DC85562-D06B-4EE5-AB6E-4354D9062F77&apn_ptnrs=U3&apn_sauid=0D1A26C7-C1F2-4641-B34D-779BD75AB790&apn_dtid=OSJ000YYPL&&q=" IE - HKU\S-1-5-21-670955760-1914794717-2055818537-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541927057530658" IE - HKU\S-1-5-21-670955760-1914794717-2055818537-1000\..\SearchScopes\{ED371A58-43B3-437C-868E-C2C1206A0C80}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9DC85562-D06B-4EE5-AB6E-4354D9062F77&apn_sauid=0D1A26C7-C1F2-4641-B34D-779BD75AB790" :Files C:\Users\laptop\AppData\Local\Microsoft\Windows\724 C:\Users\laptop\AppData\Roaming\hellomoto C:\Users\laptop\AppData\Roaming\Mozilla\Firefox\Profiles\phfwzprq.default\searchplugins\MyStart Search.xml :Services catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Przeprowadź deinstalacje adware: - Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, Conduit Engine, DealPly, IncrediMail MediaBar 2 Toolbar. - Otwórz Firefox i w Dodatkach odmontuj: DealPly, IncrediMail MediaBar 2 Community Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
nuno Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Witam poniownie, logi w załączniku. Co do combofix to nawet nie wiedziałem, że było używane bo brat próbował najpierw naprawić komputer ... z marnym skutkiem :]. AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Zabrakło loga z wynikami usuwania OTL. Darujmy sobie to już jednak, widać zmiany w nowym skanie OTL. 1. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem z artykułu KB2545227. 2. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe, pobierz więc ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\laptop\Desktop\ComboFix.exe /uninstall 3. W OTL uruchom Sprzątanie, następnie w w AdwCleaner Uninstall. Przez SHIFT+DEL skasuj z dysku folder C:\Windows\erdnt. 4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych wykaz wersji wymagających interwencji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF)"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0) . Odnośnik do komentarza
Rekomendowane odpowiedzi