Rootkit zero access, brak połączenia do internetu i wyłączony antywirus

[choco]

Windows 7, 32 bit.

 

Gdzieś się tego nabawiłem po drodze. Próbowałem rozwiązać problem.

Uruchomiłem ComboFixa (tak wiem, że nie powinno się tego robić jeśli nie jest się pewnym).

 

Początek w Pierwszym skanowaniu pokazał to co na załczniku wiadomosc.jpg.

Dodaję log z 1 skanowania (2 skanowanie nie różni się w logu). Po pierwszym uruchomiłem Eseta i przeskanowałem dysk C:. Wynik, znaleziono 2 infekcje:

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K496YW1C\DivxUpdate[1].exe » ZIP » setup.exe - Win32/Adware.ToolPlugin aplikacja

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K496YW1C\DivxUpdate[1].exe » ZIP » tools.dll - Win32/Adware.ToolPlugin aplikacja

 

 

Proszę o ocenę czy pozbyłem się wirusów.

ComboFix 1 przejscie.txt

[Landuss]

Na początek zastosuj się do zasad działu i wykonaj wymagane raporty z OTL + Gmer

[choco]

W załączeniu OTL i Gmer.

Extras.Txt

OTL.Txt

gmer.txt

[Landuss]

A skąd w ogóle pomysł że tu był ZeroAccess? Brak jakichkolwiek jego śladów w logach. Ogólnie nie widzę tutaj żadnej infekcji.

 

Wykonaj jeszcze dwa raporty dodatkowe:

 

1. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

2. Wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

[choco]

Wrzucam logi z FSS i SystemLock.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:14 on 26/08/2012 by Mariusz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\ERDNT\cache\services.exe --a---- 259072 bytes [18:49 20/02/2012] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

FSS.txt

[Landuss]

Logi niczego niepokojącego nie pokazują, jeszcze raz więc pytam skąd pomysł na ZeroAccess?

[choco]

Z tego co wyświetlił Combofix, to w pierwszym poście załączyłem na screenie. Sugerował zeroAccess, stąd podałem go w tytule.

[Landuss]

To możliwe, ze ComboFix tu usunął choć żaden z jego logów nie pokazuje aby coś takiego się wydarzyło. Nie będziemy gdybać. W obecnych logach brak aktywnej infekcji więc tylko wykonaj czynności na zakończenie.

 

1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\Mariusz\Desktop\ComboFix.exe" /uninstall

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.2)

"Mozilla Firefox 11.0 (x86 en-US)" = Mozilla Firefox 11.0 (x86 en-US)

 

Szczegóły aktualizacyjne: KLIK

[choco]

Zrobione. Dzięki za pomoc. Wszystko gotowe:)?