Stasiu18 Opublikowano 2 Września 2012 Zgłoś Udostępnij Opublikowano 2 Września 2012 Skanując dysk programem AVG natrafiłem zainfekowany plik consrv.dll, długo sie nie zastanawiając chciałem usunąć ten plik antywirusem a tu nagle wyskakuje komunikat że usunięcie tego pliku może spowodować nieodwracalne szkody, więc coś mnie tchneło i sprawdziłem co to za plik. Dowiedziałem się że usunięcie go spowoduje że windows sie nie uruchomi i ogólnie będzie źle.I tu pada moje pytanie: Co musze zrobić aby się tego pozbyć? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Uruchamiałeś ComboFix, a nie ma tu na ten temat ani słowa. Na przyszłość: KLIK. ZeroAccess czynny, co widać po modułach Winsock oraz tych elementach: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\system64] -> \systemroot\system32 -> Mount Point O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=consrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) 1. Uruchom Kaspersky TDSSKiller, pozostaw akcje przyznane domyślnie przez narzędzie. Zresetuj system. Na dysku C powstanie log z usuwania. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4052329174-634846144-980690349-1001..\Run: [Microsoft® Windows® Operating System] C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Templates\ASPNet.exe (Microsoft Corporation) :Files netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany 3. Odbuduj plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Odinstaluj adware RelevantKnowledge + YTD Toolbar v6.2. Następnie uruchom AdwCleaner i zastosuj Delete, co utworzy log z usuwania na dysku C. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log z usuwania TDSSKiller z punktu 1 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
Stasiu18 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Prosze oto logi. OTL.Txt FSS.txt AdwCleanerS1.txt TDSSKiller.2.8.8.0_03.09.2012_10.10.33_log.txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 TDSSKiller poradził sobie, zostało tylko łącze symboliczne po infekcji oraz korekta poprzednich działań. 1. Winsock nie został poprawnie zresetowany. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 2. Nadal brakuje pliku HOSTS: Hosts file not found Powtarzaj operację. Przypominam: plik nie ma mieć żadnego rozszerzenia. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [C:\Windows\system64] -> \systemroot\system32 -> Mount Point O4 - HKU\S-1-5-21-4052329174-634846144-980690349-1001..\Run: [Microsoft® Windows® Operating System] C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Templates\ASPNet.exe File not found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 3. . Odnośnik do komentarza
Stasiu18 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Zapomniałem usunąć rozszerzenie txt. Teraz powinno być dobrze. OTL.Txt 09032012_162351.txt Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Zadanie pomyślnie wykonane. Sprawdź czy widzisz na dysku folder C:\Windows\system64. Odnośnik do komentarza
Stasiu18 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Nie widze. Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Zakładam, że masz włączone wszystkie opcje widoku (odznaczone "Ukryj chronione pliki systemu operacyjnego"). Przechodzimy dalej: 1. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Maciek\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie oraz w AdwCleaner zastosuj Uninstall. Przez SHIFT+DEL skasuj te foldery z dysku: C:\TDSSKiller_Quarantine C:\Windows\erdnt 2. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Stasiu18 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Ok komputer jest czysty. Dziękuje za pomoc. A jeśli można to chciałbym jeszcze zadać 2 pytania 1. Gdy miałem tego ZeroAcces nie dało się zbytnio pracować z AVG tzn. wszystko było ok aż do czasu wyłączenia komputera, po ponownym uruchomieniu komputer się resetował po ładowaniu Windowsa tzn. zamiast pojawienia się okna w którym się loguje komputer się zrestartował i przy następnym włączeniu wyskakiwało okno z 2 opcjami: Napraw komputer i Uruchom normalnie (jak wybierałem 2 opcje działo się to co opisałem wyżej) a przy naprawieniu zawsze przywracało komputer do stanu sprzed instalacji tego programu. Czy teraz to się nie zdarzy? 2. Jak można naprawić ten problem: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić kosz na tym dysku? Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Gdy miałem tego ZeroAcces nie dało się zbytnio pracować z AVG tzn. wszystko było ok aż do czasu wyłączenia komputera, po ponownym uruchomieniu komputer się resetował po ładowaniu Windowsa tzn. zamiast pojawienia się okna w którym się loguje komputer się zrestartował i przy następnym włączeniu wyskakiwało okno z 2 opcjami: Napraw komputer i Uruchom normalnie (jak wybierałem 2 opcje działo się to co opisałem wyżej) a przy naprawieniu zawsze przywracało komputer do stanu sprzed instalacji tego programu. Czy teraz to się nie zdarzy? To zapewne był wynik usuwania pliku infekcji consrv.dll przez antywirusa, bez uzgodnienia rejestru w kluczu SubSystems. Przy takim nieprawidłowym usuwaniu dzieje się dokładnie to co z opisu (system wpada w pętle autoresetu). Kaspersky TDSSKiller usunął consrv.dll w prawidłowy sposób, tzn. nie tylko plik ale i wartość w rejestrze go ładującą: 10:11:45.0871 2128 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems:Windows - will be cured on reboot Jak można naprawić ten problem: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić kosz na tym dysku? Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę usuwania katalogu Kosza: rd /s /q C:\$Recycle.Bin . Odnośnik do komentarza
Stasiu18 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Ok wszystko teraz działa jak powino. Jeszcze raz dziękuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Na koniec: 1. Ważne aktualizacje podstawowe: KLIK. Twój log OTL pokazuje, że system jest nieaktualizowany (brak SP1+IE9) oraz są zainstalowane następujące wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit)"{26A24AE4-039D-4CA4-87B4-2F86417000FF}" = Java 7 (64-bit)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Gadu-Gadu" = Gadu-Gadu 6.1"Gadu-Gadu 10" = Gadu-Gadu 10 Parę Gadu-Gadu 6.1 + Gadu-Gadu 10 też zakreślam. GG6 strach stosować, archaiczna i słabo zabezpieczona wersja, nie umiejąca dobrze obsłużyć własnej sieci (sic!), nie wspominając o zgodności z Windows 7 x64. GG10 to z kolei zasobożerny potwór. Sugeruję obejrzenie alternatywnych programów z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. 2. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
Stasiu18 Opublikowano 3 Września 2012 Autor Zgłoś Udostępnij Opublikowano 3 Września 2012 Ok więc usune oba gg bo i tak z nich nie korzystam i zainstaluje SP1, jeśli chodzi i hasła to nie musze nic zmieniać ponieważ nie korzystam z takich stron jak facebook,nk,fora itd. Jedynie tutaj zmienie hasło bo to konto pewnie się kiedyś przyda i na platformie steam. Odnośnik do komentarza
Rekomendowane odpowiedzi