GrzesiuLato Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Witam. Otóż dzisiaj pobrałem kilka rzeczy, cs 1.6, photoshopa, jakieś mody do gier i tym podobne, po czym przegladarka zaczęła się samoistnie wyłączać kiedy jej sie tylko chciało. Postanowiłem więc przejechać system combofixem, jak robiłem to zawsze w tego typu sytuacjach. Tym razem jednak, po restarcie systemu, wszystkie aplikacje, włącznie z tymi domyślnymi z win7 ( menedżer urządzeń etc. ) miałem zablokowane, poprzez wywalenie erroru po próbie uruchomienia " wykonano próbę niedozwolonej operacji na kluczu rejestru, który został oznaczony do usunięcia " . Poczytałem trochę o tym błędzie i z tego co zrozumiałem, jest to rootkit ZeroAccess. Otóż, po restarcie systemu wszystko z wierzchu wróciło do normy, lecz niepokojąco wzrosło użycie procesora do 40% przy odpalonej przeglądarce i aqq ( wcześniej - max 10% ). Dołączam log z ComboFixa... Proszę o pomoc i z góry dziękuję Extras.Txt OTL.Txt Gmer.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2012 Zgłoś Udostępnij Opublikowano 9 Września 2012 (edytowane) Znaki wskazuję, że w systemie jest straszny wirus Sality (infekuje wszystkie wykonywalne na wszystkich dyskach). Otóż wszystkie usuwane przez ComboFix pliki autorun.inf + pif natychmiast się zrekonstruowały i to jest jeden ze znaków, że wirus jest czynny: O32 - AutoRun File - [2012-09-08 19:30:56 | 000,000,290 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-09-08 19:30:56 | 000,000,260 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-09-08 19:30:56 | 000,000,308 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] [2012-09-08 19:30:56 | 000,103,140 | RHS- | M] () -- C:\gsblpr.pif[2012-09-08 19:30:56 | 000,000,290 | RHS- | M] () -- C:\autorun.inf[2012-09-07 22:11:26 | 000,103,140 | RHS- | M] () -- C:\mqamg.exe W autoryzacjach zapory charakterystyczne autoryzacje z oznaczeniem "ipsec" (program tak oznaczony jest już zainfekowany wirusem): ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\ComboFix\NircmdB.exe" = C:\ComboFix\NircmdB.exe:*:Enabled:ipsec"C:\Program Files\Internet Download Manager\IDMan.exe" = C:\Program Files\Internet Download Manager\IDMan.exe:*:Enabled:ipsec"C:\Windows\Explorer.EXE" = C:\Windows\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation) 1. Uruchom SalityKiller. Jeśli znajdzie zainfekowane programy, powtarzaj skan do skutku, dopóki nie ujawni się podsumowanie z zero zainfekowanych. 2. Sprawdź czy możesz wejść w Tryb awaryjny. Sality kasuje z rejestru klucz awaryjnego. Postanowiłem więc przejechać system combofixem, jak robiłem to zawsze w tego typu sytuacjach. Na przyszłość: KLIK. Użyłeś go niepotrzebnie. Narzędzie skasowało: wtyczkę LiveVDO / StartSearch plugin (tak, bo to nośnik adware) i omawiane wyżej potencjalne obiekty Sality (nieskutecznie, bo ComboFix to nie jest skaner tego rodzaju, by dać temu radę...). A takie rzeczy jak LiveVDO powinno się usuwać inaczej = przez prawidłową deinstalację. Tym razem jednak, po restarcie systemu, wszystkie aplikacje, włącznie z tymi domyślnymi z win7 ( menedżer urządzeń etc. ) miałem zablokowane, poprzez wywalenie erroru po próbie uruchomienia " wykonano próbę niedozwolonej operacji na kluczu rejestru, który został oznaczony do usunięcia " . Poczytałem trochę o tym błędzie i z tego co zrozumiałem, jest to rootkit ZeroAccess. Nie. Ten błąd tworzy ComboFix. Zdarza się to czasem po jego uruchomieniu (i owszem = reset wystarczy, by go zlikwidować). . Edytowane 8 Października 2012 przez picasso 8.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi