eto Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 Witam. Mam problem z trojanami. Antywirus cały czas blokuje dostęp do nich. Proszę o sprawdzenie logów oraz ewentualną pomoc. Log z gmera dorzuce jak sie zrobi skan. GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-09-16 15:30:23 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380215A rev.3.AAD Running: zhu1341j.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pxtdapoc.sys ---- System - GMER 1.0.15 ---- SSDT F7CFD26C ZwClose SSDT F7CFD226 ZwCreateKey SSDT F7CFD276 ZwCreateSection SSDT F7CFD21C ZwCreateThread SSDT F7CFD22B ZwDeleteKey SSDT F7CFD235 ZwDeleteValueKey SSDT F7CFD267 ZwDuplicateObject SSDT F7CFD23A ZwLoadKey SSDT F7CFD208 ZwOpenProcess SSDT F7CFD20D ZwOpenThread SSDT F7CFD28F ZwQueryValueKey SSDT F7CFD244 ZwReplaceKey SSDT F7CFD280 ZwRequestWaitReplyPort SSDT F7CFD23F ZwRestoreKey SSDT F7CFD27B ZwSetContextThread SSDT F7CFD285 ZwSetSecurityObject SSDT F7CFD230 ZwSetValueKey SSDT F7CFD28A ZwSystemDebugControl SSDT F7CFD217 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF6A99A0C] ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Mozilla Firefox\firefox.exe[2816] ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 011D0C00 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!lstrlenW + 43 7C809AEC 7 Bytes JMP 01407B4C C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!MapViewOfFileEx + 6A 7C80B9A0 7 Bytes JMP 01407B29 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!ValidateLocale + B130 7C844958 7 Bytes JMP 011D3FAC C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2816] GDI32.dll!SetDIBitsToDevice + 20A 77F19E14 7 Bytes JMP 01407AAA C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 17 Września 2012 Zgłoś Udostępnij Opublikowano 17 Września 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1547161642-1580818891-839522115-1004..\Run: [Km4IYIkg] C:\Documents and Settings\All Users\lmLxXwdYVbnAWKH\hoBZio4O1n1y\rNWk3553H4er7khx\YMbzK55VjPD99C\TiO78NCMkJNHhl\abSh3T5y9.exe () :Files C:\Documents and Settings\All Users\lmLxXwdYVbnAWKH C:\Documents and Settings\All Users\5483Kq8M.exe C:\Documents and Settings\All Users\EHkS5HuNQ.cpl C:\Documents and Settings\All Users\qR53eMYK.exe C:\Documents and Settings\All Users\qZfwivuedD7.cpl C:\Documents and Settings\All Users\TjvUOPaoE.cpl C:\Documents and Settings\All Users\2318cbf45df6208ecd4ec036b6d482bb15d1be41 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
eto Opublikowano 20 Września 2012 Autor Zgłoś Udostępnij Opublikowano 20 Września 2012 Witam. Podaję logi z usuwania i kolejny z OTL. log z usuwania.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Infekcja jak była tak jest. Spróbujmy inaczej zrobić. 1. Uruchom zgodnie z opisem narzędzie ComboFix. 2. Gdy ukończy pracę przedstaw z niego raport oraz nowy log z OTL wykonany po pracy ComboFix. Odnośnik do komentarza
eto Opublikowano 21 Września 2012 Autor Zgłoś Udostępnij Opublikowano 21 Września 2012 nie wiem czy to możliwe ale chyba antywirus przyblokował usuwanie przez OTL bo wyskoczyło okno z antywirusa, że zablokowano dostęp do pliku. Może wyłączyć go i powtórzyc skrypt OTL? Odnośnik do komentarza
Landuss Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Wszelkie oprogramowanie zabezpieczające ma być WYŁĄCZONE na czas wykonywania skryptów. Możesz spróbować zrobić skrypt z trybu awaryjnego nawet. Sprawdź a jeśli się nie powiedzie to zrobisz jak wyżej napisałem. Odnośnik do komentarza
eto Opublikowano 22 Września 2012 Autor Zgłoś Udostępnij Opublikowano 22 Września 2012 Jednak OTL nie usunał tego po wyłączeniu antywirusa. Podaje zatem wyniki pracy ComboFix ComboFix.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Września 2012 Zgłoś Udostępnij Opublikowano 23 Września 2012 ComboFix też się za bardzo nie popisał, ale co nieco usunął. Poprawka przez OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [uyBy4LQVC] C:\Documents and Settings\All Users\0YZ1lPm4whVMN1bm\iSFG1QWgA6Qs\M9arWv3F2X8qXBS\1pfujyBz.exe () [2012-09-22 09:20:05 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\0YZ1lPm4whVMN1bm [2012-09-20 17:15:54 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\tmdrsMIXwN1dwFS [2012-09-16 19:43:35 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\VjxXNBhrEqxcIh [2012-09-22 09:20:05 | 000,000,231 | ---- | M] () -- C:\Documents and Settings\All Users\2318cbf45df6208ecd4ec036b6d482bb15d1be41 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL Odnośnik do komentarza
eto Opublikowano 23 Września 2012 Autor Zgłoś Udostępnij Opublikowano 23 Września 2012 Witam. Teraz chyba OTL zrobił swoje. Pliki usuniete. Znikneły wpisy w msconfig. Poadje wyniki pracy z OTL. log z usuwania.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Września 2012 Zgłoś Udostępnij Opublikowano 23 Września 2012 Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Możesz wykonać skan przez Malwarebytes Anti-Malware Odnośnik do komentarza
eto Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Czy OTL usuwa Combo Fixa? Czy odzielnie go odinstalować przez przełącznik / uninstall? Odnośnik do komentarza
Landuss Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 Możesz przez uninstall. A więc Start > uruchom > cmd i wklep "ścieżka do ComboFix" /uninstall Odnośnik do komentarza
Rekomendowane odpowiedzi