ZeroAccess - ComboFix się zawiesza

[rom2k]

Witam.

 

Podczas instalacji sterowników do skanera pojawił się komunikat w stylu "odmowa dostępu do folderu".

Rozpocząłem poszukiwania -tzn uruchamiałem po kolei programy w stylu TDSSKiller, MBR, ADW Cleaner, Rkill, ale niczego nie rozpoznały.

Uruchomiony ComboFix wyświetla komunikat: You are infectet with .ZeroAccess!... Niestety chwilę po potwierdzeniu ComboFix przestaje reagować.

 

Załączam log z OTL. Niestety GMER po dosyć długim czasie (ok. 3h) zawiesza komputer - BlueScreen i napis DRIVER_CORRUPTED_MMPOOL . próbowałem dwa razy. Log tylko z QuickScan.

 

Jestem bezsilny. Bardzo proszę o pomoc.

 

 

Results of screen317's Security Check version 0.99.57

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

COMODO Antivirus

Antivirus up to date! (On Access scanning disabled!)

`````````Anti-malware/Other Utilities Check:`````````

Spybot - Search & Destroy

CCleaner (remove only)

Driver Cleaner 3

Java 7 Update 11

Java 6 Update 3

Java 6 Update 5

Java 6 Update 7

Adobe Flash Player 11.4.402.278

Adobe Reader 8 Adobe Reader out of Date!

````````Process Check: objlist.exe by Laurent````````

Comodo Firewall cmdagent.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

OTL.Txt

Gmer.txt

[picasso]

Log z OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" ie została ustawiona na "Użyj filtrowania").

 

 

Podczas instalacji sterowników do skanera pojawił się komunikat w stylu "odmowa dostępu do folderu".

 

Czy próbowałeś jak to wygląda przy całkowicie nieaktywnym COMODO Internet Security?

 

 

Rozpocząłem poszukiwania -tzn uruchamiałem po kolei programy w stylu TDSSKiller, MBR, ADW Cleaner, Rkill, ale niczego nie rozpoznały.

Uruchomiony ComboFix wyświetla komunikat: You are infectet with .ZeroAccess!... Niestety chwilę po potwierdzeniu ComboFix przestaje reagować.

 

Zostaw tego Combofixa w spokoju. Wg raportów nie ma tu żadnych oznak czynnej infekcji ZeroAccess, co się zgadza z werdyktem TDSSKiller, który bez problemu wykrywa ten konkretny wariant. ComboFix prawdopodobnie wariuje na jednym z tych:

 

1. Wybrakowany sterownik mający ścieżkę dostępu rozpoczynającą się od "globalroot":

 

DRV - File not found [Kernel | Unavailable | Unknown] -- globalroot\C:\WINDOWS\system32\drivers\100599.sys -- (100599)

 

2. Usługa opisana jako "Iomega":

 

SRV - [2011-11-07 18:42:49 | 000,073,728 | ---- | M] (Iomega Corporation) [Disabled | Stopped] -- C:\PROGRA~1\Iomega\System32\AppServices.exe -- (Iomega App Services)

 

Fałszywą usługę z takim opisem tworzy ZeroAccess, tylko że tutaj to nie jest usługa ZeroAccess, tylko dokładnie to co wskazuje opis.

 

Usuń sobie po prostu puste wpisy oraz szczątki po Kasperskym i to tyle jeśli chodzi o "czyszczenie".

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab" (Reg Error: Key error.)
O29 - HKLM SecurityProviders - (msdhwadaq.dll) -  File not found
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\Opcenum.exe -- (OpcEnum)
SRV - File not found [Disabled | Stopped] --  -- (Iomega Activity Disk2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\siusbmod.sys -- (siusbmod)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Roman\USTAWI~1\Temp\GPU-Z.sys -- (GPU-Z)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\GenericMount.sys -- (GenericMount)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AmdK8.sys -- (AmdK8)
DRV - File not found [Kernel | Unavailable | Unknown] -- globalroot\C:\WINDOWS\system32\drivers\100599.sys -- (100599)
DRV - [2009-10-22 12:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\06103692.sys -- (06103692)
DRV - [2009-10-09 22:31:10 | 000,315,408 | ---- | M] (Kaspersky Lab) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\0610369.sys -- (Kaspersky_VRTdrv)
DRV - [2009-09-25 16:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\DRIVERS\06103691.sys -- (06103691)
[2013-02-04 00:20:53 | 000,000,009 | ---- | M] () -- C:\END
[2013-02-03 23:51:53 | 000,000,332 | ---- | M] () -- C:\Start_.cmd
[2013-02-03 23:29:54 | 008,405,015 | ---- | M] () -- C:\WINDOWS\TempFile
[2013-01-10 17:07:42 | 000,004,096 | ---- | M] () -- C:\WINDOWS\System32\crash
[2013-01-27 13:57:48 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine.

 

 

 

.

[rom2k]

Bardzo dziękuję za pomoc.

 

Problem sterowników do skanera to był dla mnie pierwszy sygnał (w końcu go zainstalowałem ), potem doszły problemy z zapisem skanów najpierw szło OK, a potem zaczęło wariować raz zapisywał pięć razy nie. Dziwne zachowanie przeglądarki, a na koniec nie mogłem również jej otworzyć (Opera).

 

Teraz - po wykonaniu skryptów - przeinstalowałem Operę i działa . Co do skanera negatywów - potrzebuję więcej czasu żeby to sprawdzić.

 

Usługa "Iomega" to sterownik napędu Iomega Jaz. Napęd SCSI, obecnie nie używany.

 

Próbowałem ComboFixa i GMERa również z odinstalowanym COMODO.

 

 

Jeszcze raz kompletne logi:

Extras.Txt

OTL.Txt

[picasso]

1. Jeszcze poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O29 - HKLM SecurityProviders - (msdhwadaq.dll) -  File not found
 
:Reg
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Ale nowych logów OTL już nie potrzebuję, nie ma co sprawdzać.

 

2. Sterownik emulatorów typu DAEMON Tools / Alcohol zwraca błędy:

 

Error - 2013-02-04 16:14:15 | Computer Name = ROMAN-A8 | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   sptd
 
Error - 2013-02-04 16:14:28 | Computer Name = ROMAN-A8 | Source = sptd | ID = 262148
Description = Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla .

 

Sprawdź czy widzi go narzędzie SPTDinst: KLIK.

 

 

Usługa "Iomega" to sterownik napędu Iomega Jaz. Napęd SCSI, obecnie nie używany

 

Tak, wiem, zaznaczam to przecież ("tutaj to nie jest usługa ZeroAccess, tylko dokładnie to co wskazuje opis"). Próbuję spekulować co ma na myśli ComboFix, bo tu nie ma znaków czynnej infekcji ZeroAccess. Jak podałam, były tylko dwa wpisy, które ComboFix mógł w jakiś sposób "interpretować" naciągając sprawę.

 

 

Problem sterowników do skanera to był dla mnie pierwszy sygnał (w końcu go zainstalowałem ), potem doszły problemy z zapisem skanów najpierw szło OK, a potem zaczęło wariować raz zapisywał pięć razy nie. Dziwne zachowanie przeglądarki, a na koniec nie mogłem również jej otworzyć (Opera).

 

Moim zdaniem nie ma to nic wspólnego z infekcją.

 

 

 

.

[rom2k]

SPtDinst nie widzi sterownika

 

Skrypt wykonany

 

ComboFix bez zmian - melduje rootkita

[picasso]

ComboFix bez zmian - melduje rootkita

 

TDSSKiller nie widzi tej infekcji, w logach z OTL + GMER żadnych jej śladów. Moim zdaniem nie ma tu czego szukać.

 

 

SPtDinst nie widzi steronwnika

 

1. Uruchom MiniRegTool i w oknie wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go.

 

2. Następnie przez SHIFT+DEL skasuj z dysku plik C:\WINDOWS\system32\drivers\sptd.sys.

 

 

 

.

[rom2k]

Zrobiłem jak wyżej.

 

Nie chciałbym zajmować niepotrzebnie Twojego czasu. Jeżeli nie ma infekcji to może nie muszę się już niczym przejmować?

[picasso]

Jak mówię, ja tu nie widzę żadnej infekcji, a problemy z skanerem to w mojej opinii inna sprawa i sugerowałam sprawdzenie jak to wygląda po uziemieniu COMODO.

 

Sprawdź jeszcze czy ComboFix wariuje, jeśli zostanie uruchomiony "na świeżo", po uprzednim usunięciu jego danych:

 

1. Start > Uruchom > regedit i skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Swearware

 

2. W OTL uruchom Sprzątanie, co usunie zarówno OTL z kwarantanną, jak i ewentualne pliki ComboFix.

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso