Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rookit, brak drukowania, napędu opt, reklamy i niechciane strony

Janis

Przez Janis
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Janis

Janis

Opublikowano
Opublikowano

Komputer z Vistą i Essentials, pracujący w niedużej firmie.
Część funkcji nie działa -np. Przywracanie systemu. Nie widać ikon Połączeń Sieciowych
-internet niby jest, ale otwierają się niechciane strony i wiele niechcianych treści.

 

GMER po skanie wstępnym wypisał, że jest podejrzenie rootkita. W czasie skanu C, GMER najpierw zgłosił, że jest rootkit i zaraz się wyłączyłł. Potem już nie dałem rady uruchomić GMER nawet w trybie awaryjnym. Nie wiem, gdzie szukać logu GMER, bo nie zdążyłem zapisać.

 

Wjąłem dysk systemowy z komputera i podpiąłem do nie wykazującego objawów infekcji, przeskanowanego AdwCleaner.

Najpierw uruchomiłem skanowanie przeniesionego dysku antywirusem firmy Microsoft. Po skanowaniu zobbaczyłem komunikat z obrazka "Exploit".

Potem ściągnąłem i uruchomiłem GMER w opcji skanowania przeniesionego dysku. Daję w załączniku log, ale jest on nieporównanie krótszy, jak log, widoczny w zarażonym systemie (zanim nie pojawił się komunikat, że plik gmera przestał działać i został zamknięty)

 

Właściciel komputera a techniczny, a i ja mogę tylko poprosić o poradę Panią picasso -jak naprawić ?
Niestety, nie ma u nas osób, co szybko potrafiłyby nie tylko na nowo postawić Windows, ale i firmowe programy takie, jak Płatnik. Jeśli reinstalacja okaże się niezbędna, będzie trwała długo.

FRST.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Janis

Janis

Opublikowano
  • Autor
Opublikowano

Zanim przeczytałem sugestię Zappa:

 

Ponownie wyciąnąłem dysk zkomputera i przeskanowałem w innym komputerze -tym razem z antywirusem Gdata. Znalazł około 60 infekcji i albo usunął, albo zakwarantannił.

 

Wróciłem z dyskiem do macierzystego komputera i ściągnąłem AdwCleaner i przeskanowałem. Znalazło dłuuugą listę (dołączony log) i poleciłem

to wszystko usunąć

 

Po tych czystkach nie ma już reklam w przeglądarce, nie otwierają się same strony -jednak nadal system jest jakby poblokowany. Np.

otworzyłem Usługi, a tam włączone zaledwie kilka i nie idzie włączyć kolejnych. Próby skutkują komunikatami np:

"niemożliwe włączenie w trybie awaryjnym"   - (tryb był normalny),

 

Dopiero teraz ściągnąłem TDSSKiller i uruchomiłem. Wypisał, że nie znalazł rootkitów -log tego programu również załączam.

AdwCleanerS0.txt

TDSSKiller.txt

Odnośnik do komentarza
Janis

Janis

Opublikowano
  • Autor
Opublikowano

Po napisaniu poprzedniego postu uruchomiłem GMER, który pewnie dzięki zniszczeniu jakieś infekcji przy pomocy innego systemu, wreszcie przebiegł bez problemu.

Uruchomiłem ponownie również FRST.

 

W usługach uruchomione są tylko: Dziennikzdarzeń, Informacjeoaplikacji, Instrumentacjazarządzania, Microsoftantimalware, Plugandplay, Programuruchamiającyprocesserwera, Usługaprofilówużytkownika, Usługikryptograficzne, Widowsdriverfundacjon, RPC.

Inne Visty mają włączone około 70 usług, a tutaj tylko 10.

 

Część, z tych nie włączonych usług ma tryb uruchamiania automatyczny -ale ani podczas startu systemu, ani ręcznie nie dają się uruchomić -wyświetla się tylko, komunikat, że włączenie się nie powiodło lub, że tej usługi nie da się włączyć w trybie awaryjnym, choć tryb jest normalny. Tak jest nawet wtedy, gdy włączana usługa nie zależy od żadnej z nie włączonych.

 

Po najechaniu na ikonkę połączenia sieciowego w zasobniku systemowym, uwidacznia się fiszka:

 

"Stan połączenia nieznany Uruchomienie usługi, zależności lub grupy nie powiodło się".

 

Więc klikam prawym klawiszem i wybieram Diagnozuj i napraw

Pojawia się okno Diagnostyka sieci, a w środku komunikat:

 

"Kliknij, aby otworzyć Menedżera sterowania usługami

Będzie konieczne ręczne uruchomienie usługi Zasady diagnostyki.

Po uruchomieniu usługi można uruchomić diagnostykę sieci"

 

Po kliknięciu otwiera się okno usług, ale nie widzę żadnej o nazwie Zasady diagnostyki, z resztą i tak pewnie nie dałaby się włączyć.

 

Pomimo wszystkiego Internet, jakoś działał, jakby poza systemem Windows -bo jak otwierałem wiersz polecenia i pisałem ping onet.pl -to wypisywało, że sterownik ip nie odpowiada -a jednak Internet był, choć intranetu już nie. 

 

Nie było też Napędu optycznego, ale po odinstalowaniu go z menedżera urządzeń i ponownym zainstalowaniu, napęd się pojawił.

Spróbowałem odinstalować też kartę sieciową, ale spowodowało to brak Internetu, a ping zgłasza teraz normalny komunikat, że nie może znaleźć hosta onet. 

 

Jeśli ktoś wie, gdzie wyłączone są usługi, to mogę próbować to naprawić, jeśli nie -to myślę przy pomocy płyty instalacyjnej Visty wykonać przywracanie system i wyrzucić wirusy, które też zostaną przywrócone.

Gmer.txt

FRST.txt

Odnośnik do komentarza
Janis

Janis

Opublikowano
  • Autor
Opublikowano

Dziś właściciel komputera zdecydował, by sprowadzić firmę, co naprawi sytuację.

Przyjechali, obejrzeli i stwierdzili, że nie opłaca się naprawiać, zbyt dużo pracy.

Zaproponowali reinstalację -właściciel zgodził się -będą to robić.

 

Pozdrawiam osoby, które przyglądały się tej sprawie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Post z błędną diagnozą usuwam. Wbrew temu co tu powiedziano były oznaki infekcji rootkit, a konkretnie ZeroAccess w wersji fałszywego Google:

 

HKU\S-1-5-21-3853803772-3165243653-2453907892-1001\...\Run: [Google Update*] => [X] 
 

ZeroAccess:

C:\Users\ad\AppData\Local\Google\Desktop\Install

 

Te błędy usług to zapewne skutek tej infekcji (usunięte usługi).

 

 

 

Dziś właściciel komputera zdecydował, by sprowadzić firmę, co naprawi sytuację.

Przyjechali, obejrzeli i stwierdzili, że nie opłaca się naprawiać, zbyt dużo pracy.

Zaproponowali reinstalację -właściciel zgodził się -będą to robić.

Jeśli to jest już w toku, temat zamknę. W przeciwnym wypadku mogę go pociągnąć.

 

 

 

 

.

Odnośnik do komentarza
Zappa

Zappa

Opublikowano
Opublikowano

Pytanie poza tematem.

 

Post z błędną diagnozą usuwam. Wbrew temu co tu powiedziano były oznaki infekcji rootkit, a konkretnie ZeroAccess w wersji fałszywego Google:

Naprawdę uważasz, że ta infekcja mogła spowodować taką dewastacje usług? Szczerze mówiąc, nie spotkałem się z takimi objawami. Widziałem logi z FRST i akcent który wyszczególniłaś, ale takich efektów przy tej wersji rootkita nie doświadczyłem.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Moja wypowiedź była bardzo skrócona, gdyż w nawiązaniu do konkretnego wątku infekcji (obecna) w połączeniu z planowaną reinstalacją. Rozwijając wypowiedź:

- ZeroAccess zajmuje się dewastacją usług z układu zabezpieczeń (Centrum, Aktualizacje, wszystkie usługi Zapory i Pomoc IP). Wariant z fałszywym Google jest ostatnim znanym, więc wszystkie wyliczone powinny być zdefektowane. Nie jest jednak wykluczone, że te z układu naruszonego infekcją nieudolnie reperowano w jakiś sposób tutaj, gdyż ZA jest w częściach. A jeśli tak było, nie wiadomo nic na temat budowy i uprawnień usług, oraz czy nie naruszono czegoś więcej:

- W opisie są dodatkowe kierunki sugerujące, że stało się coś więcej z przyczyn bliżej nieznanych. Błędy sugerują deaktywację usług, ale ten wtręt z usługą Zasad diagnostyki pachnie również tym: KLIK.

 

Tu nie były w ogóle sprawdzane usługi natywne Windows (FRST w stanie filtrowania, więc to log moooocno oszczędny), ani tym bardziej ich uprawnienia.

 

 

.

Odnośnik do komentarza
Zappa

Zappa

Opublikowano
Opublikowano

Nie jest jednak wykluczone, że te z układu naruszonego infekcją nieudolnie reperowano w jakiś sposób tutaj, gdyż ZA jest w częściach. A jeśli tak było, nie wiadomo nic na temat budowy i uprawnień usług, oraz czy nie naruszono czegoś więcej:

- W opisie są dodatkowe kierunki sugerujące, że stało się coś więcej z przyczyn bliżej nieznanych. Błędy sugerują deaktywację usług, ale ten wtręt z usługą Zasad diagnostyki pachnie również tym: KLIK.

 

Tu nie były w ogóle sprawdzane usługi natywne Windows (FRST w stanie filtrowania, więc to log moooocno oszczędny), ani tym bardziej ich uprawnienia.

 

Dziekuje za wyjaśnienie. Znakiem tego, nalezy weryfikować poprawność plików, rejestru oraz uprawnień.

 

Tu nie były w ogóle sprawdzane usługi natywne Windows (FRST w stanie filtrowania, więc to log moooocno oszczędny), ani tym bardziej ich uprawnienia.

Tak. Nie były sprawdzane. Nie mam zamiaru wydawać dyspozycji w czasie Twojej nieobecności.

 

z poważaniem

Odnośnik do komentarza
Janis

Janis

Opublikowano
  • Autor
Opublikowano

- ZeroAccess zajmuje się dewastacją usług...:

...Błędy sugerują deaktywację usług, ale ten wtręt z usługą Zasad diagnostyki pachnie również tym: KLIK.

 

Dopiero dziś mogłem przeczytać temat z linku KLIK powyższego cytatu. Potwierdzam, że tamten przypadek opisany został zupełnie zgodnie z tym, co obserwowano w moim przypadku.

To niezła przygoda zamienić parę słów z Osobą, co jest w stanie zdiagnozować i jeszcze naprawić tak ciężki przypadek.

 

Ja myślałem próbować jeszcze innej drogi: Zrobić z płyty instalacyjnej Przywracanie Systemu i po tym spróbować wyrzucić infekcje, naprawić złe ustawienia -liczyłem, że dało by się wrócić do punktu, gdzie jeszcze szkody nie były tak głębokie.

Jednak właściciela przekonano, że lepiej zainwestować w reinstalację. Teraz męczą się, by odtworzyć wszystkie dane niezbędne w firmowych programach.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...