tuli Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Witam, problem dotyczy WIN7 Home Premium 32Bit. jak w temacie. Swego czasu byl jeszcze problem z jakims rootkitem, ktory sie aktywowal przy formularzach logowan ale ponoc zostal wykoszony... W zalaczeniu logi OTL + Checkup. Gmer zostal zamkniety przez system. Odpalamy drugi raz. Jak sie zrobi to doloze log z ww. programu. Pozdrawiam! Results of screen317's Security Check version 0.99.10 Windows 7 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Free Antivirus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: MVPS Hosts File Malwarebytes' Anti-Malware Java 6 Update 21 Out of date Java installed! Adobe Flash Player 10.2.152.26 Adobe Reader 9.4.4 - Polish Out of date Adobe Reader installed! ```````````````````````````````` Process Check: objlist.exe by Laurent Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 AvastUI.exe ``````````End of Log```````````` Odnośnik do komentarza
Landuss Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Gdyby z Gmerem był problem możesz sporządzić log z Kaspersky TDSSKiller. Gdy coś wykryje ustaw opcję Skip i wklej tylko raport do oglądnięcia. Odnośnik do komentarza
tuli Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 Gdyby z Gmerem był problem możesz sporządzić log z Kaspersky TDSSKiller. Gdy coś wykryje ustaw opcję Skip i wklej tylko raport do oglądnięcia. Log z gmera wklejony do pierwszego posta. A ten rootkit byl kojarzony z plikiem .rsrc C:\Windows\system32\DRIVERS\iaStor.sys, ktory widze, ze jest w logu z Gmera Pozdrawiam Odnośnik do komentarza
Landuss Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Tak, jest infekcja iastor.sys czyli rootkit TDL3 - infekcja w sterownikach a nie w MBR. A więc tak jak zaleciłem zastosuj Kasperskyego z opcją Cure (leczenie) i zaprezentuj log. Odnośnik do komentarza
tuli Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 Tak, jest infekcja iastor.sys czyli rootkit TDL3 - infekcja w sterownikach a nie w MBR. A więc tak jak zaleciłem zastosuj Kasperskyego z opcją Cure (leczenie) i zaprezentuj log. Infekcja zostala usunieta, system sie zrestartowal i log sie nie zachowal. Kolejne odpalenie Kasperskiego niczego juz nie ujawnilo i nie mam co wkleic :-( Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Proszę nie robić takich nieprzyjemnych rzeczy, tzn. usuwania Załączników. Przecież odbierasz sens tematowi, a my potrzebujemy wszystkie logi do sformułowania kroków końcowych (np. status komponentów / zainstalowanych programów). Proszę w pierwszym poście przywrócić usunięty materiał, bo nie jest możliwe zakończenie. EDIT: Chyba, że brak Załączników to wynik błędu forum, ponieważ w Koszu widzę duplikat tematu. Kolejne odpalenie Kasperskiego niczego juz nie ujawnilo i nie mam co wkleic :-( Prawidłowo. Tak to wygląda po usunięciu infekcji. . Odnośnik do komentarza
tuli Opublikowano 9 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2011 Niczego nie usuwalem :-( Ale juz sa wszystkie w komplecie Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 (edytowane) Niczego nie usuwalem :-( Ale juz sa wszystkie w komplecie Nie rozumiem co tu się stało, dlaczego temat utracił Załączniki. Być może jakiś błąd forum. Ważne, że raporty zostały przywrócone. Dziękuję. Wyraźnie powiedziałeś, że Kaspersky TDSSKiller niczego już nie wykrywa (w domyśle: również Avast się uspokoił). Bazując na tym zadaję końcowe instrukcje. 1. Jedna wątpliwość, w OTL widnieje dziwny ukryty folder w obszarze konta systemowego: [2011-04-22 12:01:20 | 000,000,000 | -HSD | C] -- C:\Windows\system32\config\systemprofile\Desktop\%APPDATA% Wejdź do tego folderu i powiedz mi co widzisz. 2. Korekta ogromnego pliku HOSTS przetwarzającego ponad 14 tysięcy wpisów (przypuszczalne źródło modyfikacji: pozostałość po Spybot Search & Destroy), który może generować problem z usługą Klient DNS: O1 - Hosts: 127.0.0.1 localhostO1 - Hosts: 127.0.0.1 www.007guard.comO1 - Hosts: 127.0.0.1 007guard.comO1 - Hosts: 127.0.0.1 008i.comO1 - Hosts: 127.0.0.1 www.008k.com(...)O1 - Hosts: 14637 more lines... Przywróć domyślny wygląd pliku narzędziem Fix-it z artykułu KB972034. 3. Końcowy drobny skrypt czyszczący. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Disabled | Stopped] -- -- (AMService) [2010-10-31 19:37:54 | 000,000,112 | ---- | C] () -- C:\ProgramData\nTYn0RW.dat :Commands [emptyflash] [emptytemp] Rozpocznij proces przyciskiem Wykonaj skrypt. Po restarcie systemu otrzymasz log z usuwania i ten tylko zaprezentuj. Podsumuj co się dzieje z systemem, czy są jakieś problemy / sprawy do rozwiązania. . Edytowane 9 Czerwca 2011 przez picasso 9.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi