Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Chyba mam rootkita Zeroaccess - system uszkodzony

patkoz

Przez patkoz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Hmm, skaner nie wykrył nic szczególnego, bezpośrednio skojarzonego z infekcją ZeroAccess .... W takim układzie spróbujmy od razu zamienić plik explorer.exe z poziomu płyty Kasperskiego.

 

1. Na pasku zadań z "menu start" wybierz pozycję "File Manager". W menedżerze plików w lewym panelu kliknij w pozycję disks, która ujawni listę dysków. Wchodzisz w link do dysku systemowego i z katalogu C:\Pliki kopiujesz explorer.exe do dwóch lokalizacji, nadpisując aktualne pliki:

 

c:\windows\system32\dllcache\explorer.exe

c:\windows\explorer.exe

 

2. Po dokonaniu pomyślnej zamiany startujesz do Windows i uruchamiasz ComboFix, tym razem zwyczajnie przez dwuklik bez żadnego skryptu. Przedstawiasz log wynikowy.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Plik definitywnie został podmieniony, ale ComboFix nie zmienił zdania i nadal widzi plik explorer.exe jako niesygnowany, z tym że suma kontrolna jest jakoby zgodna z XP SP3 (C791ED9EAC5E76D9525E157B1D7A599A). Coś tu jest nie w porządku, nie widzę powodu dla którego plik tak się przedstawia w ComboFix (prawidłowy plik nie powinien być w sekcji plików niesygnowanych). Może ComboFix popełnia tu jakiś błąd lub coś jest nie tak z Usługami kryptograficznymi (ale wtedy wiele plików objawiłoby się fałszywie jako niesygnowane). Dodatkowa diagnostyka pliku explorer.exe:

 

  • Zbootuj Kasperskiego, z "menu start" > Web browser > otwórz stronę VirusTotal i wybierz do skanowania plik główny explorer.exe (w oknie wyboru: File System > disks > dysk z Windows).
  • Z poziomu działającego systemu Start > Uruchom > services.msc > jaki jest status Cryptsvc (Usług kryptograficznych)? Usługa ta ma być ustawiona na Automatyczny i w stanie "uruchomiono"

Pytaniem jest też czy notujesz teraz w systemie jakieś dziwne rzeczy / problemy?

 

Do naprawy mamy także inne usterki zaobserwowane w podawanym wcześniej logu z OTL.

 

1. Uszkodzony Avast:

 

DRV - File not found [Kernel | Unknown | Running] --  -- (aswTdi)
DRV - File not found [Kernel | Unknown | Running] --  -- (aswSP)
DRV - File not found [File_System | Unknown | Running] --  -- (aswMon2)
DRV - File not found [File_System | Unknown | Running] --  -- (aswFsBlk)
DRV - File not found [Kernel | Unknown | Running] --  -- (Aavmker4)

Zastosuj narzędzie Avast Uninstall Utility uruchomione z poziomu Trybu awaryjnego.

 

2. Brak pliku HOSTS:

 

Hosts file not found

Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczając Ukrywaj rozszerzenia znanych typów plików. Otwórz Notatnik i wklej w nim:

 

127.0.0.1 localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

3. Po wykonaniu powyższych punktów wygeneruj nowy log z OTL opcją Skanuj.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
ps niemam service packa 3

 

A log z OTL twierdzi, że masz XP SP3:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

Wtóruje mu Catchme zintegrowane z ComboFix:

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer
Rootkit scan 2011-09-05 17:06
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

Ten odczyt może być niezgodny ze stanem faktycznym tylko w jednej sytuacji: kombinowałeś ręcznie ze zmianą ciągu CDSVersion, próbując oszukać to w jaki sposób przedstawia się system.

 

Dlatego od początku plik explorer.exe był tu podawany w wersji zgodnej z XP SP3 (wersje tego rodzaju plików muszą być zgodne ze stanem SP).

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
o kurde :( nom to mozę być właśnie tak bo kiedys do jednej gry potrzebowałem sp3 i ściągłem jakiś scrypt który miał to pozmieniać

 

Nabroiłeś. Te sztuczki ze zmianą ciągu SP mają skutki uboczne, a jeden z nich tu właśnie obserwujesz (wprowadziłeś w błąd wszystkie narzędzia, i dobrze że tylko tak się skończyło). W takiej sytuacji trzeba instalować prawdziwe SP3, bo system bez SP3 nie może pozostać (jest to jedna wielka luka zabezpieczeń, a ponadto MS zablokował systemy poniżej XP SP3).

 

1. Na początek wykonaj korekty podane wcześniej (usunięcie zdefektowanego Avast oraz wstawienie pliku HOSTS) i przedstaw nowy log z OTL.

 

2. Podaj informacje, które potwierdzą jaki rzeczywisty SP jest zainstalowany. Ocena na podstawie dat plików. Wejdź do katalogu C:\Windows\system32 i sprawdź Właściwości jednego z kluczowych plików winlogon.exe. Daty utworzenia + modyfikacji: 2008 (SP3), 2004 (SP2), jeszcze niżej (SP1 lub łysy "Gold").

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

OK, tu już w logu z OTL nie widzę żadnych widocznych na pierwszy rzut oka usterek. Zabieramy się za naprawę statusu rzeczywistego SP.

 

1. Przywróć prawidłowy ciąg zgodny z SP2. Start > Uruchom > regedit i wejdź do poniższych kluczy w celu wykonania korekty:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows

 

Dwuklik w wartość CDSVersion i zamień aktualnie tam widoczny numer 300 (zgodny z SP3) na 200 (zgodny z SP2).

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

 

W tym kluczu CDSVersion ma być równe Service Pack 2.

 

2. Pobierz na dysk pełny instalator: Service Pack 3.

 

3. Utwórz na wszelki wypadek ręcznie punkt Przywracania systemu.

 

4. W związku z tym, że system muli, wejdź w Tryb awaryjny Windows i z jego poziomu uruchom instalację SP3.

 

5. Gdy instalacja pomyślnie się ukończy, uruchom Windows Update i załaduj wszystkie krytyczne łaty wydane po SP3. Jeśli Windows update nie wykryje SP3 (i będzie kierować do jego instalacji), należy ręcznie zaktualizować Agenta aktualizacji: KLIK.

 

6. Uruchom przez dwuklik ComboFix i przedstaw log. Wypowiedz się też wyraźnie, czy instalacja SP3 + późniejszych aktualizacji poprawiła kondycję systemu.

 

 

 

 

.

Odnośnik do komentarza
patkoz

patkoz

Opublikowano
  • Autor
Opublikowano

nadal muli w bulletstormie np . a mój komp wielokrotnie przewyższa wymagania tej gry

 

a wywala mnie z gry po chwili grania tak jak by sterowniki do grafiki nie były zainstalowane tzn 256 kolorów i najniższa rozdzielczość dopiero ustrawienie priorytetu na czasu żeczywistego wtedy przestaje wywalać choć dalej są lagi w grze i w szczególności w dźwięku

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
nom było pio. już drugi raz musialem to zmieniać na dma

 

Pozumiem, że w konsekwencji ustawienia DMA mulenie ustąpiło.

 

 

dziwi mnie tylko dlczego oba dyski mam na pomocniczych kanałach

 

Widocznie takie są podpięcia sprzętowe.

 

 

Finalizujemy porządki:

 

1. Odinstaluj w prawidłowy sposób ComboFix (co także czyści foldery Przywracania systemu), w Start > Uruchom > wklejając komendę: C:\ComboFix.exe /uninstall

 

2. Zaktualizuj programy (ważne pod kątem łatania luk). W ostatnim dostarczonym OTL Extras widniały:

 

Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox (3.6.21)" = Mozilla Firefox (3.6.21)

  • Miałeś odwiedzić Windows Update i załadować wszystkie krytyczne łaty wydane po SP3. Ale czy zainstalowałeś również IE8? Łatanie tej przeglądarki jest istotne, mimo że jej nie używasz wcale. To mocna integracja z Windows, na silniku IE są oparte różne funkcje systemu.
  • Inne podstawy aktualizacyjne do wykonania (Firefox, Java, produkty Adobe): INSTRUKCJE.
  • (Opcjonalnie) ten bezsensowny duplikat GG7 (mało bezpieczne i nie obsługujące cech nowego protokołu GG10) + GG10 (reklamodawczy potwór pożerający zasoby) można zastąpić jednym programem alternatywnym. W temacie Darmowe komunikatory jest opisany komunikator WTW, który cechuje: łagodność w konsumpcji zasobów i całkowity brak reklam, dobra obsługa wszystkich ważnych cech GG10, import archiwum oryginału w obu widzianych tu wersjach, tryb pracy portable.

3. Ostatnie dostarczone dane mówią, że system jest pozbawiony programu antywirusowego. Możesz zainstalować np. najnowszą wersję darmowego Avast.

 

4. Dla własnego bezpieczeństwa zmień wszystkie hasła logowania.

 

Potwierdź wykonanie wszystkich operacji i podsumuj czy coś jeszcze wymaga naprawy.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
teraz jeszcze tylko defragmentacja

 

Polecany tu darmowy program to Puran Defrag Free Edition. Posiada on także defragmentację typu "Boot Time", służącą scalaniu plików niemożliwych do defragmentacji spod działającego Windows (plik pamięci wirtualnej, pliki Dziennika, pliki rejestru ...).

 

 

PS. Kobiety, jak widać po mojej dacie urodzenia. :P

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...