Multi Generic (ZeroAcces?)

[lipolop]

Witam

Na innym forum założyłem temat, odesłano mnie tutaj, (podobno infekcja)

Nie wiem czy mogę podać, ale całość znajduje się tutaj: http://forum.idg.pl/...ow-t209506.html

 

Po pokazaniu logów z otl.txt http://wklej.org/id/638778/ i extras.txt http://wklej.org/id/638780/ (nic nie wykryły)

poproszono mnie, bym na wszelki wypadek podał log z TDSSKiller Log: http://wklej.org/id/638815/ (wykrył 1 plik, po czym go wyleczyłem)

 

Później Log z AntiZeroAccess http://wklej.org/id/638903/

i ComboFix http://wklej.org/id/638905/

 

AntiZeroAcces wykrył "Unable to read "http.sys" file." oraz

"c:\windows\system32\tapisrv.dll . . . jest zainfekowany!!

c:\windows\system32\srsvc.dll . . . jest zainfekowany!!"

 

Po tych operacjach powiedziano mi, że tutaj uzyskam lepszą pomoc.

 

Z góry dzięki!

Pozdrawiam.

[Landuss]

Temat w nieodpowiednim dziale. Jest tutaj przecież dział pomocy doraźnej w walce z wirusami. Temat zostanie przeniesiony.

 

poproszono mnie, bym na wszelki wypadek podał log z TDSSKiller (wykrył 1 plik, po czym go wyleczyłem)

 

Nic podobnego, log wykazuje, że dałeś opcję Skip (pomiń)

 

18:31:34.0890 1220	HTTP ( LockedFile.Multi.Generic ) - User select action: Skip

 

Uruchom narzędzie jeszcze raz tym razem z opcja Cure (leczenie)

 

Wklej potem nowy raport z narzędzia oraz uruchom ponownie ComboFix i wklej wynikowy log.

[lipolop]

Sorry, dałem log z pierwszego skanowania. Dałem wtedy pomiń, by powiedzieli mi co mam z tym plikiem zrobić. Później skanowałem 2 raz, ale nie miałem opcji Cure dostępnej, tylko pomiń, kwarantanna i usuń. Dałem kwarantanna. Tu log: http://wklej.org/id/639137/ a log z Combofixa był właśnie po tym.

 

Więc co mam z tym plikiem zrobić, Usunąć? i później logi z Combofix'a?

[picasso]

Ten plik nie może być usunięty, to sterownik Windows. Plik musi być leczony, jeśli jest naruszony. W tym przypadku to się nie stało, ponieważ Kaspersky nie wykrył naruszenia precyzyjnie, dla wyników "LockedFile.Multi.Generic" nie udostępnia opcji Cure. Kaspersky nie może tu wykonać tej akcji, jest nieodpowiednim narzędziem. Rozumiem, że plik poddałeś kwarantannie i aktualnie w ogóle brak http.sys w c:\Windows\system32\drivers? Ponadto, trzeba naprawiać te pliki Windows:

 

SRV - [2008-04-14 21:50:58 | 000,249,856 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\tapisrv.dll -- (TapiSrv)
SRV - [2008-04-14 21:50:58 | 000,171,520 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\srsvc.dll -- (srservice)

 

ComboFix notuje więcej niesygnowanych plików, ale na razie adresuję to co widać w OTL.

 

1. Paczka plików wyekstraktowanych z SP3: KLIK. Położ wypakowane pliki w umownym katalogu C:\Tmp.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Tmp\HTTP.sys | C:\WINDOWS\system32\dllcache\HTTP.sys
C:\Tmp\HTTP.sys | C:\WINDOWS\system32\drivers\HTTP.sys
C:\Tmp\tapisrv.dll | C:\WINDOWS\system32\dllcache\tapisrv.dll
C:\Tmp\srsvc.dll | C:\WINDOWS\system32\dllcache\srsvc.dll
C:\Tmp\tapisrv.dll | C:\WINDOWS\system32\tapisrv.dll
C:\Tmp\srsvc.dll | C:\WINDOWS\system32\srsvc.dll

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

3. Przedstaw wynikowy log z ComboFix.

 

 

PS. Nawiasem mówiąc, to nie wygląda na infekcję ZeroAccess, a Webroot jedyne co mówi we frazie "Unable to read "http.sys" file", to że plik odmawia dostępu i nie może się do niego dostać. Plik jest zablokowany, wskazuje to przecież Kaspersky. Ogólnie rzecz biorąc to nie jest pewne czy tu jest jakakolwiek infekcja, te odczyty na temat plików nie są na nią dowodem, jeden sterownik zablokowany, a kilka plików niesygnowanych (mogą być np. uszkodzone). Swoją drogą, to jest modyfikowany Windows i trudno ocenić co jest wynikiem posługiwania się przeróbką, a co rzeczywistym uszkodzeniem w systemie.

ComboFix na dodatek kasował prawidłowe pliki Fakturki.

 

 

 

.

[lipolop]

Log z Combofix: http://wklej.org/id/639173/

[picasso]

Zadanie wykonane. Ale jak mówię, tu nie jest pewne co się dzieje. Brak oznak jawnych infekcji, pliki bez sygnatury i zablokowany sterownik to za mało na dowód. ComboFix widzi więcej niesygnowanych. I tu widzisz, jest problem z Twoim Windows, by zdecydować na 100% co robić. Posługujesz się sztuczną modyfikacją. Nie wiadomo czy pliki są niezgodne ze standardem dlatego, że tak zrobiono płytę, czy z innego powodu. Na razie zostawiam ten wątek i wróćmy do podstawowego pytania, które zainicjowało rzekome leczenie (rzekome, gdyż nie wiadomo czy tu była / jest infekcja):

 

Komputer (laptop) bardzo długo się uruchamia, a później przestaje reagować. Nie działają nawet najprostsze komendy typu: rozwinięcie menu itd. Myszka porusza się skokowo. System poprzednio został zamknięty prawidłowo i nic nowego nie było instalowane.

 

Czy to nadal ma miejsce? Jeśli tak, sprawdź COMODO Internet Security, czy aby nie jest za to odpowiedzialny.

 

 

.

[lipolop]

Tak problem nadal występuje.

Gdy uruchomiłem komputer i wszedłem w Start pokazał mi się błąd, okienko miało nazwę RUNDLL, Treść błędu" Błąd podczas ładowania System32/NvMcTray.dll, a pod nim był 2 błąd, ale jego nie mogłem zobaczyć bo komp tak się zamulił, że nie dało się przesunąć 1 okna.

Chciałem też spróbować uruchomić xp w Trybie czystego bootowania, ale nie mam system32/msconfig.exe

A w uruchom, gdy wpisze komende msconfig nic się nie dzieje.

Komputer działa tylko w miarę płynnie w trybie awaryjnym, a tam odinstalowanie programów nie działa (przynajmniej u mnie), więc nie mam jak sprawdzić czy to aby nie Comodo Internet Security.

Chyba najlepszym rozwiązaniem będzie przeinstalowanie xp, ale czekam dalej na propozycje.

[picasso]

Gdy uruchomiłem komputer i wszedłem w Start pokazał mi się błąd, okienko miało nazwę RUNDLL, Treść błędu" Błąd podczas ładowania System32/NvMcTray.dll, a pod nim był 2 błąd, ale jego nie mogłem zobaczyć bo komp tak się zamulił, że nie dało się przesunąć 1 okna.

 

vs.

 

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

 

To błąd oprogramowania nVidia. Może więc coś tu jest nie tak z nVidia.

 

 

Komputer działa tylko w miarę płynnie w trybie awaryjnym, a tam odinstalowanie programów nie działa (przynajmniej u mnie), więc nie mam jak sprawdzić czy to aby nie Comodo Internet Security.

 

Ostatecznie można wypróbować Comodo Uninstaller Tool.

 

 

Chciałem też spróbować uruchomić xp w Trybie czystego bootowania, ale nie mam system32/msconfig.exe

A w uruchom, gdy wpisze komende msconfig nic się nie dzieje.

 

Zwykle Combofix kasuje plik msconfig.exe z system32 na modyfikowanych Windows, bo to jest nieprawidłowa lokalizacja pliku tylko zmanipulowana przez tego, kto płytkę XP robił. Na standardowym Windows plik msconfig wcale nie siedzi w C:\Windows\system32 tylko w C:\Windows\pchealth\helpctr\binaries.

Aczkolwiek w spisie skasowanych przez ComboFix nie ma nic na temat msconfig. Czy to pierwszy raz w życiu gdy stosowałeś ComboFix na tym systemie?

 

 

.

[lipolop]

Zainstalowałem nowy sterownik Nvidia, błąd już nie wyskakuje, ale komputer dalej muli.

Comodo Uninstaller Tool nie uruchamia się, po kliknięciu nic się nie dzieje.

Msconfig znalazłem w podanym katalogu: "C:\Windows\pchealth\helpctr\binaries" ale też się nie uruchamia.

ComboFix był używany tylko teraz na tym systemie.

Zauważyłem też, że przy uruchamianiu xp na początku przez około 3 sek darady wejść w menu, i wybrać np panel sterowania, po tym czasie komputer przestaje reagować, i zaczyna się zamulać.

Może to oznaczać, że jakiś program z autostartu zawiesza wszystko, tylko jak je wyłączyć, jak nie mogę uruchomić msconfig?

[picasso]

Może to oznaczać, że jakiś program z autostartu zawiesza wszystko, tylko jak je wyłączyć, jak nie mogę uruchomić msconfig?

 

Alternatywy dla msconfig: KLIK.

 

 

 

.

Edytowane 7 Stycznia 2012 przez picasso
7.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso