Problem z Rootkit.0Access i przekierowaniami

[izzo]

Witam ;

 

Mam pewne problemy z komputerem, otóż objawem tego jest przekierowanie stron np imageshack, dobreprogramy na kompletnie inne witryny najczęściej :

 

hxxp://95p.com/?search=imageshack&subid=150&key=e82df15b38e290a499e0

 

Zrobiłem skan programem MAM i taki był rezultat

 

http://imageshack.us/photo/my-images/189/beztytuuhvw.jpg/

 

Podczas próby usunięcia pragram się zawiesił .

 

W załączniku przesyłam wymagane logi :

 

 

Proszę o pomoc.

gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Ciężka infekcja, rootkit ZeroAccess. Pobierz i zgodnie ze wskazówkami uruchom Webroot AntiZeroAccess. Przedstaw log wynikowy z działania.

[izzo]

Skan poszedł bardzo szybko i obyło się bez restartu chyba coś poszło nie tak ... ?

Wynik działania Webroot:

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 13/01/2012 - 22:37

Host operation System: Windows Xp X86 version 5.1.2600 Dodatek Service Pack 3

22:37:08 - CheckSystem - Begin to check system...

22:37:08 - OpenRootDrive - Opening system root volume and physical drive....

22:37:08 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x02711637 sectors.

22:37:08 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

22:37:09 - InstallAndStartDriver - Main driver was installed and now is running.

22:37:09 - CheckSystem - Warning! Disk class driver is INFECTED.

22:37:09 - CheckFile - Internal consistence error: Sector buffer is not of a PE file!

22:37:11 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

22:37:11 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

22:37:11 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

22:37:11 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

22:37:14 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

22:37:14 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

22:37:14 - Execution Ended!

[picasso]

Brak znaków wykonania dezynfekcji. Czy na pewno w narzędziu dobrałeś akcję czyszczenia? Są tu owszem i błędy w poborze danych. Zmieńmy narzędzie, uruchom Kaspersky TDSSKiller, wszystkim wynikom przyznaj akcję Skip i przedstaw raport co widzi na temat infekcji.

 

 

 

.

[izzo]

Działanie TDSSKiller :

 

edit: post poprawiony, log w załączniku.

TDSSKiller.2.7.1.0_13.01.2012_22.47.46_log.txt

[picasso]

Logi proszę wstawiaj jako Załączniki, nie używaj tagu CODE do ich zakreślania. Tu są dwa typy rootkitów.

 

1. Uruchom Kaspersky TDSSKiller ponownie i dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. Zresetuj system.

 

2. Uruchom zgodnie ze wskazówkami ComboFix i przedstaw raport z jego działania.

 

 

 

.

[izzo]

Po użyciu ComboFixa i zresetowaniu komputera zareagował kaspersky (alert) mam nadzieje, że to nie wpłyneło na działanie Combo :

ComboFix.txt

TDSSKiller.2.7.1.0_13.01.2012_23.02.40_log.txt

[picasso]

Po użyciu ComboFixa i zresetowaniu komputera zareagował kaspersky (alert) mam nadzieje, że to nie wpłyneło na działanie Combo

 

Jaka była jego treść?

 

W TDSSKiller wybrałeś opcję Cure i log jest sprzed restartu komputera. Uruchom go ponownie i sprawdź czy na pewno już nic nie widzi, raportu bez wyników infekcji nie musisz tu załączać. Natomiast ComboFix pomyślnie usuwał komponenty rootkita ZeroAccess. Do wykonania kolejna porcja zadań:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e
C:\Documents and Settings\admin\Menu Start\Programy\Autostart\Windows Updater.exe
C:\WINDOWS\System32\dds_log_trash.cmd
C:\WINDOWS\System32\shimg.dll
C:\WINDOWS\System32\mdhcp32.dll
 
:OTL
NetSvcs: USBMN1X1 - Service key not found. File not found
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Zrób nowy log z OTL z opcji Skanuj + dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

[izzo]

Jaka była jego treść

1. Wykryto wirusa: lokalizacja Combofix.exe .....

 

2. Tds nic już nie wykrywa.

 

3. Podczas mojej nieobecności brat nie wiedząc o udzielanej tu pomocy skorzystał z pandy która coś tam pousuwała załączam log z jej działań.

otl_nowy_po_wykonanym_skrypcie.txt

panda.txt

OTL.Txt

[picasso]

Wykryto wirusa: lokalizacja Combofix.exe .....

 

Rzecz jasna to fałszywy alarm. Skaner antywirusowy musi być wyłączony podczas pracy ComboFix.

 

 

Podczas mojej nieobecności brat nie wiedząc o udzielanej tu pomocy skorzystał z pandy która coś tam pousuwała załączam log z jej działań.

 

Panda skrzyżowała się ze skryptem do OTL usuwając pliki Windows Updater.exe + mdhcp32.dll, dlatego OTL ich już nie znalazł. Niemniej mój skrypt wykonał resztę. W aktualnym logu z OTL nie widzę już żadnych oznak infekcji. Przechodzimy do części sprzątającej:

 

 

1. Drobny szczegół, uruchom Firefox i w opcjach przekonfiguruj stronę startową z www.mystart.com na dowolną wybraną przez siebie.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co również sprowokuje czyszczenie folderów Przywracania systemu. W Start > Uruchom > wklej polecenie:

 

"C:\Documents and Settings\admin\Pulpit\ComboFix.exe" /uninstall

 

Gdy zadanie ukończy się, możesz użyć w OTL funkcję Sprzątanie odpowiedzialną za kasowanie OTL i jego kwarantanny. TDSSKiller też zniknie.

 

3. Na wszelki wypadek wykonaj kompletne skanowanie za pomocą mini skanera Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. O ile zagrożenia zostaną wykryte, zaprezentuj je.

 

 

 

.

Edytowane 14 Lutego 2012 przez picasso
14.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso