stanleyp Opublikowano 14 Lutego 2012 Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Witam, Rezydentna ochrona AVG wykryła mi 2 dni temu pliki zainfekowane trojanem Generic27.PN / ZeroAccess.dr.gen.d. Wszystkie zainfekowane pliki pochodziły z katalogu systemowego Windows/System32 i wszystkie miały rozszerzenia .dll Za pomocą AVG przeniosłem trochę z tych zainfekowanych plików do kwarantanny. Ponadto skanowałem Malwarebytes i Spybot. Ale niewiele to dało. Nadal AVG wykrywal zainfekowane pliki. Natomiast infekcje niby wyleczone przez Malwarebytes i tak pojawialy się przy kolejnym skanowaniu. Rezydentną ochronę AVG w końcu wyłączyłem, ponieważ co chwila pojawiały się komunikaty o nowych infekcjach. Skorzystalem z porad na wiadomym forum, ale niewiele to dalo. Mam odciety internet i trojan robi coraz wieksze spustoszenie w systemie. Co chwila wyrzuca mi bledy albo brak upawnien do operacji. Zalaczam logi wykonane po zasugerowanych operacjach. ComboFix nie chcial rozpoczac skanowania i nie utworzyl tez zadnego loga. Odnosnie TDSSKillera zalaczam 2 loga, jeden wczorajszy a drugi swiezy dzisiejszy. Pozdrawiam i z gory dziekuje za pomoc. Extras.Txt OTL.Txt gmer.txt TDSSKiller.2.7.12.0_13.02.2012_20.33.21_log.txt TDSSKiller.2.7.12.0_14.02.2012_21.20.03_log.txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Aktualnie widzę: zainfekowany cdrom.sys (infekcja się "przerzuciła", to już trzeci plik po afd.sys widzialnym w GMER na tamtym forum oraz tdx.sys leczonym TDSSKillerem), łącze symboliczne rootkita, czynną usługę z oznaczeniem "Iomega" i masę usług-odpadków (to dodatkowe pliki tworzone przez najnowszy wariant ZeroAccess, dlatego skanery wykrywają masowo pliki w system32 = to NIE jest infekcja w wykonywalnych jak sugerowano Ci). Ponadto naruszenia w sterownikach Windows anonsowane tymi błędami w Dzienniku zdarzeń: Error - 2012-02-14 15:01:26 | Computer Name = AgaiPiotr | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi HTTP z powodu następującego błędu: %%22 Error - 2012-02-14 15:01:26 | Computer Name = AgaiPiotr | Source = Service Control Manager | ID = 7001Description = Usługa Host dostawcy odnajdowania funkcji zależy od usługi HTTP, której nie można uruchomić z powodu następującego błędu: %%22 Error - 2012-02-14 15:01:26 | Computer Name = AgaiPiotr | Source = Service Control Manager | ID = 7001Description = Usługa Odnajdywanie SSDP zależy od usługi HTTP, której nie można uruchomić z powodu następującego błędu: %%22 1. Pobierz czystą kopię pliku cdrom.sys zgodną z Windows 7 SP1: KLIK. Plik skopiuj na C:\ (ścieżka będzie brana pod uwagę w skrypcie). 2. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\cdrom.sys C:\Windows\system32\drivers\cdrom.sys Unlock: C:\Windows\$NtUninstallKB33617$ CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB33617$ C:\Windows\$NtUninstallKB33617$ C:\Windows\System32\Airgo.dll C:\Windows\System32\dds_log_trash.cmd C:\Windows\System32\%APPDATA% 2 wuolservice; C:\Windows\System32\Airgo.dll [5120 2009-07-14] (Iomega) 2 zebrceb; [x] 2 z800mdm; [x] 2 xusb21; [x] 2 X10UIF; [x] 2 wpshelper; [x] 2 wmp54gssvc; [x] 2 WmFilter; [x] 2 winpowermanager; [x] 2 winachcf; [x] 2 WGX; [x] 2 wdmaud; [x] 2 WacomVKHid; [x] 2 w810bus; [x] 2 w800mdm; [x] 2 USBDongle; [x] 2 USBCamera; [x] 2 U81xobex; [x] 2 tvalz; [x] 2 tosrfec; [x] 2 tmmbd; [x] 2 TICalc; [x] 2 symids; [x] 2 swupdtmr; [x] 2 SunkFilt; [x] 2 stylexpservice; [x] 2 spmd; [x] 2 sonicwall_netextender; [x] 2 smservaz; [x] 2 slapd-data52; [x] 2 SiS7018; [x] 2 sglogplayer; [x] 2 se44nd5; [x] 2 se26unic; [x] 2 SE26mdfl; [x] 2 s125mdfl; [x] 2 s116obex; [x] 2 RushTopDevice; [x] 2 rpcsvr4x; [x] 2 rootmodem; [x] 2 riomsc; [x] 2 richvideo; [x] 2 quickhealfirewall; [x] 2 QPCapSvc; [x] 2 ql2100; [x] 2 qkbfiltr; [x] 2 procexp90; [x] 2 pdengine; [x] 2 pae_avs; [x] 2 owstimer; [x] 2 ovsecurityserver; [x] 2 oracleformsserver-forms60server-oraform; [x] 2 opcenum; [x] 2 nvatabus; [x] 2 ntrtscan; [x] 2 nlsvc; [x] 2 nipsvc; [x] 2 ndiscm; [x] 2 nabtsfec; [x] 2 mpfp; [x] 2 MpFilter; [x] 2 meraksmtp; [x] 2 megamonitorsrv; [x] 2 mdmxsdk; [x] 2 ma_cmidi_installerservice; [x] 2 LUsbFilt; [x] 2 logmein; [x] 2 LC7981; [x] 2 IWCA; [x] 2 issimon; [x] 2 ip6fw; [x] 2 iomdisk; [x] 2 imonitor; [x] 2 ikhfile; [x] 2 hamachi; [x] 2 GT890x; [x] 2 GoogleDesktopManager-010708-104812; [x] 2 ftpds; [x] 2 fix; [x] 2 EPOWER; [x] 2 epgspooler; [x] 2 emitray; [x] 2 EMATCORE; [x] 2 ELkbd; [x] 2 ehstart; [x] 2 dntus26; [x] 2 ddxgb; [x] 2 cygserver; [x] 2 CXTUNE; [x] 2 cxlpt; [x] 2 cwcwdm; [x] 2 ctac32k; [x] 2 cpuz132; [x] 2 cobbmservice; [x] 2 CoachUsb; [x] 2 cfsvcs; [x] 2 centennialiptransferagent; [x] 2 BVRPMPR5; [x] 2 btnetfilter; [x] 2 BlueSoleilCS; [x] 2 bgs_sdservice; [x] 2 BCM42RLY; [x] 2 Bcim; [x] 2 AYDrvNT_ALYAC; [x] 2 avg7core; [x] 2 Atmuni; [x] 2 atfsd; [x] 2 ASLDRService; [x] 2 arhidfltr; [x] 2 agnwifi; [x] 2 ADSMService; [x] 2 adpu160m; [x] 3 ACDaemon; [x] Plik zapisz pod nazwą fixlist.txt. 3. Pobierz narzędzie FRST. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows. 4. Kolejny krok to naprawa wartości NetSvcs. Otwórz Notatnik i wklej w nim domyślną postać z Windows 7: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\ 00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\ 00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\ 00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\ 54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\ 6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\ 00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\ 69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\ 00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\ 73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\ 00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\ 61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\ 73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\ 00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\ 44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\ 00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\ 64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\ 00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\ 6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\ 00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\ 69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\ 00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\ 00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\ 00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\ 00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\ 74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\ 00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\ 70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 5. Wykonaj weryfikację plików systemowych komendą sfc /scannow, za pomocą kolejnej komendy zrób log filtrowany do znaczników [sR]: KLIK. 6. Logi do oceny: fixlog.txt z punktu 2, raport z wynikami SFC z punktu 5, nowe logi z OTL i GMER oraz Farbar Service Scanner (zaznacz wszystko do skanowania). . Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Dziękuję za szybką odpowiedź. Wieczorem będę działał. Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Witam. Nie moge wykonac kroku nr 3. Za kazdym uruchomieniem frst.exe jest ten sam komunikat o potrzebie ponownego uruchomienia narzedzia. Nie pojawia sie EULA ani interfejs. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Nie moge wykonac kroku nr 3. Za kazdym uruchomieniem frst.exe jest ten sam komunikat o potrzebie ponownego uruchomienia narzedzia. Nie pojawia sie EULA ani interfejs. Ile razy uruchomiłeś narzędzie w ciągu? Skąd uruchamiasz narzędzie, czy z odrębnego nośnika? Czy polecenie notepad pokazuje po uruchomieniu FRST zmiany liternictwa i dysk z Windows jako "C"? . Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Uruchamialem chyba z 5-6 razy z pendrive'a. Dyskowi boot przypisany jest caly czas X i nie zmienia sie to uruchomieniu frst, a pendrive to J. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Dyskowi boot przypisany jest caly czas X i nie zmienia sie to uruchomieniu frst, a pendrive to J. Boot ma pozostać X, to jest załadowany do pamięci obraz WinRE. To dysk z Windows ma zmienić literę. Jaką literę ma dysk z Windows, czy w ogóle jest widziany? . Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Windows jest na Dysku lokalnym F. Nie zmienia sie to po uruchomieniu FRST. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 W takim razie musimy zmienić metodę: 1. W WinRE w Wierszu polecenia wpisz komendy (trzymam się informacji, że dysk z Windows to F): copy /y F:\cdrom.sys F:\Windows\system32\drivers\cdrom.sys del /q F:\Windows\System32\Airgo.dll del /q F:\Windows\System32\dds_log_trash.cmd rd /s /q F:\Windows\System32\%APPDATA% Restart do Windows. 2. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB33617$ Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB33617$ /C rd /s /q C:\Windows\$NtUninstallKB33617$ /C :Services wuolservice zebrceb z800mdm xusb21 X10UIF wpshelper wmp54gssvc WmFilter winpowermanager winachcf WGX wdmaud WacomVKHid w810bus w800mdm USBDongle USBCamera U81xobex tvalz tosrfec tmmbd TICalc symids swupdtmr SunkFilt stylexpservice spmd sonicwall_netextender smservaz slapd-data52 SiS7018 sglogplayer se44nd5 se26unic SE26mdfl s125mdfl s116obex RushTopDevice rpcsvr4x rootmodem riomsc richvideo quickhealfirewall QPCapSvc ql2100 qkbfiltr procexp90 pdengine pae_avs owstimer ovsecurityserver oracleformsserver-forms60server-oraform opcenum nvatabus ntrtscan nlsvc nipsvc ndiscm nabtsfec mpfp MpFilter meraksmtp megamonitorsrv mdmxsdk ma_cmidi_installerservice LUsbFilt logmein LC7981 IWCA issimon ip6fw iomdisk imonitor ikhfile hamachi GT890x GoogleDesktopManager-010708-104812 ftpds fix EPOWER epgspooler emitray EMATCORE ELkbd ehstart dntus26 ddxgb cygserver CXTUNE cxlpt cwcwdm ctac32k cpuz132 cobbmservice CoachUsb cfsvcs centennialiptransferagent BVRPMPR5 btnetfilter BlueSoleilCS bgs_sdservice BCM42RLY Bcim AYDrvNT_ALYAC avg7core Atmuni atfsd ASLDRService arhidfltr agnwifi ADSMService adpu160m ACDaemon :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. Log z wynikami usuwania zachowaj. 4. Punkty 4 do 6 z poprzedniej instrukcji nadal aktualne. . Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Odnosnie komend: w pierwszej chyba powinno byc: copy /y J:\cdrom.sys ... i tak zrobilem w trzeciej nie moze odnalezc dds_log_trash.cmd Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 w pierwszej chyba powinno byc:copy /y J:\cdrom.sys ... i tak zrobilem Nie, bo mówiłam: 1. Pobierz czystą kopię pliku cdrom.sys zgodną z Windows 7 SP1: KLIK. Plik skopiuj na C:\ (ścieżka będzie brana pod uwagę w skrypcie). "C" z poziomu środowiska zewnętrznego to "F", wedle tego co mówisz. "J" tylko wtedy, jeżeli zmieniłeś moje instrukcje i kopię pliku cdrom.sys umieściłeś celowo na pendrive a nie w root dysku C jak poleciłam. . Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Przepraszam. Zaczalem sie juz chyba gubic. Wykonalem wszystko od poczatku. W komendzie trzeciej nie odnajduje dds_log_trash.cmd czy man przejsc do krokow 2 i 3? Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 stanleyp proszę nie "podbijaj", do uzupełniania wypowiedzi służy opcja "Edytuj", nie twórz postów w serii, jeżeli nikt jeszcze nie odpisał. Posty łączę. Dodaj komendę ściągania atrybutów: attrib -s -h F:\Windows\System32\dds_log_trash.cmd I ponów komendę kasacji. Jeżeli to nadal zwróci błąd, już to zostaw i przejdź dalej. Plik dokasuję później w innej procedurze. . Odnośnik do komentarza
stanleyp Opublikowano 15 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Nie zwrocilo bledu. Dziekuje za wyrozumialosc. Przechodze do dalszych krokow. Zraportuje wszystko zapewne dopiero jutro wieczorem. Odnośnik do komentarza
stanleyp Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Załączam logi Extras.Txt FSS.txt gmer.txt OTL.Txt sfc.txt Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 SFC naprawił poszkodowany rootkitem sterownik AFD (czy sieć wróciła?): 2012-02-16 19:49:15, Info CSI 000001b2 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store Niestety, infekcja jest nadal czynna. Aktualnie zainfekowany jest sam AVG, GMER pokazuje modyfikację jego sterownika. Poza tym, w ogóle nie wygląda na to, że zostały wykonane punkty z GrantPerms i skryptem do OTL, może wystąpiły podczas operacji jakieś błędy o których twardo milczysz. Wypowiedz się jasno. Zaś log z Farbar Service Scanner jasno pokazuje, że jest załatwiony układ Zapory Windows, kompletnie skasowane usługi BFE + MpsSvc z rejestru. Ich odtwarzaniem zajmę się potem, na teraz ważne zlikwidować czynnego rootkita. Kolejne operacje do wykonania z poziomu Trybu awaryjnego Windows: 1. Odinstaluj AVG. Jeżeli nie będzie to możliwe drogą standardową, załatw go radykalnie przez AVG Remover. 2. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB33617$ Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB33617$ /C rd /s /q C:\Windows\$NtUninstallKB33617$ /C C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml :OTL SRV - File not found [Auto | Stopped] -- -- (zebrceb) SRV - File not found [Auto | Stopped] -- -- (z800mdm) SRV - File not found [Auto | Stopped] -- -- (xusb21) SRV - File not found [Auto | Stopped] -- -- (X10UIF) SRV - File not found [Auto | Stopped] -- -- (wuolservice) SRV - File not found [Auto | Stopped] -- -- (wpshelper) SRV - File not found [Auto | Stopped] -- -- (wmp54gssvc) SRV - File not found [Auto | Stopped] -- -- (WmFilter) SRV - File not found [Auto | Stopped] -- -- (winpowermanager) SRV - File not found [Auto | Stopped] -- -- (winachcf) SRV - File not found [Auto | Stopped] -- -- (WGX) SRV - File not found [Auto | Stopped] -- -- (wdmaud) SRV - File not found [Auto | Stopped] -- -- (WacomVKHid) SRV - File not found [Auto | Stopped] -- -- (w810bus) SRV - File not found [Auto | Stopped] -- -- (w800mdm) SRV - File not found [Auto | Stopped] -- -- (USBDongle) SRV - File not found [Auto | Stopped] -- -- (USBCamera) SRV - File not found [Auto | Stopped] -- -- (U81xobex) SRV - File not found [Auto | Stopped] -- -- (tvalz) SRV - File not found [Auto | Stopped] -- -- (tosrfec) SRV - File not found [Auto | Stopped] -- -- (tmmbd) SRV - File not found [Auto | Stopped] -- -- (TICalc) SRV - File not found [Auto | Stopped] -- -- (symids) SRV - File not found [Auto | Stopped] -- -- (swupdtmr) SRV - File not found [Auto | Stopped] -- -- (SunkFilt) SRV - File not found [Auto | Stopped] -- -- (stylexpservice) SRV - File not found [Auto | Stopped] -- -- (spmd) SRV - File not found [Auto | Stopped] -- -- (sonicwall_netextender) SRV - File not found [Auto | Stopped] -- -- (smservaz) SRV - File not found [Auto | Stopped] -- -- (slapd-data52) SRV - File not found [Auto | Stopped] -- -- (SiS7018) SRV - File not found [Auto | Stopped] -- -- (sglogplayer) SRV - File not found [Auto | Stopped] -- -- (se44nd5) SRV - File not found [Auto | Stopped] -- -- (se26unic) SRV - File not found [Auto | Stopped] -- -- (SE26mdfl) SRV - File not found [Auto | Stopped] -- -- (s125mdfl) SRV - File not found [Auto | Stopped] -- -- (s116obex) SRV - File not found [Auto | Stopped] -- -- (RushTopDevice) SRV - File not found [Auto | Stopped] -- -- (rpcsvr4x) SRV - File not found [Auto | Stopped] -- -- (rootmodem) SRV - File not found [Auto | Stopped] -- -- (riomsc) SRV - File not found [Auto | Stopped] -- -- (richvideo) SRV - File not found [Auto | Stopped] -- -- (quickhealfirewall) SRV - File not found [Auto | Stopped] -- -- (QPCapSvc) SRV - File not found [Auto | Stopped] -- -- (ql2100) SRV - File not found [Auto | Stopped] -- -- (qkbfiltr) SRV - File not found [Auto | Stopped] -- -- (procexp90) SRV - File not found [Auto | Stopped] -- -- (pdengine) SRV - File not found [Auto | Stopped] -- -- (pae_avs) SRV - File not found [Auto | Stopped] -- -- (owstimer) SRV - File not found [Auto | Stopped] -- -- (ovsecurityserver) SRV - File not found [Auto | Stopped] -- -- (oracleformsserver-forms60server-oraform) SRV - File not found [Auto | Stopped] -- -- (opcenum) SRV - File not found [Auto | Stopped] -- -- (nvatabus) SRV - File not found [Auto | Stopped] -- -- (ntrtscan) SRV - File not found [Auto | Stopped] -- -- (nlsvc) SRV - File not found [Auto | Stopped] -- -- (nipsvc) SRV - File not found [Auto | Stopped] -- -- (ndiscm) SRV - File not found [Auto | Stopped] -- -- (nabtsfec) SRV - File not found [Auto | Stopped] -- -- (mpfp) SRV - File not found [Auto | Stopped] -- -- (MpFilter) SRV - File not found [Auto | Stopped] -- -- (meraksmtp) SRV - File not found [Auto | Stopped] -- -- (megamonitorsrv) SRV - File not found [Auto | Stopped] -- -- (mdmxsdk) SRV - File not found [Auto | Stopped] -- -- (ma_cmidi_installerservice) SRV - File not found [Auto | Stopped] -- -- (LUsbFilt) SRV - File not found [Auto | Stopped] -- -- (logmein) SRV - File not found [Auto | Stopped] -- -- (LC7981) SRV - File not found [Auto | Stopped] -- -- (IWCA) SRV - File not found [Auto | Stopped] -- -- (issimon) SRV - File not found [Auto | Stopped] -- -- (ip6fw) SRV - File not found [Auto | Stopped] -- -- (iomdisk) SRV - File not found [Auto | Stopped] -- -- (imonitor) SRV - File not found [Auto | Stopped] -- -- (ikhfile) SRV - File not found [Auto | Stopped] -- -- (hamachi) SRV - File not found [Auto | Stopped] -- -- (GT890x) SRV - File not found [Auto | Stopped] -- -- (GoogleDesktopManager-010708-104812) SRV - File not found [Auto | Stopped] -- -- (ftpds) SRV - File not found [Auto | Stopped] -- -- (fix) SRV - File not found [Auto | Stopped] -- -- (EPOWER) SRV - File not found [Auto | Stopped] -- -- (epgspooler) SRV - File not found [Auto | Stopped] -- -- (emitray) SRV - File not found [Auto | Stopped] -- -- (EMATCORE) SRV - File not found [Auto | Stopped] -- -- (ELkbd) SRV - File not found [Auto | Stopped] -- -- (ehstart) SRV - File not found [Auto | Stopped] -- -- (dntus26) SRV - File not found [Auto | Stopped] -- -- (ddxgb) SRV - File not found [Auto | Stopped] -- -- (cygserver) SRV - File not found [Auto | Stopped] -- -- (CXTUNE) SRV - File not found [Auto | Stopped] -- -- (cxlpt) SRV - File not found [Auto | Stopped] -- -- (cwcwdm) SRV - File not found [Auto | Stopped] -- -- (ctac32k) SRV - File not found [Auto | Stopped] -- -- (cpuz132) SRV - File not found [Auto | Stopped] -- -- (cobbmservice) SRV - File not found [Auto | Stopped] -- -- (CoachUsb) SRV - File not found [Auto | Stopped] -- -- (cfsvcs) SRV - File not found [Auto | Stopped] -- -- (centennialiptransferagent) SRV - File not found [Auto | Stopped] -- -- (BVRPMPR5) SRV - File not found [Auto | Stopped] -- -- (btnetfilter) SRV - File not found [Auto | Stopped] -- -- (BlueSoleilCS) SRV - File not found [Auto | Stopped] -- -- (bgs_sdservice) SRV - File not found [Auto | Stopped] -- -- (BCM42RLY) SRV - File not found [Auto | Stopped] -- -- (Bcim) SRV - File not found [Auto | Stopped] -- -- (AYDrvNT_ALYAC) SRV - File not found [Auto | Stopped] -- -- (avg7core) SRV - File not found [Auto | Stopped] -- -- (Atmuni) SRV - File not found [Auto | Stopped] -- -- (atfsd) SRV - File not found [Auto | Stopped] -- -- (ASLDRService) SRV - File not found [Auto | Stopped] -- -- (arhidfltr) SRV - File not found [Auto | Stopped] -- -- (agnwifi) SRV - File not found [Auto | Stopped] -- -- (ADSMService) SRV - File not found [Auto | Stopped] -- -- (adpu160m) SRV - File not found [On_Demand | Stopped] -- -- (ACDaemon) O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. Pojawi się log z wynikami usuwania. 4. Zaimportuj plik FIX.REG, który wcześniej kazałam zrobić. Zresetuj system. 5. Do oceny: log z wynikami przetwarzania skryptu z punktu 3 oraz nowy zestaw logów z OTL i GMER. . Odnośnik do komentarza
stanleyp Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Sieci nadal nie ma. Zalaczam log zapisany po wykonaniu poprzedniego skryptu OTL. Nie bylo ponadto zadnych komunikatow o bledach. Za to przed chwila wyskoczyl blue screen. Kolejne kroki wykonam jutro. Do komunikacji korzystam z tabletu. Po przeniesieniu do komputera plikow tekstowych wykonanych na tablecie, tekst wyswietla sie ciagiem. Jutro przygotuje ten plik na innym komputerze. 02162012_004948_.txt Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 BSOD = rootkit jest czynny (aktualnie siedzi w sterowniku AVG). Komputer zostaw wyłączony i nie pracuj na nim, bo się pogorszy sytuacja... Wyniki przetwarzania skryptu: coś tu skopcone. Skrypt w ogóle nie zinterpretował komend ":Services" + ":Commands", potraktował je tak jakby były komendą ":Files". Tu się nasuwa, że jest to problem z formatowaniem tekstu ... Mówisz o przygotowaniu pliku na innym komputerze i słusznie. Ponadto, chyba GrantPerms nie wykonało roboty wcale (możliwe, że rootkit zapobiegł), bo łącze rootkita konsekwentnie z "Odmową dostępu", zarówno przy ściąganiu symlinka przez fsutil jak i kasowaniu. . Odnośnik do komentarza
stanleyp Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Zainfekowany komputer wlaczany jest tylko do dzialan naprawczych. Ponadto nic na nim nie robie. Jesli chodzi o siec, to probowalem tetheringu, ale takze nie chce chodzic. Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Na razie siecią się nie zajmuj. Dopóki jest czynny rootkit, nie można nawet prowadzić napraw. Na widoku jest usuwanie AVG (filtry na połączeniach) i zobaczymy co się po tym okaże. . Odnośnik do komentarza
stanleyp Opublikowano 17 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2012 Zgodnie z zaleceniami, wszystkie operacje wykonane w trybie awaryjnym. W zalaczeniu logi. 02172012_194409_.txt Extras.Txt Gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lutego 2012 Zgłoś Udostępnij Opublikowano 17 Lutego 2012 Wygląda na to, że czynności rootkit ustały. Mamy jednak nadal problem z usunięciem łącza symbolicznego rootkita widzianego ciągle w GMER: File C:\Windows\$NtUninstallKB33617$\24215007 0 bytesFile C:\Windows\$NtUninstallKB33617$\24215007\@ 2048 bytesFile C:\Windows\$NtUninstallKB33617$\24215007\L 0 bytesFile C:\Windows\$NtUninstallKB33617$\24215007\L\xadqgnnk 295248 bytesFile C:\Windows\$NtUninstallKB33617$\24215007\U 0 bytesFile C:\Windows\$NtUninstallKB33617$\615364845 0 bytes Komenda fsutil w skrypcie OTL zwraca "Odmowę dostępu". Co się dzieje po wklejeniu ścieżki C:\Windows\$NtUninstallKB33617$ do GrantPerms? Czy jest zwracany określony błąd? . Odnośnik do komentarza
stanleyp Opublikowano 17 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2012 Komunikatu dokladnie nie pamietam, ale generalnie jest to potwierdzenie wykonania ten operacji. Nie jest zwracany zaden blad. Odnośnik do komentarza
picasso Opublikowano 17 Lutego 2012 Zgłoś Udostępnij Opublikowano 17 Lutego 2012 1. Spróbuj do GrantPerms uruchomionego jako Administrator wkleić składowe: C:\Windows\$NtUninstallKB33617$ C:\Windows\$NtUninstallKB33617$\615364845 C:\Windows\$NtUninstallKB33617$\24215007 Jeżeli bez błędu: 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę: fsutil reparsepoint delete C:\Windows\$NtUninstallKB33617$ Jeżeli komenda wykona się pomyślnie, ręcznie przez SHIFT+DEL skasuj z dysku C:\Windows\$NtUninstallKB33617$. . Odnośnik do komentarza
stanleyp Opublikowano 17 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2012 W trybie awaryjnym, czy normalnym? Odnośnik do komentarza
Rekomendowane odpowiedzi