Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Sprawdzenie logów po infekcji

Suchy203

Przez Suchy203
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Suchy203

Suchy203

Opublikowano
Opublikowano

Dzień dobry,

chciałbym poprosić o sprawdzenie logów. Wczoraj osłona systemu plików oraz WWW wyświetlały mnóstwo komunikatów o zagrożeniu jakimś adrresem url. Avast był wczesniej wyłączony. Użycie procesora było w okolicach 90%. Przeskanowałem TDSSKILLER, avastem oraz MBAM (logi i ss w załącznikach). Nie mogłem wejść również na fixitpc.pl , nie wiem z jakiego powodu. Dopiero dzisiaj po skanowaniu przy rozruchu mi się udało. Pozdrawiam

OTL.Txt

Extras.Txt

GMER.txt

TDSSKiller.2.7.17.0_02.03.2012_01.50.28_log.txt

post-33-0-81739400-1330692550_thumb.jpg

post-33-0-74943100-1330692560_thumb.jpg

post-33-0-12025000-1330692570_thumb.jpg

post-33-0-16249000-1330692582_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Miałeś rootkita, który blokuje prawidłowe funkcjonowanie stron (m.in. Google zwraca "not found"):

 

01:50:41.0875 2772	Detected object count: 1
01:50:41.0875 2772	Actual detected object count: 1
01:51:31.0812 2772	C:\WINDOWS\system32\DRIVERS\ACPI.sys - copied to quarantine
01:51:35.0703 2772	Backup copy found, using it..
01:51:35.0718 2772	C:\WINDOWS\system32\DRIVERS\ACPI.sys - will be cured on reboot
01:51:35.0718 2772	ACPI ( Virus.Win32.Rloader.a ) - User select action: Cure

 

W aktualnych logach nie widzę już żadnych obiektów kojarzonych z czynną infekcją. Jeżeli w stanie bieżącym skanery nic już nie wykrywają, to wykonaj tylko drobne porządki:

 

1. Mini poprawki. Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
 
:Files
netsh firewall reset /C
attrib -s -h C:\WINDOWS\System32\drivers\etc\hosts /C
rd /s /q "C:\Documents and Settings\4\Dane aplikacji\OpenCandy" /C
rd /s /q C:\TDSSKiller_Quarantine /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po tym użyj Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Java, jest już nowsza wersja: KLIK.

 

 

 

.

Odnośnik do komentarza
Suchy203

Suchy203

Opublikowano
  • Autor
Opublikowano

Dziękuję za sprawdzenie logów. Wszystko wykonałem :) Mama jeszcze pytanie czy przez tą infekcje nie mogłem wejść na tą stronę ? Nawet w trybie awaryjnym. I jeszcze w logu extras zauważyłem to

 

Error - 2012-03-01 21:28:29 | Computer Name = 4-738229A91A604 | Source = Ntfs | ID = 262199

Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.

Uruchom

narzędzie chkdsk na woluminie C:.

 

Czy to oznacza że psuje mi się dysk ? Temat będzie można zamknąć. Dzięki.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Mama jeszcze pytanie czy przez tą infekcje nie mogłem wejść na tą stronę ? Nawet w trybie awaryjnym.

 

Przecież to właśnie sugeruję podkreślając jaki rodzaj rootkita tu był. Skoro on powoduje, że Google się nie da otworzyć (błąd 404), to i prawdopodobne wady innych stron. A Tryb awaryjny to działania tego rootkita wcale nie znosił, ten zainfekowany sterownik był ładowany w obojętnym trybie Windows, bo to sterownik warstwy sprzętowej HAL. Ta infekcja to nie jest prymityw.

 

 

I jeszcze w logu extras zauważyłem to (...) Czy to oznacza że psuje mi się dysk ?

 

Błędy struktury systemu plików nie muszą nic szczególnego oznaczać, choć mogą. Przy obecności rootkita mogły się pojawić skutki uboczne. Jeżeli niepokoisz się o stan dysku, to już nowy temat w dziale Hardware ze skanem + SMART z narzędzia MHDD (wytyczne w przyklejonym).

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...