aniania Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Witam! Wczoraj moj komputer zostal zaatakowany, niestety nie wiem jak sobie z tym poradzic. Stało się to podczas sciagania aktualizacji Adobe. Wszystkie wyniki z wyszukiwarek przekierowywane są na stronę abnow.com. Co chwile pojawia sie komunikat o zablokowaniu przez Malwarebytes Anti-Malware procesu C:\WINDOWS\SYSTEM32\NCUPDATESVC.DLL ROOTKIT.0ACCESS. Combofix nie chce się uruchomić ponieważ ciągle widzi, że chodzi AntiVir Desktop który został wczesniej odinstalowany. Windows Security Center zostało wyłączone a nastepnie zablokowane. Nie wiem co robic. Prosze o pomoc. Logi: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Marca 2012 Zgłoś Udostępnij Opublikowano 5 Marca 2012 Pomijając już fakt, że logi z OTL nie są zrobione na podstawie wytycznych w tutejszym przyklejonym tylko wg konfigu z innego forum, ten zestaw logów jest niekompletny, a zwłaszcza przy rootkicie ZeroAccess. Musi zostać obowiązkowo podany log z GMER. Od razu pytanie: czy masz dostęp do środowiska WinRE, czyli płytę DVD instalacyjną Vista z opcją "Napraw komputer" lub w menu F8 pozycję "Napraw komputer"? . Odnośnik do komentarza
aniania Opublikowano 5 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2012 Przepraszam za to pominięcie. Jestem w trakcie skanowania jesli chodzi o GMER. Niestety nie posiadam opcji "Napraw komputer". Załączam poprawione logi z OTL i log z GMERA. Dziekuję za wyrozumialość OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 6 Marca 2012 Zgłoś Udostępnij Opublikowano 6 Marca 2012 W związku z brakiem dostępu do "Napraw komputer" zostanie wdrożona inna wersja wydarzeń. 1. Pobierz czysty plik netbt.sys zgodny z systemem Vista SP1 32-bit: KLIK. Rozpakuj paczkę ZIP i wynikowy plik umieść wprost na dysku C:\, gdyż taka ścieżka zostanie użyta w skrypcie. 2. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\netbt.sys C:\Windows\System32\drivers\netbt.sys DeleteFile: C:\Windows\System32\cfosspeeds.dll C:\Windows\System32\dds_log_trash.cmd DeleteFolder: C:\Users\Ania\AppData\Local\6d3ea0f3 Klik w Execute Now. Zatwierdź restart komputera. Na dysku C powstanie log z operacji. 3. Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB12850$ Klik w Unlock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- -- (tosrfcom) SRV - File not found [Auto | Stopped] -- -- (swmidi) SRV - File not found [Auto | Stopped] -- -- (prevxagent) SRV - File not found [Auto | Stopped] -- -- (mssql$microsoftbcm) SRV - File not found [Auto | Stopped] -- -- (msi_wlan_service) SRV - File not found [Auto | Stopped] -- -- (logmein) SRV - File not found [Auto | Stopped] -- -- (isapisearch) SRV - File not found [Auto | Stopped] -- -- (icam4usb) SRV - File not found [Auto | Stopped] -- -- (FireHook) SRV - File not found [Auto | Stopped] -- -- (cmdmon) SRV - File not found [Auto | Stopped] -- -- (wm) NetSvcs: tosrfcom - File not found NetSvcs: swmidi - File not found NetSvcs: prevxagent - File not found NetSvcs: mssql$microsoftbcm - File not found NetSvcs: msi_wlan_service - File not found NetSvcs: logmein - File not found NetSvcs: isapisearch - File not found NetSvcs: icam4usb - File not found NetSvcs: FireHook - File not found NetSvcs: cmdmon - File not found NetSvcs: wm - File not found :Files netsh winsock reset /C fsutil reparsepoint delete C:\Windows\$NtUninstallKB12850$ /C C:\Windows\$NtUninstallKB12850$ :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 5. Prezentujesz logi: BlitzBlank z punktu 2, wyniki przetwarzania skryptu z punktu 4 oraz nowy zestaw logów z OTL + GMER zrobiony już po wszystkim. . Odnośnik do komentarza
aniania Opublikowano 6 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2012 W dalszym ciagu pojawia mi sie informacja od Malwarebytes Anti-Malware o zatrzymaniu niebezpiecznego procesu C:\WINDOWS\SYSTEM32\NCUPDATESVC.DLL ROOTKIT.0ACCESS BlitzBlank 1.0.0.32 File/Registry Modification Engine native application CopyFileOnReboot: sourceFile = "\??\c:\netbt.sys", destinationFile = "\??\c:\windows\system32\drivers\netbt.sys"MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\cfosspeeds.dll", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\dds_log_trash.cmd", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\ania\appdata\local\6d3ea0f3", destinationDirectory = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\c:\users\ania\appdata\local\6d3ea0f3\@", destinationFile = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\ania\appdata\local\6d3ea0f3\U", destinationDirectory = "(null)", replaceWithDummy = 0 GMER.txt OTL.Txt skrypt_z_pt_4.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 Niestety, rootkit się przetransformował i jest już kolejny zarażony sterownik, tym razem smb.sys. Zmiana metody, usuwanie odbędzie się z poziomu środowiska zewnętrznego. 1. Przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\Windows\system32\drivers\smb.sys|C:\smb.sys /replace C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB12850$ /C :OTL SRV - [2008-01-21 03:23:43 | 000,005,120 | ---- | M] (Iomega) [Auto] -- C:\Windows\System32\mcvsrte.dll -- (WNCPKT) NetSvcs: WNCPKT - C:\Windows\System32\mcvsrte.dll (Iomega) [2012-03-06 15:21:47 | 000,000,000 | -HS- | C] () -- C:\Windows\System32\dds_log_trash.cmd [2012-03-04 16:15:36 | 000,000,022 | ---- | C] () -- C:\Windows\tpcsd [2012-03-04 15:56:52 | 000,000,000 | -HS- | C] () -- C:\Windows\muzuki.exc :Commands [emptytemp] Plik ten zapisz sobie na dysku C:\ pod dowolną nazwą. Pobierz plik smb.sys spakowany do ZIP (KLIK). Wypakuj z ZIP smb.sys i plik ten umieść wprost na C:\, gdyż ta ścieżka będzie brana pod uwagę w skrypcie. 2. Zastartuj komputer z płyty OTLPE. Uruchom OTL, do okna Custom Scans/Fixes przeklej treść skryptu zapisaną w Notatniku i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. 3. Restart do Windows. 4. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz komendę netsh winsock reset. Zresetuj system. 5. Logi do oceny: GMER oraz OTL zrobiony na warunku dostosowanym. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB12850$;true;true;false /FP Klik w Skanuj. Dołącz także log z wynikami przetwarzania skryptu z punktu 2. . Odnośnik do komentarza
aniania Opublikowano 7 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2012 podczas wykonywania skryptu z pliku 2 wyswietlil mi sie komunikat: C:\Windows\System32\fsutil.exe is not valid Win32 application. Przechodze do restartu na Windows. Po restarcie do Windowsa nie bylo zadnych komunikatow od Malwarebytes Anti-Malware, ale po wykonaniu komendy i kolejnym zrestartowaniu systemu pojawila sie wiadomosc o zablokowaniu niebezpiecznego procesu C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\{E9C1E1... Log z GMERA bedzie jutro bo strasznie dlugo trwa mi skanowanie GMER zalaczony. Przechodzic do dzialan z postu ponizej? OTL.Txt 03072012_190052.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2012 Zgłoś Udostępnij Opublikowano 7 Marca 2012 (edytowane) Chwileczkę .... co to za log z usuwania OTL? To nie jest log z przetwarzania skryptu w OTLPE tylko stary z usuwania w OTL spod Windows. Dla formalności podmień Załączniki w poprzednim poście i dostaw tam też GMER, choć już wiem co w nim zobaczę. Wnioski pośrednie na podstawie OTL, ustały czynności rootkit, ponieważ Winsock zdołał się zresetować (niemożliwe przy czynnym rootkicie) i brak usług wtórnych. Ale roboty na widoku: 1. Nowa niekorzystna zmiana, został usunięty ten sterownik Windows: DRV - File not found [Kernel | System | Stopped] -- -- (netbt) Plik już dawałam wcześniej. Ręcznie skopiuj C:\netbt.sys do katalogu C:\Windows\system32\drivers. Następnie przeprowadź ogólną walidację plików systemowych za pomocą komendy sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 2. Ciągle nierozwiązana sprawa z łączem symbolicznym: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========[C:\Windows\$NtUninstallKB12850$] -> Error: Cannot create file handle -> Unknown point type ... ze względu na "komunikat: C:\Windows\System32\fsutil.exe is not valid Win32 application". Narzędzie fsutil jest potrzebne do rozlinkowania, ale błąd sugeruje, że plik jest uszkodzony. Wykonaj skan dostosowany w OTL pod kątem parametrów tego pliku. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, a w sekcji Własne opcje skanowania / skrypt wklej: /md5start fsutil.exe /md5stop Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log. Po restarcie do Windowsa nie bylo zadnych komunikatow od Malwarebytes Anti-Malware, ale po wykonaniu komendy i kolejnym zrestartowaniu systemu pojawila sie wiadomosc o zablokowaniu niebezpiecznego procesu C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\{E9C1E1... Spodziewany wynik. EDIT: GMER zalaczony. Przechodzic do dzialan z postu ponizej? Logi dołączone. GMER wygląda tak jak obstawiłam. Tak: działania podane przeze mnie powyżej aktualne. Odpisuj w nowym poście z danymi o które proszę w punktach 1 + 2. . Edytowane 8 Marca 2012 przez picasso Odnośnik do komentarza
aniania Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 Przesylam logi z pierwszego i drugiego punktu. OTL logfile created on: 2012-03-08 15:30:44 - Run 5 OTL by OldTimer - Version 3.2.35.1 Folder = C:\Users\Ania\Downloads Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 3,00 Gb Total Physical Memory | 1,88 Gb Available Physical Memory | 62,84% Memory free 6,23 Gb Paging File | 5,05 Gb Available in Paging File | 81,11% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 298,09 Gb Total Space | 213,01 Gb Free Space | 71,46% Space Free | Partition Type: NTFS Computer Name: ANN | User Name: Ania | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days ========== Custom Scans ========== < MD5 for: FSUTIL.EXE > [2008-01-21 03:24:57 | 000,055,296 | ---- | M] (Microsoft Corporation) MD5=049065B767519D7A6AC351397136877D -- C:\Windows\System32\fsutil.exe [2008-01-21 03:24:57 | 000,055,296 | ---- | M] (Microsoft Corporation) MD5=049065B767519D7A6AC351397136877D -- C:\Windows\winsxs\x86_microsoft-windows-fsutil_31bf3856ad364e35_6.0.6001.18000_none_cc641478efec9c31\fsutil.exe < End of report > sfc.txt Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 SFC wykonał pewne korekty w plikach. Skan z OTL nie wykazuje, by plik fsutil.exe był niepoprawny ... może coś OTLPE zgłupiał. W każdym razie: 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB12850$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (RkHit) O3 - HKU\S-1-5-21-3702702060-2741754377-3554435790-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found [2012-03-05 10:46:10 | 000,003,915 | ---- | M] () -- C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\y3nc6b3r.default\searchplugins\sweetim.xml :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB12850$ /C C:\Windows\$NtUninstallKB12850$ Klik w Wykonaj skrypt. Przedstaw log z usuwania. . Odnośnik do komentarza
aniania Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 W czasie wykonywania skryptu program OTL sie zawiesil. Zamknelam go, ale nie dal sie ponownie odpalic. Zrestartowalam komputer i wyskoczyl mi log ktory zamieszczam ponizej. Files\Folders moved on Reboot... Folder move failed. C:\Windows\$NtUninstallKB12850$\TxR scheduled to be moved on reboot. C:\Windows\$NtUninstallKB12850$\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies folder moved successfully. Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Nic dziwnego, że OTL się zawiesił, bardzo niedobrze: Files\Folders moved on Reboot...Folder move failed. C:\Windows\$NtUninstallKB12850$\TxR scheduled to be moved on reboot.C:\Windows\$NtUninstallKB12850$\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies folder moved successfully. Te zapisy świadczą, że wcale nie został rozlinkowany obiekt ZeroAccess przez komendę fsutil! OTL przetwarzać chciał docelowy punkt łączenia, a to prawidłowy katalog z rejestrem Windows! To co było wcześniej widać: [2006-11-02 13:37:35 | 000,000,000 | -HSD | M] -- C:\Windows\$NtUninstallKB12850$ [2006-11-02 11:23:31 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB12850$\Journal [2012-03-07 19:22:06 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB12850$\RegBack [2011-10-09 18:20:02 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB12850$\systemprofile [2011-06-02 23:43:55 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB12850$\TxR ... to w rzeczywistości zawartość C:\Windows\system32\config z kluczowymi plikami rejestru Windows. Dopóki łącze nie zostanie zdjęte, link kieruje w fałszywe miejsce, a nie to gdzie jest konfig rootkita. Właściwą zawartość nieprzelinkowaną pokazuje GMER: ---- Files - GMER 1.0.15 ---- File C:\Windows\$NtUninstallKB12850$\1832820979 0 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\@ 2048 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\L 0 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\L\qnbwvoto 66560 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\loader.tlb 2632 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U 0 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@00000001 45968 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@000000c0 2560 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@000000cb 3072 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@000000cf 1536 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@80000000 73216 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@800000c0 42496 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@800000cb 25600 bytesFile C:\Windows\$NtUninstallKB12850$\1832820979\U\@800000cf 31232 bytesFile C:\Windows\$NtUninstallKB12850$\4220266113 0 bytes Podaj więcej danych: 1. Rekursywny spis katalogu kwarantanny OTL, co tam jest, dla pewności, bo szkód to tu nie będzie dużo (na szczęście rejestr jest zablokowany i tego nie mogło ruszyć, ale jak widzimy z wyników skryptu przetworzyło częściowo katalog systemprofile). Uruchom OTL, wszystko ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: dir /s /a C:\_OTL /C Klik w Skanuj. 2. Wyniki z fsutil uruchomionego bezpośrednio. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wpisz komendę fsutil. Co się pokazuje? Błąd? Ten sam co wcześniej spod OTLPE? Dla porównania zwrot prawidłowy: Microsoft Windows [Wersja 6.1.7601]Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\Windows\system32>fsutil ---- Obsługiwane polecenia ---- 8dot3name Zarządzanie 8dot3name behavior Sterują zachowaniem systemu plików dirty Zarządzają bitem zanieczyszczenia woluminu file Polecenia specyficzne dla plików fsinfo Informacje o systemie plików hardlink Zarządzanie łączami stałymi objectid Zarządzanie identyfikatorami obiektów quota Zarządzanie przydziałami repair Zarządzanie samonaprawianiem reparsepoint Zarządzanie punktami ponownej analizy resource Zarządzanie Menedżerem zasobów transakcji sparse Sterowanie plikami rozrzedzonymi transaction Zarządzanie transakcjami usn Zarządzanie numerami USN volume Zarządzanie woluminami C:\Windows\system32> . Odnośnik do komentarza
aniania Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 fsutil nie pokazuje zadnego bledu; Microsoft Windows [Wersja 6.0.6001] Copyright © 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\Windows\system32>fsutil ---- Obsługiwane polecenia ---- behavior Sterują zachowaniem systemu plików dirty Zarządzają bitem zanieczyszczenia woluminu file Polecenia specyficzne dla plików fsinfo Informacje o systemie plików hardlink Zarządzanie łączami stałymi objectid Zarządzanie identyfikatorami obiektów quota Zarządzanie przydziałami repair Zarządzanie samonaprawianiem reparsepoint Zarządzanie punktami ponownej analizy resource Zarządzanie Menedżerem zasobów transakcji sparse Sterowanie plikami rozrzedzonymi transaction Zarządzanie transakcjami usn Zarządzanie numerami USN volume Zarządzanie woluminami C:\Windows\system32> OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 1. Wywaleniem składowych systemprofile nie ma się co przejmować i nawet nie będę tego odtwarzać w całości, jako że nie wszystkie składniki są nawet domyślne. Jedyne co odtworzysz to: C:\_OTL\MovedFiles\03082012_181439\C_Windows\$NtUninstallKB12850$\systemprofile\Contacts Ten folder Contacts przenieś do C:\Windows\system32\config\systemprofile, bo w oryginale on tam jest. C:\_OTL\MovedFiles\03082012_181439\C_Windows\$NtUninstallKB12850$\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies Z tego folderu wywal wszystkie pliki z wyjątkiem index.dat, następnie folder przenieś do C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows. 2. Co do fsutil, działa, to teraz w cmd uruchomionym jako Administrator wpisz komendę: fsutil reparsepoint delete C:\Windows\$NtUninstallKB12850$ Co się pokazuje? Błąd "Odmowa dostępu" czy przejście do nowej linii? . Odnośnik do komentarza
aniania Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Podczas próby zamiany folderu Cookies wyswietla sie blad ktory uniemozliwia wykonanie operacji. Blad 0x800704C8: Nie mozna wykonac zadanej operacji na pliku z otwarta sekcja mapowania uzytkownika. Co w takim wypadku mam robic? Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 "próby zamiany" = to znaczy że folder Cookies tam już jest? Jeśli jest, omiń operację. Jeśli go nie ma, też omiń, bo ważniejsza jest akcja z punktu 2, czyli dokończenie składnika ZeroAccess. Odnośnik do komentarza
aniania Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Błąd "Odmowa dostępu" Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Wnioski: GrantPerms udaje, że coś robi i reset uprawnień nie nastąpił. Zmiana metody: 1. Pobierz SetACL, ze środka z katalogu x86 wypakuj SetACL.exe i umieść w C:\Windows. Do Notatnika wklej: "\\?\C:\Windows\$NtUninstallKB12850$",1,"O:BAD:AI" Zapisz jako fix.txt. Plik przekopiuj wprost na C:\. W cmd uruchomionym jako Administrator wpisz komendę: SetACL -on "C:\Windows\$NtUninstallKB12850$" -ot file -actn restore -bckp C:\fix.txt Jeżeli komenda będzie pomyślna: 2. W cmd uruchomionym jako Administrator ponów komendę: fsutil reparsepoint delete C:\Windows\$NtUninstallKB12850$ Jeżeli tym razem nie będzie "Odmowy dostępu", tylko przejdzie do nowej linii, rozlinkowanie gotowe i możesz: 3. W cmd uruchomionym jako Administrator zastosować komendę kasacji katalogu: rd /s /q C:\Windows\$NtUninstallKB12850$ . Odnośnik do komentarza
aniania Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Punkt 1. Odmowa dostepu Input file for restore operation: <C:\fix.txt> detected as ANSI. Restoring ACL of: <\\?\C:\Windows\$NtUninstallKB12850$> <\\?\C:\Windows\$NtUninstallKB12850$>: Access denied. SetACL finished successfully. Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 "Odmowa dostępu" = czy to na pewno była linia komend cmd uruchomiona przez opcję "Uruchom jako administrator" w menu kontekstowym? Jeśli tak, to może sięgnijmy jednak po ComboFix, on ma automat na te linki symboliczne. Mówiłaś: Combofix nie chce się uruchomić ponieważ ciągle widzi, że chodzi AntiVir Desktop który został wczesniej odinstalowany. Czy na pewno wpis Avira to była przeszkoda, może jednak rootkit ZeroAccess? Na wszelki wypadek dam to usuwanie wpisu Avira. Odbędzie się ono za pomocą narzędzia wbemtest.exe wg instrukcji: KLIK. Gdy to wykonasz, przejdź w Tryb awaryjny Windows i spróbuj uruchomić ComboFix. Jeżeli się uda, dostarcz raport z jego pracy. . Odnośnik do komentarza
aniania Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Przy probie usuniecia wpisu: Access Denied. Probowalam na wiele roznych sposobow opisanych w instrukcji. W trybie awaryjnym przy uruchomieniu ComboFixa znow pojawila sie wiadomosc ze widzi Avire. Jednak tym razem po zamknieciu okienka blad ComboFix odpalil. wykryl rootkita, otrzymalam wiadomosc ze mam zrestartowac komputer. Zrestartowalam, ale nie wiem gdzie znalezc raport z ComboFixa Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 EDIT Przy probie usuniecia wpisu: Access Denied. Probowalam na wiele roznych sposobow opisanych w instrukcji. To odnosi się do wbemtest.exe? Czy narzędzie startowałaś przez "Uruchom jako Administrator"? W trybie awaryjnym przy uruchomieniu ComboFixa znow pojawila sie wiadomosc ze widzi Avire. Dopóki nie zostanie oczyszczone WMI z wpisów Avira, ComboFix będzie to notował. Jednak tym razem po zamknieciu okienka blad ComboFix odpalil. wykryl rootkita, otrzymalam wiadomosc ze mam zrestartowac komputer. Zrestartowalam, ale nie wiem gdzie znalezc raport z ComboFixa Tym razem odpalił, bo ZeroAccess już tu nie działa, tak jak sądziłam komunikat o Avira nie ma nic do rzeczy. A ten komunikat o "wykryciu rootkita" to mi nie wygląda na zgodny z prawdą. Wg ostatnich danych z GMER tu mamy tylko problem z łączem symbolicznym po ZeroAccess. Czy na pewno ComboFix mówił o ręcznym resecie? On przy takiej detekcji właśnie mówi coś przeciwnego, że musi restartować i sam to zrobi i by tego nie robić ręcznie. Zaś log z ComboFix to się otwiera automatycznie, gdy narzędzie prawidłowo ukończy pracę. Tu to najwyraźniej nie nastąpiło. Zresetuj system raz jeszcze, by sprawdzić czy przypadkiem ComboFix czegoś nie kończy. W razie czego: log ma być w postaci C:\ComboFix.txt. . Odnośnik do komentarza
aniania Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 Jeszcze raz... Poprzez wbemtest.exe sprawdzilam i nie ma juz zadnych wpisow z Aviry. Uruchomilam Combofixa. Tak jak poprzednio wykryl rootkita 0access 'which has inserted itself in tcp/ip stact' Po automatycznym restarcie dalej nie ma logu z operacji. Teraz Malwarebytes Anti-Malware zablokowal niebezpieczny proces C:\WINDOWS\SYSTEM32\SNAC.DLL Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Pokaż nowy log z GMER. Odnośnik do komentarza
aniania Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 Odpalilam GMERa niestety podczas skanowania ukazal mi sie blue screen z wiadomoscia ze system Windows odkryl jakis problem. Przeszlam na tryb awaryjny i ponownie odpalilam GMERa. Zakonczyl skanowanie bardzo szybko. W zalaczniku wynik. Dzisiaj powtorzylo sie wszystko raz jeszcze. GMER przerywa skanowanie. Nie wiem co robic EDIT Puscilam GMERa jeszcze raz. Narazie sie skanuje, zobaczymy czy znowu sie nie przerwie. Nie przerwalo, ale nie wykonalo (chyba) tego czego powinno. Wyniki w zalaczniku GMER_.txt Odnośnik do komentarza
Rekomendowane odpowiedzi