Abnow blokuje mi dostep do intenetu

[bonus666]

Przeprawszam za te posty na nie swoich tematach dopiero sie dowiedziałem ze tu każdy osobno. No więc zaczołem przed wczoraj walczyć z abnow ale poległem i tak : Combofix nic nie da rady zrobić bo nie da się go uruchomić a tym FRST nie potrafie do końca zczaić o co chodzi. Prosze o podanie mi nazw programów jakimi mam zrobić logi i podać je wam. znam instrukcje obchodzenia sie z Frst w cmd i z tego co zrozumiałem to trzeba go uruchomić na samym początku przy starcie systemu tak ? Ale nie wiem jak to zrobić bo na tamtym zainfekowanym kompie za dużo sie nie da zrobic bo wszystko musze tu ściągać i wgl latać z pendrive. Chodzi mi o to żeby mi ktoś napisał jak dojść do punktu uruchamiania frst z cmd.

[picasso]

Obowiązkowe logi to OTL + GMER.

 

Nie zakładaj, że FRST będzie używany. To jest narzędzie do skanowania z poziomu środowiska zewnętrznego (nie działa spod Windows). Muszą być podane najpierw logi z poziomu Windows, definiujące składniki infekcji. Dopiero po analizie tych logów jest dobierana metoda usuwania, niekoniecznie FRST.

 

 

.

[bonus666]

A moge wykonać logi w trybie awaryjnym ?? I jeśli przy normalnym trybie to Comodo ma być wyłaczony ?? I na jakich ustawieniach zrobić log na domyślnych ??

[Grisza]

Kochany wszystko jest podane w linkach, które podała Picasso. Najlepiej żebyś zrobił je w trybie normalnym (chyba że nie da się), Comodo może być włączony, przy opcji Rejestr - skan dodatkowy ustaw na Użyj filtrowania.

[bonus666]

No mam logi z trybu awaryjnego bo już zrobiłem. cieżko chodzi w trybie normalnym ale jeśli trzeba bedzie musowo to zrobie to

OTL.Txt

Extras.Txt

gmer.txt.txt

[picasso]

To nie wygląda na pełny log z GMER tylko szybki preskan. A jeżeli to jest pełny log mimo wszystko, to zrób go z poziomu Trybu normalnego, by była pewność, że wszystko jest pokazane.

[bonus666]

Oto log z gmer:

gmer.txt

[picasso]

Tak, teraz mam pełny log z GMER. GMER wskazuje, że aktualnie zainfekowanym przez rootkita ZeroAccess sterownikiem jest sieciowy ipsec.sys. Widać też łącze symboliczne rootkita D:\WINDOWS\$NtUninstallKB22578$.

 

1. Pobierz plik ipsec.sys w wersji zgodnej z Twoim systemem, czyli XP SP2 (KLIK). Rozpakowany ipsec.sys umieść wprost na D:\, ta ścieżka będzie brana pod uwagę w skrypcie.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

CopyFile:
D:\ipsec.sys D:\WINDOWS\system32\drivers\ipsec.sys
 
DeleteFile:
D:\WINDOWS\System32\dds_log_ad13.cmd
D:\WINDOWS\System32\shimg.dll
D:\WINDOWS\System32\crt.dat
D:\WINDOWS\tasks\At1.job
D:\WINDOWS\tasks\At2.job
D:\WINDOWS\tasks\At3.job
D:\WINDOWS\tasks\At4.job
 
DeleteFolder:
"D:\Documents and Settings\Ewelina\Ustawienia lokalne\Dane aplikacji\59f4fe39"
"D:\Documents and Settings\Ewelina\Dane aplikacji\Antivirus Protection 2012"

 

Klik w Execute Now. Zatwierdź restart komputera. Na dysku D powstanie log z narzędzia.

 

3. Uruchom GrantPerms i w oknie wklej:

 

D:\WINDOWS\$NtUninstallKB22578$

 

Klik w Unlock.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete D:\WINDOWS\$NtUninstallKB22578$ /C
netsh firewall reset /C
 
:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nbf.dll -- (tmlisten)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\viaagp1.dll -- (enodpl)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ql2100.dll -- (afs2k)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [1vo9m1uwut8j] D:\Documents and Settings\Ewelina\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe File not found
O4 - HKCU..\Run: [Antivirus Protection 2012] "D:\Documents and Settings\Ewelina\Dane aplikacji\Antivirus Protection 2012\AntivirusProtection2012.exe" /STARTUP File not found
O4 - HKCU..\Run: [Antivirus Protection 2012 SH] D:\Documents and Settings\Ewelina\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe File not found
O4 - HKCU..\Run: [Antivirus Protection 2012 SM] D:\Documents and Settings\Ewelina\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe File not found
O4 - HKCU..\Run: [king_mg] D:\WINDOWS\system32\mgking.exe File not found
O20 - HKCU Winlogon: Shell - (D:\Documents and Settings\Ewelina\Ustawienia lokalne\Dane aplikacji\59f4fe39\X) - D:\Documents and Settings\Ewelina\Ustawienia lokalne\Dane aplikacji\59f4fe39\X ()
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):"D:\WINDOWS\system32\wuauserv.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

5. Zresetuj Winsock. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zatwierdź restart systemu.

 

6. Do oceny: logi z przetwarzania skryptów z punktów 2 + 4, nowy log OTL zrobiony na warunku dostosowanym (patrz niżej) + GMER + Farbar Service Scanner (wszystkie opcje zaznaczone).

 

Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

D:\Windows\*. /RP /s
D:\Windows|$NtUninstallKB22578$;true;true;false /FP

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[bonus666]

Jesteś najlepsza kocham Cie już działa :*:*:*:*:* Tylko nie zrobiłem tego ostatniego punktu z tym skryptem a do czego on służy ???

[picasso]

bonus666 nie dyskutuj na temat do czego służy, tylko podaj logi o które proszę. Wszystkie akcje muszą zostać przeze mnie potwierdzone, a skan dostosowany jest potrzebny pod kątem szukania określonych składników ZeroAccess.

[bonus666]

ok wrzuce ale teraz wychodze z domu i bede po 17 jak cos

Edytowane 7 Maja 2012 przez picasso
7.05.2012 - ponad miesiąc, nadal nie dostarczone materiały, temat zamykam. //picasso