Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

abnow..

lasek311

Przez lasek311
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
z tego co wiem to na początek potrzebne są logi z gmer'a i otl?

 

Skoro zadajesz sobie to pytanie, nasuwa się, że nie przeczytałeś zasad działu: KLIK. Nie byłoby tu żadnego pytajnika. Logi są obowiązkowe niezależnie od charakteru infekcji, jeżeli temat jest w tym dziale.

 

Log z OTL niepełny, brakuje Extras, tzn. opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania". Wstępna próba leczenia infekcji:

 

1. Pobierz ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie.

 

2. Gdy narzędzie ukończy, przedstaw jego raport oraz zrób nowe logi z OTL (przypominam o Extras) + GMER.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

ComboFix dał radę. Ustały czynności rootkit. Możemy przejść do kolejnych działań, tzn. napraw po rootkicie, usuwania odpadków i adware.

 

1. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

2. Otwórz menedżer rozszerzeń Firefox i odinstaluj śmieć-dodatki: Conduit Engine + Freecorder Community Toolbar + uTorrentBar Community Toolbar + vShare Toolbar. Powtórz deinstalację uTorrentBar Toolbar i vShare w Panelu sterowania Windows.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\eloggersvc6.dll -- (s24eventmonitor)
NetSvcs: s24eventmonitor - File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Web Search"
[2012-03-31 07:33:09 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
[2011-09-05 08:38:03 | 000,000,000 | ---D | M] -- C:\Users\Mateusz Laskowski\AppData\Roaming\OpenCandy
[2011-08-17 20:41:12 | 000,000,923 | ---- | M] () -- C:\Users\Mateusz Laskowski\AppData\Roaming\Mozilla\Firefox\Profiles\4a39a94e.default\searchplugins\conduit.xml
[2011-12-17 19:22:30 | 000,000,792 | ---- | M] () -- C:\Users\Mateusz Laskowski\AppData\Roaming\Mozilla\Firefox\Profiles\4a39a94e.default\searchplugins\startsear.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{859F2C33-C7BF-4FA2-A839-2E5DB93D78CF}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{859F2C33-C7BF-4FA2-A839-2E5DB93D78CF}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

4. Wykonaj nowe logi: OTL z opcji Skanuj (już bez Extras) + AdwCleaner z opcji Search. Dołącz raport z wynikami narzędzia SFC stworzony w punkcie 1 oraz log z wynikami usuiwania OTL pozyskany w punkcie 3.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Narzędzie SFC skorygowało szkody po infekcji:

 

2012-03-31 20:48:13, Info    CSI    000001ba [sR] Cannot repair member file [l:14{7}]"tdx.sys" of Microsoft-Windows-TDI-Over-TCPIP, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-03-31 20:48:13, Info    CSI    000001bb [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup

 

Pozostały jeszcze mini odpadki po usuwanych śmieciach. Przeglądarki muszą być zamknięte przy wykonywaniu punktów 1 + 2.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.6.0.10
FF - prefs.js..extensions.enabledItems: {1392b8d2-5c05-419f-a8f6-b9f15a596612}:3.6.0.10

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Uruchom AdwCleaner i zastosuj w nim opcję Delete. Gdy ukończy zadanie, wybierz Uninstall.

 

3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

%userprofile%\Desktop\ComboFix.exe /uninstall

 

Po tym możesz użyć opcję Sprzątanie w OTL usuwającą z dysku kwarantannę OTL i program.

 

4. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware (widzę zainstalowany). Przedstaw raport z wynikami, o ile coś zostanie wykryte (pustego nie dołączaj).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

1. Te wyniki w MBAM to resztki rootkita ZeroAccess. Usuń te pliki za pomocą programu. Następnie wyczyść ręcznie foldery Przywracania systemu: KLIK.

 

2. Wykonaj aktualizacje: KLIK. Na Twojej liście zainstalowanych widnieją wersje;

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 30
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"FileZilla Client" = FileZilla Client 3.5.1

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

Podsumuj czy wszystko działa, czy Windows Update uruchamia się prawidłowo i żadnych błędów nie zwraca.

 

 

 

 

.

Edytowane przez picasso
7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...