Witam,
Prośba o pomoc.
Jak w tytule, czyszczę pozostałości po Internet Security i wykrytych 30 trojanach (wg ESET online). Tak swoją drogą malwarebytes nic nie wykrył:)
Dodatkowo sporo danych przelatuje przez sieć gdy nie korzystam z kompa (aktualizacje wyłączone). Jako, że mam iPlusa to robi mi to sporą różnicę.
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Przed podawanym linkiem nie wpisuj żadnych znaków : itd.
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
W OTL kilknij CleanUp (Sprzątanie)
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
Log wskazuje, że system jest zainfekowany przez rootkita ZeroAccess:
MOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
MOD - [2008-06-20 17:04:23 | 000,246,784 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found
[2012-02-29 15:53:38 | 000,000,000 | -HS- | M] () -- C:\windows\System32\dds_trash_log.cmdciesiel84 , Nie użyje Combofixa ponieważ masz Iplusa, a Combofix usuwa to oprogramowanie z niewiadomych mi powodów (miałem dwa takie przypadki na forum) chyba że mi napiszesz że nie ma problemu to jestem w stanie przywrócić ten program z kwarantanny Combofixa tylko nie wiem czy będziesz mógł się połączyć z internetem po skanie Combofixem. Dlatego proszę o raport Gmera w celu identyfikacji symbolicznego łącza rootkita C:\windows$NtUninstall… + ewentualnie zainfekowane sterowniki systemowe Instrukcja Gmera http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
Dziękuję za zainteresowanie tematem.
Odpaliłem skan GMER w trybie awaryjnym bo przy normalnym uruchomieniu był szybki, automatyczny restart kompa po odpaleniu programu. Jak skończy to wrzucę wyniki.
Pytanie co z tym combofixem? Będzie szybciej, lepiej? Mam drugiego kompa jeśli chodzi o czasowe rozwiązanie połączenia z siecią.
Przy okazji pytanie czym zabezpieczyć komputer? Niestety nie jest to pierwszy problem u mnie. Będę wdzięczy za propozycje jakiś darmowych/tanich i skutecznych rozwiązań, ewentualnie za linka do tematu:)
Czekam na wyniki Gmera
Czy przeinstalowanie Iplusa jest dla Ciebie problemem? Bo tak jak mówiłem w tym przypadku Combofix może wyrzucić tą aplikacje więc nastawiam się na usuwanie rootkita z zewnątrz żeby nie posypał się system, przy pomocy OTLPE którego płytkę możesz sobie przygotować http://www.fixitpc.pl/topic/4414-diagno … h-windows/
To na samym końcu.
Gmer walczy już 5,5h… Póki co na czerwono nic nie ma
Co do przeinstalowania Iplusa to nie powinienem mieć problemów.
Dobrze w takim razie zrób tak zakończ skan Gmerem Pobierz i uruchom Combofixa dwuklikiem (przygotuj system pod skan combofixem) instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę pokaż raport na forum
Jeśli zostanie usunięty Iplus prześlij raport combofixa z innego komputera jak pisałeś.
no i zonk. Dwukrotne uruchomienie Combofix zakończyło się tak samo.
Przy operacji 40-50 następuje restart kompa, a po restarcie info “komputer odzyskał sprawność po poważnym błędzie”.
Combofix po restarcie nie daje znaku życia i nie generuje raportu.
P.S Drugie uruchomienie combofix również wykazało obecność rootkit zeroaccess.
EDIT
Dodatkowo próba utworzenia konsoli odzyskiwania zakończyła się błędem o niemożności poprawnego odczytania (nie pamiętam: partycji?) rozruchowej.
Ogólnie podczas startu komputera/sytemu mam info: nieprawidłowy plik boot.ini ale system startuje ok.
EDIT 2:
Restart następuje po etapie 50 i wyświetleniu komunikatu “Usuwanie plików:” - komunikat “komputer odzyskał sprawność…” brak raportu
EDIT3:
Przywrócenie boot.ini niewiele dało. Konsola się zainstalowała, a reszta bez zmian.
Także zaczynam szukać innego rozwiązania.
Jakieś pomysły??
Rozumie, że komputer działa Iplus także? Zostaw Combofixa w spokoju. Będziemy usuwać z zewnątrz Pobierz i nagraj na płytkę OTLPE instrukcja http://www.fixitpc.pl/topic/4414-diagno … h-windows/ Z tej płytki wykonaj skan OTLPE na warunku tzn W okno Custom Scans/Fixes wklej:
Klikasz Scan pokaż raport na forum
Edit:
Resztę instrukcji podam jutro.
Combofix jak widać coś zrobił nie koniecznie wszystko i dobrze. Pobierz sobie plik hosts dla Twojego systemu http://hostuje.net/file.php?id=b94d6277 … 4f66400493
Zastartuj do OTLPE i umieść plik hosts w lokalizacji C:\WINDOWS\System32\drivers\etc
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Zapisz raport podasz go później na forum
Następnie uruchom normalnie system ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log OTL.txt na forum.
OTLPE log:
Nie było wymuszonego restartu.
OTL:
OTL extras:
Przez Panel sterowania - Dodaj usuń programy odinstaluj
Bo nie do końca wszystko prawidłowo wkleiłeś, ale to nic
Combofix usunął co trzeba
Kolejne kroki do wykonania
Start - Uruchom - wpisz regedit i Enter Idziesz do klucza
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost znajdź netsvcs z prawokliku wybierasz Exportuj - zapisz do pliku reg wyślij na jakiś hosting a w poście podaj linka
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie uruchom OTL klikasz Sprzątanie
Następnie wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport z wykrytych zagrożeń. Jak nic nie znajdzie odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189
Netsvcs.reg:
http://hostuje.net/file.php?id=f8c88381 … 8ed2a53095
Log z usuwania:
Kaspersky ma problem tylko z jednym plikiem:
Detected: Virus.Win32.RLoader.a C:\WINDOWS\system32\drivers\acpi.sys
Wklej do notatnika
Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg
Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.
Na dysku C:\ proszę utworzyć katalog Plik Pobierz plik acpi.sys dla Twojego systemu http://sendfile.pl/141912/acpi.sys umieść go w katalogu Plik czyli C:\Plik\acpi.sys
Pobierz ponownie OTL, uruchom. W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL W okno Własne opcje skanowania / skrypt w OTL wklej:
tym razem klikasz Skanuj i dajesz nowy log OTL na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Z usuwania:
Skanowanie OTL:
Skanowanie Extras:
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Proszę o raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html Po zakończony skanie zapisz raport spakuj plik i wrzuć na jakiś hosting. Link do niego podajesz tutaj
Wykonaj pełny skan Malwarebytes Jak program coś wykryje nic nie usuwaj tylko pokaż raport na forum