Rootkit ZeroAcces-przekierowania przeglądarki+logi


(Psm21) #1

Od wczoraj mam problem z rootkitem ZeroAcces, Malwerbytes wykrył też backdoor0access....przeglądarka przekierowuje mnie na strony 'abnow', wklejam logi:

OTL

http://wklej.to/de3WB

http://wklej.to/rJxAq

GMER

http://wklej.to/PSw4t

Skanowanie GMER zostało przerwane gdyż wykryto rootkity...


(Spandau) #2

Tak jest dokładnie ta infekcja Mamy tutaj zmodyfikowany (zainfekowany sterownik systemowy) dlatego na początek

Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje (powinien) proszę wybrać opcje Skip


(Psm21) #3

Program wykrył Virus32.ZAccess....kliknałem skip, uruchomił sie ponownie ale nie ma loga żadnego....


(Spandau) #4

Nie masz na dysku C:\ takiego pliku?


(Psm21) #5

Już mam...

http://wklej.to/BQSqO


(Spandau) #6

HM Uruchom ponownie Kasperskiego jak znajdzie

Wybierz opcje Cure będzie wymagany restart.

Po restarcie proszę pobrać Combofixa instrukcja jak przygotować poprawnie system do użycia narzędzia http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ uruchomić narzędzie dwuklikiem jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum


(Psm21) #7

Tdss usunął jednego, ComboFix usunął dwa.....wg Malwerbytes zostały jeszcze 2.....problem w tym, że Combo usunął mi Iplusa......tzn plik rejestru został zablokowany....


(Spandau) #8

Przywrócimy tylko pokaż mi raport z Combofixa

Ale co ty robisz usuwasz na własną rękę?


(Psm21) #9

Nie...nic nie usuwam sam, klikłem Cure, a potem ComboFix działał w tle i sam usunął....wszystko niby powróciło do normy....podaje log...

http://wklej.to/Me7zN

-- Dodane 14.02.2012 (Wt) 12:48 --

Przeglądarka działa normalnie, zostały tylko na pulpicie dwa pliki desktop.ini.....


(Spandau) #10

Nie widzę aby Combofix usunął Iplusa. Ponieważ muszę szybko wyjść na teraz, resztę podam później

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Psm21) #11

http://wklej.to/Yo2YQ

i drugi...

http://wklej.to/GpByu


(Spandau) #12

Teraz rozumie chyba przeinstalowałeś program. Można było użyć odpowiedniej komendy do Combofixa by wyciągnąc to z kwarantanny ale to już nieistotne.

Odinstalujemy Combofixa

Start - w pole Wyszukaj programy i pliki wpisz lub skopiuj

"c:\users\BHP2\Desktop\ComboFix.exe" /uninstall i Enter

Następnie wejdź do katalogu C:\Windows\System32\drivers i sprawdź czy nie ma kłudeczek na ikonkach jakiś sterowników

Wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak coś wykryje proszę nic nie usuwać tylko pokaż raport na forum. Jak nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Użyj polecenia sfc /verifyonly instrukcja http://www.fixitpc.pl/topic/1236-weryfi ... edzie-sfc/ zaprezentuj raport na forum


(Psm21) #13

Nie mogę odinstalować ComboFixa...instaluje się od nowa po wpisaniu tej komendy...


(Spandau) #14

Cierpliwości początkowo proces właśnie przebiega tak jakby się instalował.


(Psm21) #15

Czysto.....dzięki za pomoc :smiley:

http://wklej.to/vuZcI


(Spandau) #16

Rozumie, że Kasperski nic nie wykrył

To nie jest wszystko OTL pokazał zdefektowane usługi Musimy sprawdzić czy brakuje plików czy problem z rejestrem, na teraz

Start - w pole wyszukaj programy i pliki wpisujesz regedit z prawokliku Uruchom jako administrator Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Klikasz prawym przyciskiem myszy na Services wyeksportuj to do pliku reg spakuj, wrzuć na jakiś hosting i podaj linka tutaj


(Psm21) #17

http://hostuje.net/file.php?id=4c064c2b ... 921a5a30d4


(Spandau) #18

Przeleciałem ten plik i porównałem ze swoim. U mnie takie wpisy nie istnieją. Nie oznacza to że Twoje są złe, ale okazało się na maszynie Virtualnej, że najnowsza wersja tego rootkita tworzy sobie takie odpadki usług, więc dam to do usuwania, ale żeby zabezpieczyć się przed ewentualnymi problemami zrobimy to tak

  1. Proszę utworzyć nowy punkt przywracania systemu http://windows.microsoft.com/pl-PL/wind ... tore-point

  2. Plik rejestru który mi podesłałeś będziesz miał jako kopię

  3. W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Psm21) #19

http://wklejto.pl/117397

http://wklejto.pl/117398


(Spandau) #20

Jeśli chodzi o infekcje to sprawę mamy załatwioną. Jeśli Malwarebytes i antywirus nic nie wykrywają oraz jeśli wszystko działa poprawnie, to przejdziemy do kroków końcowych

Poniższe foldery proszę usunąć ręcznie przez Shift+Del

Uruchom OTL klikasz Sprzątanie to usunie OTL'a oraz folder C:_OTL kwarantanne OTL

Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Dla bezpieczeństwa zmień wszystkie hasła logowania