Od wczoraj mam problem z rootkitem ZeroAcces, Malwerbytes wykrył też backdoor0access…przeglądarka przekierowuje mnie na strony ‘abnow’, wklejam logi:
OTL
GMER
Skanowanie GMER zostało przerwane gdyż wykryto rootkity…
Od wczoraj mam problem z rootkitem ZeroAcces, Malwerbytes wykrył też backdoor0access…przeglądarka przekierowuje mnie na strony ‘abnow’, wklejam logi:
OTL
GMER
Skanowanie GMER zostało przerwane gdyż wykryto rootkity…
Tak jest dokładnie ta infekcja Mamy tutaj zmodyfikowany (zainfekowany sterownik systemowy) dlatego na początek
Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje (powinien) proszę wybrać opcje Skip
Program wykrył Virus32.ZAccess…kliknałem skip, uruchomił sie ponownie ale nie ma loga żadnego…
Nie masz na dysku C:\ takiego pliku?
HM Uruchom ponownie Kasperskiego jak znajdzie
Wybierz opcje Cure będzie wymagany restart.
Po restarcie proszę pobrać Combofixa instrukcja jak przygotować poprawnie system do użycia narzędzia http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ uruchomić narzędzie dwuklikiem jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum
Tdss usunął jednego, ComboFix usunął dwa…wg Malwerbytes zostały jeszcze 2…problem w tym, że Combo usunął mi Iplusa…tzn plik rejestru został zablokowany…
Przywrócimy tylko pokaż mi raport z Combofixa
Ale co ty robisz usuwasz na własną rękę?
Nie…nic nie usuwam sam, klikłem Cure, a potem ComboFix działał w tle i sam usunął…wszystko niby powróciło do normy…podaje log…
– Dodane 14.02.2012 (Wt) 12:48 –
Przeglądarka działa normalnie, zostały tylko na pulpicie dwa pliki desktop.ini…
Nie widzę aby Combofix usunął Iplusa. Ponieważ muszę szybko wyjść na teraz, resztę podam później
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Teraz rozumie chyba przeinstalowałeś program. Można było użyć odpowiedniej komendy do Combofixa by wyciągnąc to z kwarantanny ale to już nieistotne.
Odinstalujemy Combofixa
Start - w pole Wyszukaj programy i pliki wpisz lub skopiuj
“c:\users\BHP2\Desktop\ComboFix.exe” /uninstall i Enter
Następnie wejdź do katalogu C:\Windows\System32\drivers i sprawdź czy nie ma kłudeczek na ikonkach jakiś sterowników
Wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak coś wykryje proszę nic nie usuwać tylko pokaż raport na forum. Jak nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189
Użyj polecenia sfc /verifyonly instrukcja http://www.fixitpc.pl/topic/1236-weryfi … edzie-sfc/ zaprezentuj raport na forum
Nie mogę odinstalować ComboFixa…instaluje się od nowa po wpisaniu tej komendy…
Cierpliwości początkowo proces właśnie przebiega tak jakby się instalował.
Rozumie, że Kasperski nic nie wykrył
To nie jest wszystko OTL pokazał zdefektowane usługi Musimy sprawdzić czy brakuje plików czy problem z rejestrem, na teraz
Start - w pole wyszukaj programy i pliki wpisujesz regedit z prawokliku Uruchom jako administrator Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Klikasz prawym przyciskiem myszy na Services wyeksportuj to do pliku reg spakuj, wrzuć na jakiś hosting i podaj linka tutaj
Przeleciałem ten plik i porównałem ze swoim. U mnie takie wpisy nie istnieją. Nie oznacza to że Twoje są złe, ale okazało się na maszynie Virtualnej, że najnowsza wersja tego rootkita tworzy sobie takie odpadki usług, więc dam to do usuwania, ale żeby zabezpieczyć się przed ewentualnymi problemami zrobimy to tak
Proszę utworzyć nowy punkt przywracania systemu http://windows.microsoft.com/pl-PL/wind … tore-point
Plik rejestru który mi podesłałeś będziesz miał jako kopię
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Jeśli chodzi o infekcje to sprawę mamy załatwioną. Jeśli Malwarebytes i antywirus nic nie wykrywają oraz jeśli wszystko działa poprawnie, to przejdziemy do kroków końcowych
Poniższe foldery proszę usunąć ręcznie przez Shift+Del
Uruchom OTL klikasz Sprzątanie to usunie OTL’a oraz folder C:_OTL kwarantanne OTL
Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
Dla bezpieczeństwa zmień wszystkie hasła logowania