Rootkit.ZeroAccess C:\$recycle.bin

Dla specjalistów Bezpieczeństwo
#1

Log z Rouge Killer i znalezione pliki infekcyjne oraz MBR

FSS:

Farbar Service Scanner Version: 07-11-2012

Ran by Robert (administrator) on 09-11-2012 at 02:39:03

Running from "D:\Rozne\Antyrootkit"

Microsoft Windows 7 Home Premium Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************


Internet Services:

============


Connection Status:

==============

Localhost is accessible.

LAN connected.

Attempt to access Google IP returned error. Google IP is offline

Attempt to access Google.com returned error: Google.com is offline

Attempt to access Yahoo IP returned error. Yahoo IP is offline

Attempt to access Yahoo.com returned error: Yahoo.com is offline


Windows Firewall:

=============

Firewall Disabled Policy: 

==================


System Restore:

============

System Restore Disabled Policy: 

========================


Action Center:

============

Windows Update:

============

Windows Autoupdate Disabled Policy: 

============================


Windows Defender:

==============

WinDefend Service is not running. Checking service configuration:

The start type of WinDefend service is set to Demand. The default start type is Auto.

The ImagePath of WinDefend service is OK.

The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy: 

==========================

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]

"DisableAntiSpyware"=DWORD:1


Other Services:

==============

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\System32\ipnathlp.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit

****End of log***

OTL 1: http://www.wklejto.pl/137831

OTL2: http://www.wklejto.pl/137832

HJT: http://www.wklejto.pl/137833

#2

Masaj , Zobacz sobie jak wkleiłeś raport OTL2: http://www.wklejto.pl/137832 połowa ucięta. Lepiej wkleić na www.wklej.org

Wszystko ustawione na All. Instrukcje jak wykonać raporty OTL znajdziesz tutaj analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

#3

Sorry, już poprawiam,

RogueKiller

http://www.wklej.org/id/866486/

http://www.wklej.org/id/866487/

ADW Cleaner:

http://www.wklej.org/id/866493/

http://www.wklej.org/id/866497/

TDSS Killer:

http://www.wklej.org/id/866499/

OTL:

http://www.wklej.org/id/866514/

http://www.wklej.org/id/866508/

#4

Masaj , Please. Ja nie po to podaje Ci instrukcje abyś używał starego OTL’a i do tego źle ustawionego, dlatego brak sekcji zeroaccess check

Usuń starego OTL’a z dysku.

Pobierz nowego OTL’a http://oldtimer.geekstogo.com/OTL.exe ustaw jak w instrukcji na obrazku (link podałem w poście powyżej) wykonaj skan i pokaż nowe raporty.

#5

Nie wiedziałem, że to stary, ok

OTL1:http://www.wklejto.pl/137922

OTL2:http://www.wklejto.pl/137924 *

Jak pozostałe logi, sprawdzałeś co w nich jest, może jakieś konkretne szczegóły dot.infekcji ???

*)wklej org przestało działać

#6

Jeśli wykrywany jest plik w lokalizacji którą podałeś w tytule to jest to nowsza odmiana tego rootkita. Zanim przejdę do usuwania pokaż proszę jeszcze raport z Systemlook

Pobierz SystemLook64 (SystemLook64) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum

#7

LOG: http://www.wklej.org/id/868276/

#8

Dobrze na początek spróbujemy tak:

Pobierz plik Fix.bat http://sendfile.pl/231341/Fix.bat Klikasz prawym przyciskiem myszy na plik z menu wybierasz Uruchom jako administrator, po tym restart komputera.

Wklej do systemlook64

Klikasz Look pokaż log na forum

#9
#10

Czy antywirus nadal wykrywa infekcje?

#11

Nie nie wykrywa,zarówno Emsisoft Anti-Malware, Gmer, AWC Cleaner jak i Microsoft Security Essential nie widzą niczego co stanowiłoby jakieś wg nich zagrożenie.

Może jakiś inny program, narzędzie, czy inne ustrojstwo może by coś znalazło.

Jak tam log wyżej.

#12

Logi są w porządku, dlatego pytałem czy jakiś skaner coś wykrywa.