Rootkit.Zeroaccess i Sirefef


(Chordowa Poczta) #1

Zeroaccess wykrył Malwarebytes i poddaje je kwarantannie, by usunąć przy restarcie, ale tego naturalnie nie robi.

Podobnie z sirefef-em, tyle, że wykrywa go NOD.

Widocznym efektem infekcji jest przekierowanie w wyszukiwarkach.

OTL

http://www.wklejto.pl/118640

http://www.wklejto.pl/118641


(Spandau) #2

Nie mogłeś uruchomić Combofixa? Zobacz w instrukcji jak przygotować system pod skan Combofixem. Wyłącz oprogramowanie ochronne usuń sterownik od napędów wirtualnych sptd.sys pobierz ponownie program i spróbuj uruchomić.

Rzeczywiście rootkit zeroaccess Proszę pobrać i uruchomić dwuklikiem Combofixa (przygotuj system pod skan Combofixem zgodnie z instrukcją http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport który pokażesz na forum

Jeśli nadal będzie problem pisz.


(Chordowa Poczta) #3

Combofix zakończył pracę, ale zawiesił się na "przygotowywaniu wyniku skanowania". Zostawiłem go w spokoju na kilka godzin, ale nic się nie zmieniło. Pozostał tylko restart. W wyniku tego nie mam loga do wrzucenia (a przynajmniej nie znalazłem go tam, gdzie winien się pojawić), co prawda problem wydaje się być rozwiązany i nie występują przekierowania.

Czy mam jeszcze raz uruchomić Combofix czy też przeprowadzić jakiś inny skan?


(Spandau) #4

Nie uruchamiaj Combofixa ponownie. Jeśli zawiesił się na tworzeniu wyniku skanowania (raport) to znaczy że usuwanie już nastąpiło dlatego proszę uruchomić OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum


(Chordowa Poczta) #5

http://www.wklejto.pl/118793

http://www.wklejto.pl/118794


(Spandau) #6

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Chordowa Poczta) #7

Ile czasu powinno zająć wykonanie skryptu? Bo od 20 min jest na etapie "Killing processes. DO NOT INTERRUPT".


(Spandau) #8

Tyle na pewno nie. Wejdź w tryb awaryjny windows i wykonaj ten skrypt log z usuwania na forum. Następnie uruchom normalnie system, uruchom OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum


(Chordowa Poczta) #9

Gotowe.

Log po odpaleniu skryptu:

http://www.wklejto.pl/118826

I skan OTL

http://www.wklejto.pl/118827

http://www.wklejto.pl/118828


(Spandau) #10

Start - Uruchom - wpisz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost znajdź netsvcs z prawokliku wybierasz Exportuj - zapisz do pliku reg wyślij na jakiś hosting a w poście podaj linka

Następnie uruchom OTL klikasz Sprzątanie

Następnie wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport z wykrytych zagrożeń. Jak nic nie znajdzie odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189


(Chordowa Poczta) #11

Kspersky scan

http://www.wklejto.pl/118857

Wykryte zagrożenia.

A tu klucz:


(Spandau) #12

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Na dysku C:\ proszę utworzyć katalog Plik Pobierz plik acpi.sys dla Twojego systemu http://sendfile.pl/141912/acpi.sys umieść go w katalogu Plik czyli C:\Plik\acpi.sys

Pobierz ponownie OTL, uruchom. W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL W okno Własne opcje skanowania / skrypt w OTL wklej:

tym razem klikasz Skanuj i dajesz nowy log OTL na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Chordowa Poczta) #13

Gotowe, chociaż skrypt w OTLu musiałem znów wykonać w trybie awaryjnym.

Log z usuwania:

:http://www.wklejto.pl/118875

I skan:

http://www.wklejto.pl/118876

http://www.wklejto.pl/118877

A co tak właściwie właśnie zrobiłem?


(Spandau) #14

To może wynikać z obecności oprogramowania zabezpieczającego Eset itp W trybie awaryjnym antywirus i ochrona nie działa.

Podmienialiśmy zainfekowany plik. Plik podmieniony prawidłowo Usuń folder Plik z dysku oraz plik fix.reg

Wykonaj pełny skan Malwarebytes Jak program coś wykryje pokaż raport na forum

Pokaż raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr ... 13208.html Po zakończony skanie zapisz raport spakuj plik i wrzuć na jakiś hosting. Link do niego podajesz tutaj

Na koniec użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Dla bezpieczeństwa zmień wszystkie hasła logowania


(Chordowa Poczta) #15

Malwarebytes:

I autoruns.

http://sendfile.pl/142152/AutoRuns.rar

I jeszcze SecurityCheck

Results of screen317's Security Check version 0.99.31

Windows XP Service Pack 3 x86

Internet Explorer 8

Antivirus/Firewall Check:

ESET NOD32 Antivirus

a-squared HiJackFree 3.1

Antivirus up to date!

`

Anti-malware/Other Utilities Check:

Spybot - Search & Destroy

CCleaner

Java 6 Update 22

Java version out of date!

Adobe Flash Player 10.3.181.26 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of date!

Mozilla Firefox (3.6.27) Firefox out of Date!

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Malwarebytes' Anti-Malware mbamgui.exe

End of Log

Czy powinienem updateować Mozillę, Adoba i resztę? Czy też nie ma to specjalnego znaczenia (dla bezpieczeństwa powiedzmy)?


(Spandau) #16

To co znalazł Malwarebytes to wyłączone powiadomienia centrum zabezpieczeń. Nie wiem czy sam to zrobiłeś jeśli nie usuń to co znalazł program.

Uruchom Autoruns idziesz do zakładki Logon znajdź i odhacz (nie usuwaj)

Idziesz do zakładki Drivers znajdź i odhacz

Powinieneś uaktualnić Javę, Flash Player, Adobe Player, Firefox. Oczywiście że ma to wpływ na bezpieczeństwo Twojego komputera

Dla pewności proszę zmienić wszystkie hasła logowania


(Chordowa Poczta) #17

W porządku wszystko posprzątane i zaktualizowane. Dziękuję za pomoc.