Rootkit zeroaccess - trojany kryptik, agent.paz, injector


(Tomasz Salachna) #1

Witam proszę o pomoc, zainfekowało mi coś komputer poniżej logi:

extras.txt http://www.wklej.org/id/727416/

OTL.txt http://www.wklej.org/id/727418/

Z góry dzięki za pomoc


(lazikar) #2

badi82 , popraw tytuł tematu, używając przycisku edytuj, tak aby mówił konkretnie o problemie.


(Spandau) #3

badi82 , To coś to dwa rootkity, a jeden lepszy od drugiego.

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Następnie pobierz i użyj zgodnie z instrukcją Combofixa http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Uruchom program, jak wszystko pójdzie dobrze i narzędzie skończy skan powstanie raport, który pokażesz na forum


(Tomasz Salachna) #4

przedstawiam logi:

avenger - http://www.wklej.org/id/727818/

combofix log - http://www.wklej.org/id/727819/

oraz nie wiem czy potrzebny combofix.txt - http://www.wklej.org/id/727820/


(Spandau) #5

Zanim przejdziemy do kolejnych kroków proszę o nowy raport OTL Uruchom OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum


(Tomasz Salachna) #6

log otl - http://www.wklej.org/id/727826/


(Spandau) #7

Podmienimy plik tcpip.sys Proszę utworzyć na dysku C:\ katalog Plik Pobierz sobie plik tcpip.sys dla Twojego systemu i umieść w katalogu Plik http://sendfile.pl/153906/tcpip.sys

Odinstaluj Combofixa w prawidłowy sposób Start - Uruchom - wpisujesz lub skopiuj

“c:\documents and settings\Badi\Pulpit\ComboFix.exe” /uninstall i Enter

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Tomasz Salachna) #8

log po usunięciu - http://www.wklej.org/id/727899/

log po scanie - http://www.wklej.org/id/727901/


(Spandau) #9

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Log z usuwania na forum

Następnie uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną

Wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś wykryje nic nie usuwaj tylko pokaż raport na forum z wykrytych infekcji. Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Jak nic nie wykryje użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost#entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program


(Tomasz Salachna) #10

Results of screen317’s Security Check version 0.99.32

Windows XP Service Pack 3 x86

Internet Explorer 7 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 30

Java version out of date!

Adobe Flash Player 11.1.102.55

Mozilla Firefox (11.0.)

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

Dodane 09.04.2012 (Pn) 15:45

Dzięki serdeczne za pomoc.

Pozdrawiam


(Spandau) #11

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Do aktualizacji IE oraz Java. Nie ma znaczenia czy używasz tej przeglądarki, czy nie.

Ponieważ były tutaj rootkity, dla bezpieczeństwa zmień wszystkie hasła logowania. To wszystko.