Rootkit zeroaccess


(Chavez) #1

Witam,

Bardzo bym prosił o sprawdzenie moich logów bo po każdym włączeniu i uruchomieniu Windowsa, mój antywirus (AVG) wyświetla mi komunikat:

Wykryto Zagrożenie!

Nazwa pliku: c:\Windows\System32\services.exe

Zagrożenie- nazwa: Zidentyfikowany wirus Win64/Patched.A

Szczegóły:

Nazwa procesu: C:\Windows\explorer.exe

ID procesu: 1772

Niestety antywirus tego nie chce naprawić bo wyświetla komunikat, że obiekt znajduje się na białej liście (plik krytyczny / systemowy, którego nie należy usuwać)

A tutaj logi z programu OTS:

http://wklej.to/FCRMD

http://wklej.to/XCXyX

Był bym bardzo wdzięczny za pomoc.

Pozdrawiam,

Michał


(Atis) #2

Wyłącz program antywirusowy.

  1. Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\services.exe

Zrestartuj komputer.

  1. Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

  1. Pobierz i uruchom SystemLook_x64

Do okna programu wklej:

Kliknij Look i pokaż raport.

  1. Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.


(Chavez) #3

Witam,

I z góry dziękuję za zainteresowanie tematem :slight_smile:

Zrobiłem jak napisałeś i już po wpisaniu komendy sfc /scanfile=C:\Windows\system32\services.exe do wiersza poleceń i restarcie komputera problem zniknął :slight_smile:

Tutaj raporty z OTL:

http://wklej.to/rO6Br

http://wklej.to/NiEn3

Za chwilę zrobię resztę i doślę.

-- Dodane 12.09.2012 (Śr) 9:58 --

SystemLook

http://wklej.to/NMuO1

-- Dodane 12.09.2012 (Śr) 10:03 --

Farbar

http://wklej.to/yEwzL

Jeszcze tylko chciałem zaznaczyć, że w programie OTL, gdy wkleiłem tamten skrypt to po kliknięciu Wykonaj skrypt nie było żadnego zatwierdzania restart.

Nie wiem czy to ma jakieś znaczenie czy nie ale piszę bo może coś nie tak zrobiłem.

Pozdrawiam i czekam na dalsze wieści :slight_smile:

-- Dodane 12.09.2012 (Śr) 10:07 --

Po restarcie komputera pojawił mi się jeszcze jeden log z OTL więc wrzucam

http://wklej.to/9od50


(Atis) #4

Czytaj uważnie odpowiedzi.

Masz wkleić i kliknąć Wykonaj skrypt , a Ty użyłeś opcji Skanuj.

  1. Uruchom cmd.exe jako administrator.

Wklej i zatwierdź enterem: netsh winsock reset

  1. Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Chavez) #5

Racja, przepraszam :stuck_out_tongue: To dlatego, że mam po angielsku OTL'a i nie mogłem znaleźć opcji "Wykonaj skrypt".

Raport z usuwania:

http://wklej.to/a8ln3

za moment dorzucę nowy log Skanuj :slight_smile:

-- Dodane 12.09.2012 (Śr) 16:18 --

Proszę bardzo :slight_smile:

http://wklej.to/ubudC

http://wklej.to/bmB9I


(Atis) #6

Napraw usługi uszkodzone przez ZeroAccess (Sirefef)

Rekonstrukcja Zapory systemu Windows

Rekonstrukcja Centrum zabezpieczeń systemu Windows

Windows defender i aktualizacje.

Pobierz i rozpakuj archiwum:

http://sendfile.pl/191604/plik.zip

Kliknij prawym na pliku FIX i wybierz Scal.

Uruchom OTL i kliknij CleanUp.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji odznacz Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(Chavez) #7

Rekonstrukcja Centrum zabezpieczeń systemu już zrobiona.. Nie bardzo wiem co mam zrobić z Rekonstrukcją Zapory systemu Windows? Naprawić usługi uszkodzone przez ZeroAccess, tzn które? Przepraszam za głupie pytanie ale jestem laikiem jeśli chodzi o takie rzeczy.. Mam wykonać wszystkie czynności, które kolega picasso opisał w owym wątku?


(Atis) #8

Zapora, centrum zabezpieczeń, Windows Defender i aktualizacje, to są właśnie systemowe usługi które masz naprawić.

Żeby naprawić zaporę masz wykonać:

  1. Rekonstrukcja kluczy usług.

  2. Ręczna rekonstrukcja uprawnień.


(Chavez) #9

Ok, wszystko zrobione.

W security check wyskoczył taki komunikat:

Natomiast Malwarebytes- Anti Malware coś tam znalazło... co mam z tym zrobić usunąć wszystko??

tutaj log http://wklej.to/gi4bT

-- Dodane 12.09.2012 (Śr) 18:24 --

Dodam tylko, że Vshare to dodatek (wtyczka), którą musiałem pobrać by móc oglądać jakieś transmisje, np meczów przez internet na różnych stronkach, na których są playery. Bez vShare nie mogłem oglądać transmisji.

-- Dodane 12.09.2012 (Śr) 18:27 --

Firefox'a już zaktualizowałem.. Reszta chyba jest aktualna :slight_smile:


(Atis) #10

W takim razie nic więcej nie musisz robić.


(Chavez) #11

Ok :slight_smile:

Dziękuję Ci bardzo za pomoc :slight_smile:

I podziwiam Cię.. bo masz wiedzę :slight_smile: Dla mnie te logi to tylko nic nie znaczące wpisy :stuck_out_tongue:

Pozdrawiam i jeszcze raz wielkie dzięki :slight_smile: