Sirefef, GAC_32/64, zablokowany firewall i AV


(Olekst) #1

Jak w tytule. Jestem pozbawiony firewall'a i antywirusa przez sirefef'a.

Na razie wrzucam log OTL z dzisiejszej nocy. Więcej popołudniu jak wrócę.

http://wklejto.pl/125453

Pozdrawiam


(Spandau) #2

Proszę o raport Kasperski TDSSKiller [Instrukcja](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip


(Olekst) #3

Nic nie wykrył.

http://wklejto.pl/125455

Robiłem też dwa skany w nocy, w trybie awaryjnym i normalnym. Wtedy też nic nie wykryły.

Jedynie ESET online scanner usunął mi jakieś 4 pliki ale nie mam już raportu.

Może być tak, że już się pozbyłem tego rootkita ale pozostały jeszcze zniszczenia jakich narobił?


(Spandau) #4

Musisz napisać dokładnie co robiłeś bo będziemy się powtarzać :slight_smile:

Więc tak, wykonaj po kolei:

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie pobierz ponownie Combofixa (to konieczne) Wejdź w tryb awaryjny windows i ruchom program. Instrukcja http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Olekst) #5

log z usuwania http://www.wklejto.pl/125461

log po usuwaniu http://wklejto.pl/125459

ComboFix, tak samo jak przy poprzednich próbach, nie działa.

pobieram combofix.exe na pulpit,

uruchamiam system w trybie awaryjnym,

deamontools'a już wcześniej odinstalowałem

z firewall'em nic nie mogę zrobić (problem opisany tutaj http://tinyurl.com/5w4ctek)

klikam combofix.exe, zezwalam na uruchomienie, zrzekam się gwarancji,

widzę okno rozpakowującego się combofix'a, które po skończonej pracy znika i dalej nic się nie dzieje.

Obecnie svchost obciąża mi 75% procesora i co jakiś czas atakuje mnie BitMiner (zainstalowałem triala Malwarebytes'a)


(Spandau) #6

Dobrze sprawdzimy coś jeśli się nie uda będziemy usuwać z zewnątrz

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Dodatkowo proszę o raport Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje) oraz FRST64 instrukcja [http://www.fixitpc.pl/topic/4414-diagno ... __p__32551](http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/page view findpost p 32551)


(Olekst) #7

OTL usuwanie - http://wklejto.pl/125506

OTL skan - http://wklejto.pl/125507

FSS skan - http://wklejto.pl/125509

FTRS64 skan - http://wklejto.pl/125510


(Spandau) #8

Zobaczymy.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum.

Następnie Start - W pole Wyszukaj programy i pliki wpisz cmd z prawokliku Uruchom jako administrator - w linii komend wpisz

netsh winsock reset i Enter po tym zrestartuj system.

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Poszkodowane usługi naprawimy jak będę przekonany że w systemie nie ma infekcji.


(Olekst) #9

Usuwaniehttp://wklejto.pl/125557

Skanhttp://wklejto.pl/125560

Co jakiś czas svchost wpada w wysokie obroty (75%) i regularnie po starcie windows'a atakuje bitminer.


(Spandau) #10

Czy ten punkt został wykonany?

Wykonaj pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje nic nie usuwaj tylko pokaż raport z wykrytych infekcji. Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189


(Olekst) #11

Wykonany, z tym że :

Natomiast KVRT znalazł dwa pliki GAC_32 i rozpoznał jako backdoor ZEROACCES - http://wklejto.pl/125588

To było skanowanie automatyczne więc chyba tylko:

-System memory

-Hidden startup objects

-Disk boot sectors

Mimo to przeskanować wszystko?


(Spandau) #12

Tak, a ten plik C:\Windows\assembly\GAC_32\ Desktop.ini możesz usunąć. Następnie pobierz ponownie Combofixa wejdź w tryb awaryjny windows i spróbuj uruchomić.


(Olekst) #13

ComboFix zachowuję się tak samo jak poprzednio.

Uruchamiam teraz skan KVRT, trochę to potrwa.


(Spandau) #14

Proszę użyć rmzeroaccess.exe http://free.avg.com/us-en/remove-win32zeroacces Zapisz raport i pokaż na forum

Następnie uruchom OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum


(Olekst) #15

KVRT po pełnym skanie znalazł http://wklejto.pl/125695, wszystkie "skipped". Całego loga nie wklejam (półtora miliona wierszy).

Virus Remover http://wklejto.pl/125696

I skan OTL http://wklejto.pl/125697


(Spandau) #16

Usuń plik c:\Windows\assembly\GAC_32\ Desktop.ini oraz Katalog C:_OTL, opróżnij kosz.

Pobierz systemlook64 http://images.malwareremoval.com/jpshor ... ok_x64.exe Wklej do niego

Klikasz Look pokaż raport na forum


(Olekst) #17

SystemLook http://wklejto.pl/125738


(Spandau) #18

Start - W pole Wyszukaj programy i pliki wpisz regedit z prawokliku Uruchom jako adminiostrator. Idziesz do kucza

klikasz prawym przyciskiem myszy na WinSock2 i wyeksportuj to do pliku To będzie kopia dla Ciebie gdyby coś poszło nie tak. Następnie pobierz fix dla Ciebie http://traxter-online.net/naprawa-winso ... rnetowego/ dla Windows7 winsock2.reg klikasz na plik prawym przyciskiem myszy i z menu wybierasz Scal Jeśli operacja przebiegnie pomyślnie restartujesz komputer, uruchomisz OTL klikasz Skanuj pokaż nowy raport na forum


(Olekst) #19

OTL - http://wklejto.pl/125789


(Spandau) #20

Wykonaj pełny skan Dr.WEB CureIt! usuń co znajdzie oraz napisz co wykrył.

Wykonaj weryfikacje integralności plików systemowych instrukcja http://www.fixitpc.pl/topic/1236-weryfi ... edzie-sfc/ przefiltruj raport i pokaż na forum

Następnie ponownie zresetuj winsock Start - W pole Wyszukaj programy i pliki wpisz cmd z prawokliku Uruchom jako administrator - w linii komend wpisz netsh winsock reset i Enter po tym zrestartuj system.

Następnie napraw poszkodowane usługi. Na początek do wykonania http://www.fixitpc.pl/topic/6855-rekons ... u-windows/

Pozostaje usługa WindowsDefendera

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg Klikasz prawym przyciskiem myszy na ten plik i z menu wybierasz opcje Scal

Po tym pokaż nowy raport OTL.txt na forum