ZeroAccess Toolkit


(Preki Siedlce) #1

Witam.

Niedawno na moim komputerze zalągł się ten okropny toolkit. Jego objawy to notoryczne zabijanie procesów antywirusów + czynienie ich .exe zupełnie niezdatnymi do użytku. Oprogramowanie typu ComboFix, GMER, także jest niszczone w trakcie działania, co dodatkowo zostawia za sobą niepożądane śmieci w postaci plików tymczasowych tychże programów. Drugim symptomem jest notoryczne przekierowywanie linków w wyszukiwarce Google. W katalogu głównym Windows znajduje się plik o nazwie: "191879450", a w menedżerze zadań widnieje "191879450:3844509940.exe". Procesu nie da się zatrzymać, czy to menedżerem, czy programami typu KillBox (o MBAM nie wspominając, gdyż ten jest ubity po chwili przez rootkita).

Całe szczęście OTL, MBRCheck oraz TDSSKiller "przeżyły" ten pogrom, więc poniżej znajdują się linki do logów:

http://wklej.org/id/593708/ - MBRCheck

http://wklej.org/id/593709/ - OTL

http://wklej.org/id/593712/ - TDSSKiller


(jessica) #2

Daj log z Webroot AntiZeroAccess

Być może TDSSKiller usunął już go, ale naprawa Systemu to już inna sprawa. Najlepszym rozwiązaniem jest udanie się po pomoc do @Picasso na forum >http://www.fixitpc.pl/

Log OTL potwierdza istnienie tego Rootkita: strumień ADS, orazfałszywy, ukryty plik "mswsock.dll".

.


(Preki Siedlce) #3

Użyłem wskazanego programu dwukrotnie, z restartowaniem systemu. Bez skutku.


(jessica) #4

Tak więc udaj się na wskazane przeze mnie forum.

Czasem trzeba tam długo czekać na odpowiedź, ale warto czekać.

.


(Szadout) #5

niestety nawet wyspecjalizowane narzędzia do walki z ZeroAccess sobie nie radzą - osobiście polecam zastosowanie bootowalnej płyty z av - w moim przypadku pomogła Avira AntiVir Rescue System, możesz też sprawdzić Kaspersky Rescue Disk ale gdy usuwałem tego rootkita nie miał on wtedy jeszcze tego szkodnika w swoich bazach - po zastosowaniu płytki od Aviry mogłem już spokojnie uruchamiać inne programy typu MBAM, Emsisoft Emergency Kit i usunąć z systemu pozostałości po infekcji