07.08.2012, 16:22
07.08.2012, 16:57
Logi wrzuć na wklej.org lub wklejto.pl z notatnika CTRL+C > +V i daj tutaj po prostu link, a nie przysyłasz spakowane w archiwum.
Tak będzie łatwiej w analizie.
Tak będzie łatwiej w analizie.
07.08.2012, 17:19
Wydaje mi się, że mamy tutaj rootkita. Infekcja najwidoczniej go dołącza
07.08.2012, 19:53
Wygląda na ZeroAccess wariant CLSID wklej ten skrypt i zobaczymy co dalej,dodatkowo przeskanuj hitmanem+mabam
Kod:
:Processes
Killallprocesses
:OTL
[2012-06-14 05:13:15 | 000,000,000 | ---D | C] -- C:\119e1bac4423e7e6d3fc
[2012-05-23 15:15:17 | 000,000,000 | ---D | C] -- C:\bc37585fd10c6c370a437f4ef6
[2012-05-22 15:44:28 | 000,000,000 | ---D | C] -- C:\0f9ed5fbfbc5f1b9090b358f29ee9c9
[2012-02-23 17:19:01 | 000,000,000 | ---D | C] -- C:\8b48c295634d69ef7cd7cba4
[2011-03-26 14:08:16 | 000,053,248 | ---- | C] (VM) -- C:\WINDOWS\Sti305.exe
[2004-08-03 23:43:48 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\@
[2004-08-03 23:43:48 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\MATI\Ustawienia lokalne\Dane aplikacji\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\@
[2004-01-01 00:21:11 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\80000000.@
[2004-01-01 00:21:10 | 000,020,480 | ---- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\800000cb.@
[2003-12-31 23:22:32 | 000,001,712 | ---- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\00000001.@
[2003-12-31 23:04:03 | 000,020,480 | ---- | C] () -- C:\Documents and Settings\MATI\Ustawienia lokalne\Dane aplikacji\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\800000cb.@
[2003-12-31 23:04:03 | 000,013,312 | ---- | C] () -- C:\Documents and Settings\MATI\Ustawienia lokalne\Dane aplikacji\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\80000000.@
[2003-12-31 23:08:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\6F638BBA00088BAB0000DD8581CB3EF3
:Commands
[EMPTYFLASH]
[EMPTYJAVA]
[EMPTYTEMP]
07.08.2012, 20:35
Coś mi mówi że jest podmieniony sterownik od sieci przez malware i dlatego nie ma internetu. Mogę się mylić.
07.08.2012, 20:44
Sporo jak na pierwszy raz, dlatego zapytam gdzie dokładnie mam wkleić ten skrypt i jak przeskanować hitmanem+mabam
07.08.2012, 20:47
Co do skrytpu to w programie OTL w miejsu własne pole skanowania/skrypt. Potem przycisk wykonaj skrypt.
Przeskanowanie hitmanem i mbam to :
1) Pobierz Hitman Pro -
2) Pobierz MBAM -
Przeskanowanie hitmanem i mbam to :
1) Pobierz Hitman Pro -
[Aby zobaczyć linki, zarejestruj się tutaj]
- adekwatnie do swojej wersji. Przeskanuj.2) Pobierz MBAM -
[Aby zobaczyć linki, zarejestruj się tutaj]
07.08.2012, 20:56
ok dzięki spróbuję
07.08.2012, 21:19
08.08.2012, 17:40
[Aby zobaczyć linki, zarejestruj się tutaj]
To otrzymałem po przeskanowaniu Mbam08.08.2012, 18:23
Czy wykonywałeś ten skrypt co podałem?
Jeśli tak to trzeba będzie jeszcze zastąpić tą bibliotekę wbemess.dll oryginalną
I dodatkowo jeszcze wejdź w panel sterowania/opcje internetowe/połączenia/ustawienia sieci lan/serwer proxy i odhaczjesli jest jakiś dodany serwer dodatkowy
Jeśli tak to trzeba będzie jeszcze zastąpić tą bibliotekę wbemess.dll oryginalną
I dodatkowo jeszcze wejdź w panel sterowania/opcje internetowe/połączenia/ustawienia sieci lan/serwer proxy i odhaczjesli jest jakiś dodany serwer dodatkowy
08.08.2012, 19:05
[Aby zobaczyć linki, zarejestruj się tutaj]
, a to skryptserwer proxy zaznaczyłem, ale zastąpienie biblioteką oryginalną to już nie wiem jak..
08.08.2012, 19:39
Do katalogu windows\wbem i uruchom ponownie a serwer proxy miał być odhaczony a nie za fajkowany<!-- s--> <!-- s-->
Czy po tych procedurach już jest wszystko w porządku,jest połączenie z siecią ?
A jeśli jest już wszystko ok to dodatkowo wyłącz przywracanie systemu we właściwościach systemu
Czy po tych procedurach już jest wszystko w porządku,jest połączenie z siecią ?
A jeśli jest już wszystko ok to dodatkowo wyłącz przywracanie systemu we właściwościach systemu
08.08.2012, 19:54
Waves97 napisał(a):Wydaje mi się, że mamy tutaj rootkita. Infekcja najwidoczniej go dołącza
Nie. W tym przypadku Platinium i ZeroAccess zostały złapane osobno.
Wejdź w Start -> Uruchom -> cmdi wklep sfc /scannnow . Napisz, czy coś znalazło. (w systemie Vista/7 musisz użyć polecenia Uruchom jako administrator)
08.08.2012, 21:17
tachion napisał(a):Do katalogu windows\wbem i uruchom ponownie a serwer proxy miał być odhaczony a nie za fajkowany<!-- s--> <!-- s-->
Czy po tych procedurach już jest wszystko w porządku,jest połączenie z siecią ?
A jeśli jest już wszystko ok to dodatkowo wyłącz przywracanie systemu we właściwościach systemu
właściwie OK )
tylko nie mogę wejść już z normalnego systemu/nie awaryjnego/ na swoje konto tutaj
no i jeszcze gdzie dokładnie znaleźć "właściwości systemu"
08.08.2012, 22:38
Panel sterowania/system i zakładka przywracanie systemu
Można jeszcze zrobić to tak
Kliknij przycisk Start, a następnie kliknij polecenie Mój komputer.
Kliknij prawym przyciskiem myszy dysk, na którym chcesz zwolnić miejsce, a następnie kliknij polecenie Właściwości.
Kliknij kartę Ogólne, a następnie kliknij przycisk Oczyszczanie dysku.
Kliknij kartę Więcej opcji, a następnie w obszarze Przywracanie systemu kliknij przycisk Oczyść.
Kliknij przycisk Tak, aby usunąć wszystkie (z wyjątkiem najnowszych) punkty przywracania.
Kliknij przycisk OK, kliknij przycisk Tak, aby kontynuować operację, a następnie kliknij przycisk OK.
Można jeszcze zrobić to tak
Kliknij przycisk Start, a następnie kliknij polecenie Mój komputer.
Kliknij prawym przyciskiem myszy dysk, na którym chcesz zwolnić miejsce, a następnie kliknij polecenie Właściwości.
Kliknij kartę Ogólne, a następnie kliknij przycisk Oczyszczanie dysku.
Kliknij kartę Więcej opcji, a następnie w obszarze Przywracanie systemu kliknij przycisk Oczyść.
Kliknij przycisk Tak, aby usunąć wszystkie (z wyjątkiem najnowszych) punkty przywracania.
Kliknij przycisk OK, kliknij przycisk Tak, aby kontynuować operację, a następnie kliknij przycisk OK.