Platinium

[OAKSOS]

Witam wszystkich!

Jestem tu nowy.
Nie mogę otworzyć netu. Po mprostu Platinium
Wzałączeniu 2 logi zgodnie z instrukcją

[Lukasz_root]

Logi wrzuć na wklej.org lub wklejto.pl z notatnika CTRL+C > +V i daj tutaj po prostu link, a nie przysyłasz spakowane w archiwum.
Tak będzie łatwiej w analizie.

[Waves]

Wydaje mi się, że mamy tutaj rootkita. Infekcja najwidoczniej go dołącza

[tachion]

Wygląda na ZeroAccess wariant CLSID wklej ten skrypt i zobaczymy co dalej,dodatkowo przeskanuj hitmanem+mabam

Kod:

:Processes
Killallprocesses

:OTL
[2012-06-14 05:13:15 | 000,000,000 | ---D | C] -- C:\119e1bac4423e7e6d3fc
[2012-05-23 15:15:17 | 000,000,000 | ---D | C] -- C:\bc37585fd10c6c370a437f4ef6
[2012-05-22 15:44:28 | 000,000,000 | ---D | C] -- C:\0f9ed5fbfbc5f1b9090b358f29ee9c9
[2012-02-23 17:19:01 | 000,000,000 | ---D | C] -- C:\8b48c295634d69ef7cd7cba4
[2011-03-26 14:08:16 | 000,053,248 | ---- | C] (VM) -- C:\WINDOWS\Sti305.exe
[2004-08-03 23:43:48 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\@
[2004-08-03 23:43:48 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\MATI\Ustawienia lokalne\Dane aplikacji\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\@
[2004-01-01 00:21:11 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\80000000.@
[2004-01-01 00:21:10 | 000,020,480 | ---- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\800000cb.@
[2003-12-31 23:22:32 | 000,001,712 | ---- | C] () -- C:\WINDOWS\Installer\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\00000001.@
[2003-12-31 23:04:03 | 000,020,480 | ---- | C] () -- C:\Documents and Settings\MATI\Ustawienia lokalne\Dane aplikacji\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\800000cb.@
[2003-12-31 23:04:03 | 000,013,312 | ---- | C] () -- C:\Documents and Settings\MATI\Ustawienia lokalne\Dane aplikacji\{f2bf1c67-b9e5-4bc9-6c12-b807a7cf4a1e}\U\80000000.@
[2003-12-31 23:08:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\6F638BBA00088BAB0000DD8581CB3EF3

:Commands
[EMPTYFLASH]
[EMPTYJAVA]
[EMPTYTEMP]

[Waves]

@tachion

Coś mi mówi że jest podmieniony sterownik od sieci przez malware i dlatego nie ma internetu. Mogę się mylić.

[OAKSOS]

Sporo jak na pierwszy raz, dlatego zapytam gdzie dokładnie mam wkleić ten skrypt i jak przeskanować hitmanem+mabam

[Waves]

Co do skrytpu to w programie OTL w miejsu własne pole skanowania/skrypt. Potem przycisk wykonaj skrypt.
Przeskanowanie hitmanem i mbam to :
1) Pobierz Hitman Pro -

[Aby zobaczyć linki, zarejestruj się tutaj]

- adekwatnie do swojej wersji. Przeskanuj.
2) Pobierz MBAM -

[Aby zobaczyć linki, zarejestruj się tutaj]

[OAKSOS]

ok dzięki spróbuję

[tachion]

Dodatkowo można wypróbować ten programik

[Aby zobaczyć linki, zarejestruj się tutaj]

Bądź też ściągnąć CCE od comodo i w programie KillSwitch wybrać opcje Quick Repair<!-- s--> <!-- s-->

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[OAKSOS]

[Aby zobaczyć linki, zarejestruj się tutaj]

To otrzymałem po przeskanowaniu Mbam

[tachion]

Czy wykonywałeś ten skrypt co podałem?
Jeśli tak to trzeba będzie jeszcze zastąpić tą bibliotekę wbemess.dll oryginalną
I dodatkowo jeszcze wejdź w panel sterowania/opcje internetowe/połączenia/ustawienia sieci lan/serwer proxy i odhaczjesli jest jakiś dodany serwer dodatkowy

[OAKSOS]

[Aby zobaczyć linki, zarejestruj się tutaj]

, a to skrypt
serwer proxy zaznaczyłem, ale zastąpienie biblioteką oryginalną to już nie wiem jak..

[tachion]

Do katalogu windows\wbem i uruchom ponownie a serwer proxy miał być odhaczony a nie za fajkowany<!-- s--> <!-- s-->
Czy po tych procedurach już jest wszystko w porządku,jest połączenie z siecią ?
A jeśli jest już wszystko ok to dodatkowo wyłącz przywracanie systemu we właściwościach systemu

[Chakra]

Wydaje mi się, że mamy tutaj rootkita. Infekcja najwidoczniej go dołącza

Nie. W tym przypadku Platinium i ZeroAccess zostały złapane osobno.

@Autor

Wejdź w Start -> Uruchom -> cmdi wklep sfc /scannnow . Napisz, czy coś znalazło. (w systemie Vista/7 musisz użyć polecenia Uruchom jako administrator)

[OAKSOS]

Do katalogu windows\wbem i uruchom ponownie a serwer proxy miał być odhaczony a nie za fajkowany<!-- s--> <!-- s-->
Czy po tych procedurach już jest wszystko w porządku,jest połączenie z siecią ?
A jeśli jest już wszystko ok to dodatkowo wyłącz przywracanie systemu we właściwościach systemu

właściwie OK )
tylko nie mogę wejść już z normalnego systemu/nie awaryjnego/ na swoje konto tutaj
no i jeszcze gdzie dokładnie znaleźć "właściwości systemu"

[tachion]

Panel sterowania/system i zakładka przywracanie systemu

Można jeszcze zrobić to tak

Kliknij przycisk Start, a następnie kliknij polecenie Mój komputer.
Kliknij prawym przyciskiem myszy dysk, na którym chcesz zwolnić miejsce, a następnie kliknij polecenie Właściwości.
Kliknij kartę Ogólne, a następnie kliknij przycisk Oczyszczanie dysku.
Kliknij kartę Więcej opcji, a następnie w obszarze Przywracanie systemu kliknij przycisk Oczyść.
Kliknij przycisk Tak, aby usunąć wszystkie (z wyjątkiem najnowszych) punkty przywracania.
Kliknij przycisk OK, kliknij przycisk Tak, aby kontynuować operację, a następnie kliknij przycisk OK.