Проблем с Rootkit.0Access и троянци [РЕШЕН]

[Nikka]

Здравейте. Проблемът касае лаптоп на мой приятел, който ме помоли да му пусна някаква проверка с антивирусни и в момента машинката е в мен. Преди известно време му е изкарал син екран, след което той го е върнал към Last Know Good Configuration за да тръгне въобще.

 

При вчерашния ми скан с мамбо изкара и почисти 7 проблема, единият от които е Rootkit.0Access, както няколко троянеца. Есет извади други атаки, а TDSS - 5 смущения, едно от които можеше да се излекува, а другите ги skip-.нах. При теглене на OTL не позволи да дръпна програмата от сайта, затова я прехвърлих от моя компютър, няма проблем да бъде стартирана. Доколкото виждам, машината има проблем и с ъпдейтите на уина ( 7 Home Edition). Особено ме притеснява руткит зеро acc атаката. Можете ли да ми помогнете да почистим гадините?

mbam-log-2012-09-25 (15-59-13)_after_cleaning.txt

TDDS-log.txt

nod32log.txt

[B-boy/StyLe/]

Здравейте,

 

Изтеглете OTL.exe и го запазете на десктопа.

• Стартирайте OTL (ако е необходимо, потвърдете през UAC).
  
• Направете следните настройки:
  
• Сложете отметка пред Scan All Users http://img408.imageshack.us/img408/1442/46625204.png
  
• Под менюто File Age изберете 90 days
  
• Под менюто Standard Registry променете на ALL
  
• Сложете отметки пред LOP и Purity Check
  

Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\temp\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Local\*.
%USERPROFILE%\AppData\Local\temp\*.exe
%USERPROFILE%\AppData\Roaming\*.*
%USERPROFILE%\AppData\Roaming\*.
%Public%\Documents\Softwrap\YOYOGAMESGM70FINAL\*.exe
%Public%\Documents\Fonts\*.exe
%Public%\Documents\Config\*.exe
%Public%\Documents\*.*
%ProgramData%\*.*
%ProgramData%\*.
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%ProgramFiles(x86)%\*.*
%ProgramFiles(x86)%\*.
%systemroot%\system32\config\systemprofile\AppData\Local\*.*
%systemroot%\system32\config\systemprofile\AppData\Roaming\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.*
%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb
%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%windir%\sysnative\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /90
%systemroot%\syswow64\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%systemroot%\assembly\GAC_64\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s
HKEY_CURRENT_USER\Software\MSOLoad /s
bcdedit /enum all /v >C:\boot.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
atapi.sys
iaStor.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
csc.sys
tcpip.sys
dfsc.sys
hlp.dat
str.sys
crexv.ocx
/md5stop

• Натиснете маркираният в синьо бутон: Run Scan.
  
• Като приключи проверката, ще се създадат два файла - OTL.Txt и Extras.Txt. Прикачете тези два файла в следващия си коментар (погледнете опцията Прикачени файлове, когато публикувате мнение).
  

[Nikka]

Благодаря ви, че се ангажирахте. Пуснала съм сканирането по вашите инструкции, като приключи ще прикача на момента логовете.

[Nikka]

Лог файловете.

 

P.S. Вчера, проверявайки дали въобще мога да стартирам OTL на лаптопа, пуснах някакъв произволен скан, поради което днес не ми създава файл extras. Прикачам вчерашния extras, ако може да ви даде някаква информация. OTL.txt e пресен.

OTL.Txt

Extras.Txt

[B-boy/StyLe/]

Здравейте,

 

Извинявам се за забавянето, но бях на работа.

 

Не препоръчвам използването на две антивирусни програми едновременно.

Деинсталирайте Bullguard. Също така временно разкарайте и Spybot S & D за да не се пречка модула му TeaTimer на нашата работа (може и да се изключи от настройките, но според мен е по-добре временно да се деинсталира).

 

След това:

• Стартирайте файла http://billy-oneal.com/forums/Canned%20Speeches/speechimages/OTL/otlDesktopIcon.png с двукратен клик на мишката.
  
• Под http://store.picbg.net/pubpic/0A/C1/c814d031472c0ac1.png с Copy/ Paste въведете изцяло следната текстова информация (само това, което е поставено в карето):
  

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\BullGuard Ltd\BullGuard\antirootkit\profos.sys -- (Profos)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\1f16f.sys -- (1f16f)
IE - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\URLSearchHook: {b80f591e-fe9a-46cf-a13e-180377240586} - No CLSID value found
IE - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - No CLSID value found
O2 - BHO: (no name) - {b80f591e-fe9a-46cf-a13e-180377240586} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {B80F591E-FE9A-46CF-A13E-180377240586} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.
O3 - HKU\S-1-5-21-564045077-348958132-2243460998-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-564045077-348958132-2243460998-1000..\Run: [wbd3qckqai] C:\Users\Stefan\wbd3qckqai.exe File not found
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
SafeBootMin: 19258708.sys - Driver
SafeBootNet: 19258708.sys - Driver
[2012/07/23 23:07:17 | 004,503,728 | ---- | M] () -- C:\ProgramData\piz_0ef.pad
[2012/02/19 04:09:20 | 000,000,000 | -HSD | M] -- C:\Windows\system32\%APPDATA%
:commands
[emptytemp]

След като въведете скрипта от цитата по-горе натиснете бутона, маркиран в червено: Run Fix

Windows ще се рестартира и ще се създаде лог файл - OTL fix log. Публикувайте съдържанието му с Copy/Paste в следващия си коментар.

[Nikka]

Здравейте отново. Прикачам лога от фикса.

 

P.S. Bullguard не съществуваше като програма в add/remove, нито като папка в програмните файлове, така че почистих каквито остатъци видях от него ръчно.

09262012_202209-after-fix.txt

[B-boy/StyLe/]

Ок, Да направим още няколко проверки:

 

 

 

СТЪПКА 1

• Изтеглете RogueKiller.exe и го запазете на десктопа.
  
• Стартирайте приложението и натиснете бутона SCAN.
  

http://prikachi.com/images/627/4604627u.jpg

• Ще се създаде лог файл на десктопа с името RKreport.txt на десктопа.
  
• Публикувайте лог файла в следващия си пост.
  

 

 

СТЪПКА 2

 

 

 

И да проверим за повредени услуги, защото имаше индикации и за рууткит ZeroAccess, а той омазва услугите.

 

Моля изтеглете Farbar Service Scanner и я стартирайте.

• Сложете всички отметки
  
• Натиснете бутона "Scan".
  
• Ще се създаде лог файл с името (FSS.txt) в папката откъдето стартирате инструмента.
  
• Копирайте съдържанието на лог файла в следващия си пост.
  

 

 

 

СТЪПКА 3

 

 

 

Да проверим за стар софтуер и да се ориентираме към приключване. http://www.kaldata.com/forums/public/style_emoticons/default/wink.gif

 

Изтеглете Security Check от screen317 от тук или и го запаметете на вашия десктоп.

• Кликнете два пъти върху SecurityCheck.exe и следвайте инструкциите.
  
• Накрая, автоматично ще се отвори текстов документ, наречен checkup.txt, моля поставете съдържанието му в следващия Ви коментар в тази тема.
  
• Направете и нова проверка с DDS и прикачете двата файла които ще се създадат.
  

[Nikka]

Логовете от RK, FSS и SC:

 

RogueKiller

 

RogueKiller V8.0.5 [09/23/2012] durch Tigzy

mail: tigzyRK<at>gmail<dot>com

Kommentare: http://www.geekstogo...13-roguekiller/

Blog: http://tigzyrk.blogspot.com

 

Betriebssystem: Windows 7 (6.1.7600 ) 32 bits version

Gestartet in : Normal Modus

Benutzer : Stefan [Admin Rechte]

Funktion : Scannen -- Datum : 09/26/2012 23:22:29

 

¤¤¤ Böswillige Prozesse : 0 ¤¤¤

 

¤¤¤ Registry-Einträge : 5 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FAND

[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FAND

[HJ] HKLM\[...]\System : EnableLUA (0) -> FAND

[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyGames (0) -> FAND

[HJ SMENU] HKLM\[...]\Advanced : Start_ShowRun (0) -> FAND

 

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$23e6321a04e0b179c359e9bf1111048c\@ --> FAND

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-564045077-348958132-2243460998-1000\$23e6321a04e0b179c359e9bf1111048c\@ --> FAND

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$23e6321a04e0b179c359e9bf1111048c\U --> FAND

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-564045077-348958132-2243460998-1000\$23e6321a04e0b179c359e9bf1111048c\U --> FAND

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$23e6321a04e0b179c359e9bf1111048c\L --> FAND

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-564045077-348958132-2243460998-1000\$23e6321a04e0b179c359e9bf1111048c\L --> FAND

 

¤¤¤ Treiber : [GELADEN] ¤¤¤

 

¤¤¤ Extern Hives: ¤¤¤

 

¤¤¤ Infektion : ZeroAccess ¤¤¤

 

¤¤¤ Hosts-Datei: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR überprüfen: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000BEVT-00A0RT0 +++++

--- User ---

[MBR] 627eeb23b09d5ab29c48a57237a2c918

[bSP] b57318bd34c4e1cd8a0049c948d77c15 : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 434852 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 890783744 | Size: 40960 Mo

3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 974669824 | Size: 1026 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Abgeschlossen : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

FSS

 

Farbar Service Scanner Version: 19-09-2012

Ran by Stefan (administrator) on 26-09-2012 at 23:39:13

Running from "C:\Install 10.02.12\Farbar Last Version"

Microsoft Windows 7 Home Premium (X86)

Boot Mode: Normal

****************************************************************

 

Internet Services:

============

 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Yahoo IP is accessible.

Yahoo.com is accessible.

 

 

Windows Firewall:

=============

 

Firewall Disabled Policy:

==================

 

 

System Restore:

============

 

System Restore Disabled Policy:

========================

 

 

Action Center:

============

 

Windows Update:

============

 

Windows Autoupdate Disabled Policy:

============================

 

 

Windows Defender:

==============

 

Other Services:

==============

 

 

File Check:

========

C:\Windows\system32\nsisvc.dll => MD5 is legit

C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit

C:\Windows\system32\dhcpcore.dll => MD5 is legit

C:\Windows\system32\Drivers\afd.sys => MD5 is legit

C:\Windows\system32\Drivers\tdx.sys => MD5 is legit

C:\Windows\system32\Drivers\tcpip.sys

[2012-05-08 22:30] - [2012-03-30 12:29] - 1287024 ____A (Microsoft Corporation) 55E9965552741F3850CB22CBBA9671ED

 

C:\Windows\system32\dnsrslvr.dll

[2011-04-15 17:14] - [2011-03-03 07:29] - 0132608 ____A (Microsoft Corporation) B15BE77A2BACF9C3177D27518AFE26A9

 

C:\Windows\system32\mpssvc.dll

[2009-07-14 01:53] - [2009-07-14 03:15] - 0565760 ____A (Microsoft Corporation) 5CD996CECF45CBC3E8D109C86B82D69E

 

C:\Windows\system32\bfe.dll

[2009-07-14 01:54] - [2009-07-14 03:14] - 0493568 ____A (Microsoft Corporation) 85AC71C045CEB054ED48A7841AAE0C11

 

C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit

C:\Windows\system32\SDRSVC.dll

[2009-07-14 01:23] - [2009-07-14 03:16] - 0125952 ____A (Microsoft Corporation) 5FD90ABDBFAEE85986802622CBB03446

 

C:\Windows\system32\vssvc.exe

[2009-07-14 01:24] - [2009-07-14 03:14] - 1025536 ____A (Microsoft Corporation) 7EA2BCD94D9CFAF4C556F5CC94532A6C

 

C:\Windows\system32\wscsvc.dll

[2011-02-09 19:39] - [2010-12-21 07:38] - 0073728 ____A (Microsoft Corporation) A661A76333057B383A06E65F0073222F

 

C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\system32\wuaueng.dll

[2009-07-14 02:15] - [2009-07-14 03:16] - 1912832 ____A (Microsoft Corporation) A33408CC036F9C08142B11BE5E93F0A1

 

C:\Windows\system32\qmgr.dll

[2009-07-14 01:30] - [2009-07-14 03:16] - 0589312 ____A (Microsoft Corporation) 53F476476F55A27F580661BDE09C4EC4

 

C:\Windows\system32\es.dll => MD5 is legit

C:\Windows\system32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\system32\ipnathlp.dll => MD5 is legit

C:\Windows\system32\svchost.exe => MD5 is legit

C:\Windows\system32\rpcss.dll => MD5 is legit

 

 

**** End of log ****

 

 

 

Security Check

 

 

 

Results of screen317's Security Check version 0.99.51

Windows 7 x86 (UAC is disabled!)

Out of date service pack!!

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

SUPERAntiSpyware

Malwarebytes Anti-Malware version 1.65.0.1400

Java™ 6 Update 20

Java version out of Date!

Adobe Flash Player 11.4.402.278

Adobe Reader 9 Adobe Reader out of Date!

Google Chrome 21.0.1180.83

Google Chrome 21.0.1180.89

Google Chrome 22.0.1229.79

````````Process Check: objlist.exe by Laurent````````

ESET NOD32 Antivirus egui.exe

ESET NOD32 Antivirus ekrn.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

 

По-долу прикачам двата файла от DDS.

DDS.txt

attach-DDS.txt

[B-boy/StyLe/]

Моля отворете RogueKiller и отидете до Files секцията.

Маркирайте следните обекти:

 

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$23e6321a04e0b179c359e9bf1111048c\@ --> FAND

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-564045077-348958132-2243460998-1000\$23e6321a04e0b179c359e9bf1111048c\@ --> FAND

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$23e6321a04e0b179c359e9bf1111048c\U --> FAND

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-564045077-348958132-2243460998-1000\$23e6321a04e0b179c359e9bf1111048c\U --> FAND

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$23e6321a04e0b179c359e9bf1111048c\L --> FAND

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-564045077-348958132-2243460998-1000\$23e6321a04e0b179c359e9bf1111048c\L --> FAND

 

и натиснете Delete.

Рестартирайте компютъра и публикувайте новия лог файл.

 

Още ли има проблеми с ъпдейтите, защото не виждам повредени услуги.

 

Ако да, то пробвайте следните варианти:

http://support.microsoft.com/kb/971058

http://support.microsoft.com/kb/822798

http://www.thewindowsclub.com/repair-fix-windows-updates-with-fix-wu-utility

 

и пробвайте отново. Ако пак не се получи имам алтернативен вариант.

[Nikka]

Първо искам да ви благодаря отново за помощта.

 

Новият лог от RK, след изтриването на файловете:

 

RogueKiller V8.0.5 [09/23/2012] durch Tigzy

mail: tigzyRK<at>gmail<dot>com

Kommentare: http://www.geekstogo...13-roguekiller/

Blog: http://tigzyrk.blogspot.com

 

Betriebssystem: Windows 7 (6.1.7600 ) 32 bits version

Gestartet in : Normal Modus

Benutzer : Stefan [Admin Rechte]

Funktion : Scannen -- Datum : 09/27/2012 00:47:05

 

¤¤¤ Böswillige Prozesse : 0 ¤¤¤

 

¤¤¤ Registry-Einträge : 0 ¤¤¤

 

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

 

¤¤¤ Treiber : [GELADEN] ¤¤¤

 

¤¤¤ Extern Hives: ¤¤¤

 

¤¤¤ Infektion : ¤¤¤

 

¤¤¤ Hosts-Datei: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR überprüfen: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000BEVT-00A0RT0 +++++

--- User ---

[MBR] 627eeb23b09d5ab29c48a57237a2c918

[bSP] b57318bd34c4e1cd8a0049c948d77c15 : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 434852 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 890783744 | Size: 40960 Mo

3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 974669824 | Size: 1026 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Abgeschlossen : << RKreport[1].txt >>

RKreport[1].txt

 

 

Веднага след изтриването на файловете, които ми казахте и рестарта, се възстановиха UAC съобщенията.

 

Уиндоусът на лаптопа е на немски, което ме спъва донякъде в ориентацията. Ъпдейтите са настроени по дефо на автоматична функция. Съобщението, излизащо при натискане на бутона за ръчен чек е относително следното: Windows Update не може да търси за актуализации, тъй като услугата не е изпълнена. Вероятно е необходим рестарт на компютъра.

 

Съобщението е придружено от иконата с щита на МС за проблем със сигурността (червената, с кръстчето в средата), до командния бутон за търсене на ъпдейти. В това отношение няма промяна.

[B-boy/StyLe/]

За ъпдейтите пробвахте ли трите линка, които съм дал. В тях има автоматични инструменти - MS FixIt, които са точно за този вид проблеми.

Лично аз проблеми с услугите не виждам.

 

Ако проблема продължи изтеглете тази програма:

Complete Internet Repair и сложете отметка пред Repair Windows/Automatic Updates.

 

Ако и това не помогне:

 

Изтеглете този инструмент - Windows Repair All in one

Инсталирайте приложението и го стартирайте.

 

 

От стъпка 2 => стартирайте Check Disk

http://i1224.photobucket.com/albums/ee362/Essexboy3/Capture3.gif

 

От стъпка 3 => стартирайте SFC

 

http://i1224.photobucket.com/albums/ee362/Essexboy3/Capture.gif

 

от Start Repairs натиснете Start и оттук вече сложете отметки пред Repair Windows Updates

 

 

http://i.imgur.com/7fthj.png

 

Сложете отметка пред restart system when finished и натиснете Start.

 

После пишете как е положението.

[Nikka]

Най-сетне успех!

 

Накратко, по стъпките. Инсталирах фикса от първия линк, след рестарта - същото. Вторият линк - получих разяснение, че не мога да инсталирам някои програми и ъпдейти. Третият - IE не може да отвори тази страница.

 

Complete Internet Repair - след акция с него и рестарт, същото.

 

Windows Repair All in One - след всички чекове, репер и рестарт - резултат. Иконата се нормализира. 27 прясно изтеглени и инсталирани критични ъпдейта.

 

Безценна професионална помощ и героични усилия. Искрено благодаря.

 

Последен въпрос. Какъв инструмент да му сложа за предпазване от подобни атаки? Нод-ът не го е предотвратил, а спайботът беше сгънат, с натрошени модули. Ясно е, че и диамант няма да помогне, при човек, който инсталира без да гледа и не си ъпдейтва програмите, но можете ли да ми препоръчате нещо, като за случая?

[B-boy/StyLe/]

Здравейте,

 

Извинявам се отново за забавянето.

 

Обърнете внимание на това кои програми имат нужда от ъпдейт:

 

Инсталирайте SP1 за Windows 7

 

Деинсталирайте

Java™ 6 Update 20

и инсталирайте Java™ 6 Update 35 (кликнете на JRE и следвайте инструкциите - трябва ви този файл jre-6u35-windows-i586.exe).

 

И докато сме на вълна Java - да почистим кеша - тъй като доста от заразите открити от NOD32 са именно в него.

 

• Моля изтеглете JavaRa и я разархивирайте на вашия десктоп.
  
• Стартирайте файла JavaRa.exe.
  
• Изберете бутона Settings и сложете отметка пред Create a log file. Натиснете бутона Back.
  
• Натиснете бутона Update JavaRa Definitions. Изберете download. Когато приключи изберете Back.
  
• Сега вече натиснете Remove JRE, тъй като вече я деинсталирахме в началото просто натиснете бутона Next.
  
• Сега натиснете Perform Removal Routine за да премахнете всички остатъци от JAVA в регистъра и от компютъра.
  
• Когато приключи натиснете бутона OK за да затворите съобщението.
  
• Изберете Next. Изберете бутона Next. После ще се занимаваме със свалянето на най-новата версия и затова сега пропускаме тази стъпка.
  
• Сега изберете бутона Close this wizard и натиснете Finish.
  
• От основното меню изберете сега Additional tasks
  
• Сложете отметка пред Remove Outdated JRE Firefox Extentions и натиснете бутона Run. Mozilla Firefox трябва да бъде затворен преди да се опитате да изпълните тази стъпка!
  
• След като приключи успешно, ще видите съобщението: "Selected tasks completed successfully".
  
• Ще се създаде лог файл в същата папка от която сте стартирали JavaRa.
  
• Моля, публикувайте този файл в следващия си коментар. Ако е много голям го качете на file.bg.
  
• Затворете JavaRa с натискането на червения хикс.
  

 

 

Деинсталирайте

Adobe Reader 9

и инсталирайте Adobe Reader 10.1.4

 

Колкото за предотвратяване на атаките прочетете материала тук и си изберете най-подходящата стратегия според възможностите на машината и според вашите знания.

 

Деинсталирайте OTL:

 

Стартирайте OTL още веднъж и натиснете бутона CleanUp.

http://i47.tinypic.com/35hfp21.jpg

 

Ще последва рестарт на Windows.

 

Изтрийте ръчно всички инструменти и логове, които не са се изтрили при гореспоменатите процедури.

 

Приятно сърфиране! http://www.kaldata.com/forums/public/style_emoticons/default/bye1.gif

[Nikka]

Този път аз се позабавих, поради ъпдейтите, които последваха SP1.

Да опиша какво направих дотук. Надявам се да не съм омазала нещо в стъпките по трасето.

 

Деинсталирах стария Reader и сложих 10.1.4.

 

Деинсталирах Java™ 6, Update 20. Изтеглих jre-6u35-windows-i586.exe и го инсталирах.

Изтеглих JavaRa и минах по всички описани стъпки.

 

Прикачам лог файла от JavaRa с разширение .txt, тъй като с .log не ми позволи качването. Ако трябва, ще го прикача с оригиналното разширение веднага.

JavaRa-28092012.txt

[B-boy/StyLe/]

Чудесно, всичко е наред вече. За финал може да направите по-една бърза проверка с Malwarebytes и с антивирусната ви програма за всеки случай.

При нови проблеми (според логовете не би трябвало да има такива) пишете отново.

Сменете и всички пароли за достъп до ел-пощи, банкови транзакции, администраторския акаунт, форумите, Скайп, защото все пак компютъра е бил компреметиран за едно известно време.