Problem z win patched.hn i win32/rootkit.agent.nus

**Posty:** 2 · przez **corey81** 17 Lis 2011, 11:34

Panie i Panowie!!
3 dzień w nowej pracy i złapałem cholerstwo wymienione w tytule. Ratujcie, bo szef mnie zabije

ESET NOD32 rozpoznaje ale nie potrafi zwalczyć
Windows XP 32 bit sp3
Skany z OTL

http://www.wklej.org/id/629207/
http://wklej.org/id/629208/

Mój pierwszy post, mój pierwszy problem więc wybaczcie jeśli gdzieś machnąłem błąd

Z góry dziękuję!
Czekam na odzew

**Posty:** 4765 · przez **ordynat** 17 Lis 2011, 12:03

\\?\globalroot\systemroot\system32\mswsock.dll

Bootkit ZeroAcces.

Ratujcie, bo szef mnie zabije

I będzie miał rację, bo ten ZeroAcces nie wchodzi sam, tylko ktoś go musiał ściągnąć!

Został ściągnięty 2011-11-14 16:52:46, a więc już w czasie, gdy tam zacząłeś pracę.

1) Użyj ComboFix >http://forum.programosy.pl/otl-dds-combofix-vt117885.html-sid=43a22458490922a217d60bd5e7986be6

2) Daj log z >TDSSKiller

3) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-10-10 08:28:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\searchquband
[2011-10-10 20:27:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\searchqutoolbar
[2011-11-14 16:52:46 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\e89aad02
O20 - AppInit_DLLs: (C:\PROGRA~1\WINDOW~4\Datamngr\datamngr.dll) -C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\WINDOW~4\Datamngr\IEBHO.dll) -C:\Program Files\Windows Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\e89aad02\X) - File not found
O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe File not found
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (Loader Class) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/421
SRV - File not found [Auto | Running] -- -- (HWDeviceService.exe)

:Files
C:\Program Files\Windows Searchqu Toolbar

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

Autor postu otrzymał pochwałę

**Posty:** 2 · przez **corey81** 17 Lis 2011, 12:58

log tdss
http://wklej.org/id/629242/

log po wykonaniu skryptu
http://wklej.org/id/629248/

log po skanowaniu
http://wklej.org/id/629246/

Panie ordynat, wyślij mi Pan swoje fizyczne namiary to Panu beczkę piwa podeślę!!

**Posty:** 4765 · przez **ordynat** 17 Lis 2011, 14:09

Wprawdzie nie pokazałeś logu z ComboFixa, ale z logu TDSSKiller i z logu OTL wnioskuję, że ComboFix usunął już ZeroAcces'a.

Kończymy:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie ComboFix.

.