Перейти к содержанию

You are infected with Rootkit.ZeroAccess!


Рекомендуемые сообщения

Здравствуйте.

Вообщем очень непонятно что мне делать.

Сначала был редирект на abnow.com.

Перепробовал всё что мог но не помогло (tdsskiller, yorkyt.exe)

Далее редирект пропал, но

С ComboFix вижу

---------------------------

ComboFix - ZeroAccess

---------------------------

You are infected with Rootkit.ZeroAccess! It has inserted itself into the

 

tcp/ip stack. This is a particularly difficult infection.

 

 

 

If for any reason that you're unable to connect to the internet after

 

running ComboFix, reboot once and see if that fixes it.

 

 

 

If it's not fixed, run ComboFix one more time.

---------------------------

OK

---------------------------

После чего начинаеться работа и всё просто намертво подвисает. (в safe mode тоже)

При этом вижу странность работы oracle db, там меняется порт.

 

Ну перебовал всё что мог. Такое ещё не видел .....

В youtube даже видео какието есть по abnow.com, но чтото совсем мне это ничего не даёт

 

Строгое предупреждение от модератора thyrex
Не нужно выкладывать карантин

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

zend7,

Внимание ! База поcледний раз обновлялась 2011.10.17 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

после обновления баз приложите новые логи AVZ

а также логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

zend7,

загрузите последнюю версию TDSSkiller

http://support.kaspersky.ru/viruses/solutions?qid=208636926

запустите

изменить параметры проверки - отметьте дополнительные опции

полученный лог прикрепите

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

zend7,

 

+ к вышесказанному

 

 

 

удалите карантин virusinfo_cure.zip из первого сообщения.

 

Старые отчеты tdsskiller покажите

D:\TDSSKiller.2.7.23.0_30.03.2012_06.51.24_log.txt

D:\TDSSKiller.2.7.23.0_30.03.2012_06.48.23_log.txt

 

 

после сканирования ComboFix остались отчеты какие-то?

Ссылка на комментарий
Поделиться на другие сайты

Вот

 

после сканирования ComboFix остались отчеты какие-то?

Вроде нет

 

У меня явно чтото есть, так как порт oracle db "прыгает". Т.е. меняеться с каждым стартом. (стандыртный и прописаный 1521). Ну и Combofix показывает то что там Rootkit.ZeroAccess

TDSSKiller.2.7.23.0_30.03.2012_06.48.23_log.txt

TDSSKiller.2.7.23.0_30.03.2012_06.51.24_log.txt

TDSSKiller.2.7.23.0_30.03.2012_17.40.02_log.txt

Ссылка на комментарий
Поделиться на другие сайты

запустите TDSSKiller, как в прошлый раз

в конце проверки выберите "Карантин"

полученную папку карантина с диска D заархивируйте с паролем virus и отправьте на проверку через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...ost&p=78511

 

У меня явно чтото есть

есть. именно поэтому переделайте, пжл, новые логи AVZ (проверим, меняется ли имя драйвера зловреда)

Ссылка на комментарий
Поделиться на другие сайты

покажите последний лог TDSSKiller

Прикрепил

ещё один лог забываете.

Вроде как есть. Или не этот?

TDSSKiller.2.7.23.0_30.03.2012_21.07.37_log.txt

Изменено пользователем zend7
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

Ссылка на комментарий
Поделиться на другие сайты

Попробовал, всё как написано сделал.

Если я делаю так, то просто получаю на одно сообщение больше и дальше опять всё глухо подвисает (т.е. даже курсор в консоле не мигает)

Ждал 20 минут, но ничего не происходит.

 

Вот такие сообщения по порядку

---------------------------

ComboFix - ZeroAccess

---------------------------

You are infected with Rootkit.ZeroAccess! It has inserted itself into the

 

tcp/ip stack. This is a particularly difficult infection.

 

 

 

If for any reason that you're unable to connect to the internet after

 

running ComboFix, reboot once and see if that fixes it.

 

 

 

If it's not fixed, run ComboFix one more time.

---------------------------

OK

---------------------------

 

 

---------------------------

ROOTKIT

---------------------------

Rootkit is detected

 

 

 

Be patient as this may take some moments

---------------------------

OK

---------------------------

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tetis
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • SorZol
      От SorZol
      I am writing to you today regarding a recent MedusaLocker attack on my personal computer on December [date] 2023.

      Unfortunately, the attack resulted in the encryption of a significant number of my files.
      However, during the incident, an unusual turn of events occurred. My laptop froze midway through the encryption process, causing the attacker to leave some files behind. Among these files, I was able to identify and run the encryption executable (within a controlled virtual machine environment, of course). This allowed me to extract the public key associated with the attack.

      Furthermore, through an additional, unexpected development, I also managed to obtain the corresponding private key. While this presents a potential opportunity for decryption, there exists a hurdle: both the public and private keys are encoded in Base64 format, rather than the standard XML format with Exponent and Modulus components.

      Recognizing the expertise and capabilities of your team in the field of ransomware decryption, I am reaching out with a proposal for collaboration. I am eager to share my unique experience and the acquired keys with your experts in the hope of finding a way to decrypt my files and potentially aid others affected by the same attacker or public key.

      I understand the inherent challenges and complexities involved in this endeavor. However, I believe that combining my firsthand experience with your technical know-how could lead to a breakthrough. I am open to discussing various collaboration models that would mutually benefit both parties.
      Thank you for considering my request. I am available at your convenience to discuss this further and provide any additional information you may require.
    • Iddinz
      От Iddinz
      Hi... Is there anyone can help me with this kind of Ransomware with extension .3R9qG8i3Z. Please guide me how to decrypt my file that been infected with this virus.. 
       
          ~~~ PC Locker 3.0 by Mr.Robot~~~
      >>>> Your data are stolen and encrypted
          To get your files back you will have to pay a one-time fee of $45 in bitcoin or monero.

      >>>> You need contact us and decrypt one file for free on these platforms with your personal DECRYPTION ID
          Contact the following account on telegram
          @mr_robot_unlock
          or paste this link in your browser
          https://t.me/mr_robot_unlock
          
          
      >>>> Your personal DECRYPTION ID: 4B75BFA39AA770FCE8B6C4C67E83BE3F
      >>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
      >>>> Warning! If you do not pay the ransom you will not receive you files NO EXCEPTIONS!
      >>>> Warning! Any attempt to negotiate or you don't want to pay is INSTANT BLOCK!
      >>>> Advertisement
          
          Would you like to earn thousands of dollars $$$ ?
          We sell mentorship for stealers, DDOS and ransomware.
          We only work with professionals and people with money DO NOT WASTE OUR TIME.
       
      Example of file name which been infected...
      1. Agihan Tudung 2023.xlsx.3R9qG8i3Z
      2. Cadangan Kekerapan Kontena.pdf.3R9qG8i3Z
    • Алексей Симферополь
      От Алексей Симферополь
      Добрый день. 
      На компьютере был обнаружен антивирус старой версии и при выяснении причин отказа обновления через задачу обновления было обнаружено, что не обновляется Агент Администрирования Kaspersky Security center 11.0.0.1131.
       
       При переустановке вручную, этой версии или более новой выходила ошибка какая указана в теме и на принтскрине. Так же были фатальные строки в логах;
         $klnagent-2023-12-25-10-22-13
      Executing op: CustomActionSchedule(Action=RegisterNagentMsi,ActionType=17409,Source=BinaryData,Target=RegisterNagentMsi,CustomActionData=....
      Invoking remote custom action. DLL: C:\Windows\Installer\MSIA566.tmp, Entrypoint: RegisterNagentMsi
      Ошибка 25002. В процессе установки произошла ошибка: Parameter with name "86" not exist..
        $klssinstlib
      KLERR: #1, Error was caught in RemoveNagentBasesCA, e:\bs\1529\14716\sources\cs adminkit\development2\inst_libs\nag_inst\nag_inst_msi.cpp@3116. Error params: (1186/0x0 ("Object not found"), "KLSTD", e:\bs\1529\14716\sources\cs adminkit\development2\inst_libs\common\msi_utils.cpp@125)
          Error loc: ''.)
       
        Решение было найдено через трассировку - в реестре, не смотря, что на диске отсутствовали файлы, их по неудачной установке откатывал установщик агента, в реестре установщик не откатывал и не 
      удалял ветви реестра, что относятся к системному разделу для установленных продуктов. Нужно поискать "ID ED1C2D7E-5C7A-48D8-A697-57D1C080ABA7" в реестре, в ветви HKLM\software\Classes\Installer и удалить его
      а так же связанный  раздел uninstall, который тоже находится по поиску. 
      После удаления все обновлённые версии агент+антивирус установились в обычном режиме. 

    • sid_corei7
      От sid_corei7
      i am affected with .lockyou extension ransomware. - can anyone have solution for this? plz guide.
       
×
×
  • Создать...