You are infected with Rootkit.ZeroAccess!

[zend7]

Здравствуйте.

Вообщем очень непонятно что мне делать.

Сначала был редирект на abnow.com.

Перепробовал всё что мог но не помогло (tdsskiller, yorkyt.exe)

Далее редирект пропал, но

С ComboFix вижу

---------------------------

ComboFix - ZeroAccess

---------------------------

You are infected with Rootkit.ZeroAccess! It has inserted itself into the

 

tcp/ip stack. This is a particularly difficult infection.

 

 

 

If for any reason that you're unable to connect to the internet after

 

running ComboFix, reboot once and see if that fixes it.

 

 

 

If it's not fixed, run ComboFix one more time.

---------------------------

OK

---------------------------

После чего начинаеться работа и всё просто намертво подвисает. (в safe mode тоже)

При этом вижу странность работы oracle db, там меняется порт.

 

Ну перебовал всё что мог. Такое ещё не видел .....

В youtube даже видео какието есть по abnow.com, но чтото совсем мне это ничего не даёт

 

Строгое предупреждение от модератора thyrex

Не нужно выкладывать карантин

virusinfo_syscure.zip

[Roman_Five]

zend7,

Внимание ! База поcледний раз обновлялась 2011.10.17 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

после обновления баз приложите новые логи AVZ

а также логи RSIT

[zend7]

Вот

rsit.zip

virusinfo_syscheck.zip

[Roman_Five]

zend7,

загрузите последнюю версию TDSSkiller

http://support.kaspersky.ru/viruses/solutions?qid=208636926

запустите

изменить параметры проверки - отметьте дополнительные опции

полученный лог прикрепите

Изменено 30 марта, 2012 пользователем Roman_Five

[Tiare]

zend7,

 

+ к вышесказанному

 

 

 

удалите карантин virusinfo_cure.zip из первого сообщения.

 

Старые отчеты tdsskiller покажите

D:\TDSSKiller.2.7.23.0_30.03.2012_06.51.24_log.txt

D:\TDSSKiller.2.7.23.0_30.03.2012_06.48.23_log.txt

 

 

после сканирования ComboFix остались отчеты какие-то?

[zend7]

Вот

 

после сканирования ComboFix остались отчеты какие-то?

Вроде нет

 

У меня явно чтото есть, так как порт oracle db "прыгает". Т.е. меняеться с каждым стартом. (стандыртный и прописаный 1521). Ну и Combofix показывает то что там Rootkit.ZeroAccess

TDSSKiller.2.7.23.0_30.03.2012_06.48.23_log.txt

TDSSKiller.2.7.23.0_30.03.2012_06.51.24_log.txt

TDSSKiller.2.7.23.0_30.03.2012_17.40.02_log.txt

[zend7]

hijackthis.log

hijackthis.log

[Roman_Five]

запустите TDSSKiller, как в прошлый раз

в конце проверки выберите "Карантин"

полученную папку карантина с диска D заархивируйте с паролем virus и отправьте на проверку через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...ost&p=78511

 

У меня явно чтото есть

есть. именно поэтому переделайте, пжл, новые логи AVZ (проверим, меняется ли имя драйвера зловреда)

[zend7]

Полученный ответ сообщите в этой теме.

Отправил с nbyte0@gmail.com

 

AVZ GMER

GMER.log

virusinfo_syscheck.zip

[Roman_Five]

AVZ

ещё один лог забываете.

 

Отправил с nbyte0@gmail.com

покажите последний лог TDSSKiller

[zend7]

покажите последний лог TDSSKiller

Прикрепил

ещё один лог забываете.

Вроде как есть. Или не этот?

TDSSKiller.2.7.23.0_30.03.2012_21.07.37_log.txt

Изменено 30 марта, 2012 пользователем zend7

[Roman_Five]

Вроде как есть. Или не этот?

нужен ещё virusinfo_syscure.zip

[zend7]

нужен ещё virusinfo_syscure.zip

virusinfo_syscure.zip

[Roman_Five]

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

[zend7]

Попробовал, всё как написано сделал.

Если я делаю так, то просто получаю на одно сообщение больше и дальше опять всё глухо подвисает (т.е. даже курсор в консоле не мигает)

Ждал 20 минут, но ничего не происходит.

 

Вот такие сообщения по порядку

---------------------------

ComboFix - ZeroAccess

---------------------------

You are infected with Rootkit.ZeroAccess! It has inserted itself into the

 

tcp/ip stack. This is a particularly difficult infection.

 

 

 

If for any reason that you're unable to connect to the internet after

 

running ComboFix, reboot once and see if that fixes it.

 

 

 

If it's not fixed, run ComboFix one more time.

---------------------------

OK

---------------------------

 

 

---------------------------

ROOTKIT

---------------------------

Rootkit is detected

 

 

 

Be patient as this may take some moments

---------------------------

OK

---------------------------