consrv.dll - Bootkit ZeroAcces

[zakk01]

Witam,

Posiadam Win7 Ultimate 64bit , mój problem polega na tym , że antywirus Comodo wykrył mi wirusa o wysokim zagrożeniu lokalizacja ''C:\Windows\System32\consrv.dll '' obecnie nic się nie dzieje ale nie wiem co mam z nim zrobić czy może to fałszywe zagrożenie ? bo o ile wiem darmowe antywirusy tak potrafią..a dopiero co 2 dni temu instalowałem system. Prosze o szybką pomoc

[XMan]

Przeskanuj komputer programem Malwarebytes Anti-Malware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.
Po skanowaniu wrzuć z niego logi.
Dodatkowo logi zgodnie z tym regulaminem :
bezpieczenstwo/nowy-regulamin-dzialu-bezpiecze-stwo-t1887.html
Czekaj za odpowiedzią fachowców z działu Bezpieczeństwo.

[zakk01]

ok , tak zrobie

[filutka78]

Ten plik to oznaka, że masz Bootkita ZeroAcces!

1) Użyj ComboFix >http://forum.hotfix.pl/bezpieczenstwo/instrukcje-hijackthis-combofix-inne-t146.html
Daj z tego log.
2) Daj log z TDSSKiller http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm
3) Daj log z OTL http://www.hotfix.pl/obsluga-programu-otl-a143.htm

.

[XMan]

Wykonaj/wykonuj to co pisze @filutka78 - jest dobrym fachowcem

[zakk01]

dobra jak już zrobie to dam znać .. bo właśnie mam taki problem z netem , że chodzi chodzi wszystko pięknie bez zadnych zawieszeń itp .. a co jakiś czas(15-20min) jak by zrywa połączenie i dopiero po 2-3min znów chodzi.To może być od tego ?

[filutka78]

To bardzo prawdopodobne, bo ZeroAcces potrafi całkowicie zniszczyć połączenie internetowe.

.

[XMan]

Tak, to może być od tego

Przeskanuj komputer programem Malwarebytes Anti-Malware.
Pełne skanowanie.
Obsługa programu Malwarebytes' Anti-Malware.

- nie zaszkodzi.

Również nie zaszkodzi :
Przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

kliknij aby powiększyć :
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Przeczyść komputer programem Eusing Free Registry Cleaner.
Wybierasz język / language / Polish.
Przewiń -> Skanuj rejestr -> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Sprawdź na innych DNS-ach :
Open
208.67.222.222
208.67.220.220
-------------------
lub TP.SA.
194.204.159.1
194.204.152.34
-------------------
lub Google
8.8.8.8
8.8.4.4
-------------------

Więcej nie pomogę, słuchaj innych

[zakk01]

no nieźle , jakim sposobem mogłem złapać te ZeroAcces?

dzieki Xman;p

[XMan]

no nieźle , jakim sposobem mogłem złapać te ZeroAcces?

Różnie.
Może instalowałeś jakiś plugin, może z Facebooka lub kliknąłeś na jakiś link, etc.

Ten plik to oznaka, że masz Bootkita ZeroAcces!

1) Użyj ComboFix >http://forum.hotfix.pl/bezpieczenstwo/instrukcje-hijackthis-combofix-inne-t146.html
Daj z tego log.
2) Daj log z TDSSKiller http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm
3) Daj log z OTL http://www.hotfix.pl/obsluga-programu-otl-a143.htm

.

Edit :
w razie problemów z Eusing Free Registry Cleaner nie instaluj.
Zauważyłem że nie ma jeszcze wersji na 64 bit.

[zakk01]

Dobra porobiłem te wszystkie skany dodatkowo zrobiłem jeszcze skan Malwarebytes Anti-Malware który, wykrył również wirusy nawet 3 chyba, a Eusing Free Registry Cleaner chodzi poprawnie tak jak Cclener zrobiłem skany i naprawiałem rejestry nie wiem czy to pomogło. Załączam logi :

log z ComboFix:
Dostępne tylko dla zarejestrowanych użytkowników

log z TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

i log z Malwarebytes:
Dostępne tylko dla zarejestrowanych użytkowników

czekam na dalsze wskazówki

[filutka78]

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\ALG]
"ImagePath"="%SystemRoot%\System32\alg.exe"

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\AmdPPM]
"ImagePath"="system32\DRIVERS\amdppm.sys"

Jeszcze nie przejrzałam dokładnie logów, ale zwróciło moją uwagę to, że w logu ComboFixa jest dużo podobnych do tych powyższych, wpisów.
Sprawdź, czy w folderach C:WINDOWS\system32 oraz C:\WINDOWS\system32\drivers nie ma plików z kłódkami na ikonkach?

[zakk01]

jeśli chodzi ci o ikonki na których są tak jak by 2 kółka zębate to w obu folderach jest ich mnustwo

-- 17 lis 2011, 16:28 --

innych ikon z kólkami nie ma; p

[filutka78]

innych ikon z kólkami nie ma

nie kółkami, tylko "kłódkami".

ComboFox wcale nie wykrył tego pliku "consrv.dll", ale usuwał inne obiekty należące do ZeroAcces.

Ale nie wszystko jest usunięte.
Choć być może usunął je MBAM - ale tego nie wiem, bo w raporcie jest "No action taken."

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O20 - HKCU Winlogon: Shell - (C:\Users\Paweł\AppData\Local\6fdd0e36\X) -C:\Users\Paweł\AppData\Local\6fdd0e36\X ()
[2011-11-16 18:03:53 | 000,000,000 | -HSD | C] -- C:\Users\Paweł\AppData\Local\6fdd0e36

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[zakk01]

aa sorka, źle przeczytałem dlatego , że mam mało czasu ;p , zaraz to wykonam,

-- 17 lis 2011, 16:51 --

zrobiłem to log po operacji; p

Dostępne tylko dla zarejestrowanych użytkowników

a w folderze System32 jest przynajmniej jeden plik z kłódką .