Landuss

W najnowszych logach ZeroAccess w nawrocie. Wykonaj log dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :regfind {58693411-709e-9039-e2d9-a805ea0eb781} :folderfind {58693411-709e-9039-e2d9-a805ea0eb781} Klik w Look i wklej wynikowy raport.

Jest w porządku i nic tu nie ma więcej do roboty. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK

Ad3 Skrypt poprawnie wykonany. Możesz użyć opcji Sprzątanie z OTL, ale system jest nieaktualny i wymaga instalacji Service Pack 3 oraz IE 8 tak więc uzupełnij to: KLIK Ad2 Brak jakichkolwiek śladów infekcji. Drona rzecz do wykonania: Start > Uruchom > cmd i wklep kolejno polecenia: sc delete JavaQuickStarterService sc delete cpuz135 Ad1 Także brak infekcji i kosmetyka w postaci usuwania pustych usług: Start > Uruchom > cmd i wklepuj sc delete ZTEusbser6k sc delete ZTEusbnmea sc delete ZTEusbmdm6k sc delete massfilter sc delete cpuz135 Logów żadnych już oglądać nie muszę. Jeśli zaś chodzi o błędy, to kwestia ustawień IE. Panel sterowania > Opcje internetowe > Zabezpieczenia > Poziom niestandardowy "Uruchamianie formatów ActiveX i dodatków plug-in" ma byc zaznaczona na Włącz "Wykonywanie skryptów formatów AvtiveX zaznaczonych jako bezpieczne*" ma być na Włącz

Myślałem, że tego nie trzeba tłumaczyć: KLIK

To nie powinno trwać tyle czasu, możliwe, że coś się zwiesiło. Przerwij pracę i zrób całą operacje w trybie awaryjnym.

W takim razie finalne czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci.

Nie wiem skąd te wszystkie problemy nawet w awaryjnym. W takim wypadku pozostaje zrobić log ze środowiska zewnętrznego. Tak więc wypal płytkę OTLPE i z jej poziomu wykonaj raporty.

W takim razie wykonaj fiksa naprawczego dla zapory. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:000000ee [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Restart komputera. O efektach poinformuj. Jeśli będzie dobrze przejdziemy do czynności finalnych.

Wygląda, ze jest w porządku i wszystko się poprawnie wykonało. Możesz przejść do czynności końcowych: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\admin\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. System jest dziurawy i nieaktualny, podatny na infekcje bo nie ma Service Packa 3, należny go jak najszybciej zaktualizować wraz z wymienionymi programami: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = Java2SE Runtime Environment 5.0 Update 6 "{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Skan za pomocą Malwarebytes Anti-Malware 6. W związku z rootkitem zmień na wszelki wypadek hasła logowania do serwisów w sieci. To tyle i podsumuj czy działa sieć.

No nie mów, ze nie wiesz jak wejść w tryb awaryjny Windows. Myślałem, że tego nie trzeba tłumaczyć: KLIK

Spróbuj z poziomu trybu awaryjnego wykonać te operacje.

No sam sobie odpowiedz - to oczywiste. To co teraz. Masz wykonać nowe logi i przeskanować się przez MBAM.

Tak jak mówiłem - logi tego zupełnie nie pokazują. Spróbuj zapuścić skan przez Malwarebytes Anti-Malware Wykonaj tez nowe logi z OTL.

To pytanie do Ciebie, czy logi robiłeś z zainfekowanego konta? Logi mają być robione z tego konta na którym jest problem przy tej infekcji.

Zabrakło drugiego loga z OTL (extras.txt). Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Nie dałeś też loga z Gmer ComboFix usuwał komponenty rootkita ZeroAccess w starszej wersji. Internetu zaś nie ma bo jest tu zainfekowany sterownik systemowy ipsec: ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [-] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\ipsec.sys [-] 2004-08-04 21:00 . A6AC67A677EC26C21E42E88604DF3160 . 74752 . . [------] . . c:\windows\system32\drivers\ipsec.sys . [-] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\ipsec.sys [-] 2004-08-04 21:00 . A6AC67A677EC26C21E42E88604DF3160 . 74752 . . [------] . . c:\windows\system32\drivers\ipsec.sys 1. Pobierz czysty ipsec.sys pod XP SP2 zgodnie z twoim systemem: KLIK. Plik umieść bezpośrednio na dysku C:\ 2. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB38068$ Klik w Unlock. 3. Wklej do notatnika ten tekst: FCopy:: C:\ipsec.sys | C:\Windows\system32\drivers\ipsec.sys C:\ipsec.sys | C:\Windows\system32\dllcache\ipsec.sys NetSvc:: citrixwmiservice Driver:: TVTPktFilter SUService FingerprintServer citrixwmiservice Folder:: C:\Windows\$NtUninstallKB38068$ C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\a9a3c2e8 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 4. Prezentujesz log z ComboFix, nowe logi z OTL (przypominam o ekstras) oraz zaległy log z Gmer

Gmer nic nowego nie wykazał, jest czysto. Skrypt poprawnie wykonany i nic tu nie ma już na usuwanie. Tak jak wspomniałem wcześniej w kwestii spowolnienia należy spróbować z Nortonem.

Takie są właśnie skutki instalacji wątpliwej wtyczki vShare. Usuniesz w takim razie skryptem wszelkie śmieci. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found IE - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60327 IE - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\SearchScopes\{7C3402EA-F439-4c79-B747-2C1696C9629C}: "URL" = http: //home.speedbit.com/search.aspx?aff=106&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=cc1c4e62-b271-11e1-b365-0018de493b5e" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=cc1c4e62-b271-11e1-b365-0018de493b5e&q=" [2009-07-26 13:49:40 | 000,000,000 | ---D | M] (Ask Chrome Search Engine) -- C:\Documents and Settings\PawelS\Dane aplikacji\Mozilla\Firefox\Profiles\yllf6vfn.default\extensions\askopensearch-VTS@ask.com [2012-06-09 22:29:58 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\PawelS\Dane aplikacji\Mozilla\Firefox\Profiles\yllf6vfn.default\searchplugins\startsear.xml O3 - HKLM\..\Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found. O3 - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O3 - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found. O3 - HKU\S-1-5-21-3994607313-1744510974-3478977628-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. :Files C:\Documents and Settings\PawelS\Dane aplikacji\Toolbar4 :Services TfKbMon sptd hwusbdev hwdatacard filtertdidriver CA504AV :Reg [HKEY_USERS\S-1-5-21-3994607313-1744510974-3478977628-1006\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Do obejrzenia dajesz nowy log ze skanowania OTL (bez ekstras)

Zacznij od wykonania wymaganych tu raportów z OTL

Wszystko poprawnie wykonane. Możesz przejść do czynności finalnych. 1. Usuń z dysku ten folder: [2012-06-09 11:18:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\529C50A8000432F00009F8EBD151FC84 2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.1 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. W związku z rootkitem zmień hasła logowania do serwisów w sieci.

Infekcja wygląda na poprawnie usuniętą. Teraz można się zająć pozostałymi rzeczami. 1. Wejdź w panel usuwania programów i odinstaluj sponsoring Mobile Media Converter Toolbar 2. Zastosuj narzędzie AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" File not found O4 - HKU\.DEFAULT..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found O4 - HKU\S-1-5-18..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found O4 - HKU\S-1-5-19..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found O4 - HKU\S-1-5-20..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe File not found [2012-06-09 11:56:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\529C50A8000432F00009F8EBD151FC84 :Services Lbd :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Masz na dysku wadliwe pliki, których nie da się usunąć tradycyjną drogą: File not found -- C:\Documents and Settings\X\My Documents\4s. File not found -- C:\Documents and Settings\X\My Documents\Konf. File not found -- C:\Documents and Settings\X\My Documents\story4s. File not found -- C:\Documents and Settings\X\My Documents\w sprawie Usuń je za pomocą narzędzia Delete FXP Files. Program jest płatny, ale wersja darmowa pozwala na przeprowadzenie pięciu operacji więc wystarczy. 5. Po wykonaniu wszystkiego robisz nowe logi z OTL na ustawieniu tym razem wszystkich opcji na "Uzyj filtrowania" oraz "Pliki młodsze niż 30 dni"

Log z AdwCleaner nie był konieczny. Program skorygował drobne odpadki i wszystko wygląda bardzo dobrze. Temat uznaję za wyjaśniony i zamykam.

Racja, nie zauważyłem, ze to folder a nie plik. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{bfecd975-01f3-ed3a-67b3-24e00a45fd97} C:\Documents and Settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} :Services ClntMgmt.sys ADDMEM sptd :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wszystkie opcje ustawiasz na "Użyj filtrowania" oraz "Pliki młodsze niż 30 dni" i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wklejaj logi opcją załączniki a nie do posta. Poprawiam za ciebie po raz kolejny. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{58693411-709e-9039-e2d9-a805ea0eb781} "C:\Documents and Settings\X\Local Settings\Application Data\{58693411-709e-9039-e2d9-a805ea0eb781}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

W logach infekcja ZeroAccess i nie tylko. Zacznij od stworzenia dodatkowego raportu - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport.

Sfc ci daruję bo wygląda, że wszystko zostało usunięte poprawnie. Można przejść do czynności finalnych. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7289BE1E-DD22-4B47-856C-5E53199BBCB1}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz odinstaluj przestarzały program Spybot Search & Destroy 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj obowiązkowo IE i Jave do najnowszych wersji - KLIK 5. Zmień hasła logowania do serwisów w sieci, tak na wszelki wypadek.