Landuss

Tu jest zakaz dopisywania się do czyjegoś tematu. Wydzielam Twój temat w osobny. Jeśli zaś chodzi o instrukcję na jak to wspominasz "zagranicznym forum" to nie sugeruj sie czyimś podobnym tematem. Instrukcje nie są dla wszystkich takie same mimo tej samej infekcji. Skrypty muszą być pisane dokładnie pod dany system. Stosując cudzy skrypt można sobie narobić szkody. Kolejna sprawa gdzie są wymagane logi? Widze, że na poprzednim forum je wstawiłeś, to dlaczego nie zrobiłeś tutaj tego samego? Jeśli już masz logi to proszę o ich wstawienie tu na forum oraz wykonanie dodatkowego logu na warunku dostosowanym. Uruchom OTL, wszystkie opcje ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\system32\consrv.dll /64 C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* dir /s /a C:\Windows\assembly\temp /C dir /s /a C:\Windows\assembly\tmp /C HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klikasz w Skanuj i prezentujesz wynikowy log.

Zacznijmy od tego - kto ci kazał tu w ogóle używać ComboFix? To wcale nie jest konieczne. Na początek proszę o wykonanie w twoim wypadku logów z OTL. Od razu wykonasz log poszerzony pod kątem najnowszej wersji ZeroAccess. A więc pobierz i uruchom OTL, wszystkie opcje ustaw na "Użyj filtrowania" natomiast w okno Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\system32\consrv.dll /64 C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* dir /s /a C:\Windows\assembly\temp /C dir /s /a C:\Windows\assembly\tmp /C HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klikasz w Skanuj i prezentujesz logi, które umieść opcją załączniki na forum.

Skoro było tu użyte Przywracanie systemu to wykonaj mi aktualne nowy log z OTL.

Jest prawie OK. Teraz jeszcze trzeba tu wyczyścić inne odpadki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylo...search&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylo...rtrp&AF=15627=" [2011-10-03 01:07:37 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jf59azqd.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2009-10-31 11:20:50 | 000,002,255 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jf59azqd.default\searchplugins\askcom.xml [2009-11-03 09:58:41 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jf59azqd.default\searchplugins\daemon-search.xml [2009-06-14 15:44:42 | 000,000,000 | ---D | M] (ArcaBit Ext.) -- C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl [2011-01-22 23:20:21 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-1275210071-839522115-698054696-500\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun File not found O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000 File not found O4 - HKU\S-1-5-21-1275210071-839522115-698054696-500..\Run: [Rubin] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Rubin\rubin.exe silent File not found [2012-06-04 23:23:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Sophos [2012-06-04 23:23:43 | 000,000,000 | ---D | C] -- C:\Program Files\Sophos :Services RichVideo nSvcIp IDriverT ForceWare Intelligent Application Manager (IAM) CTAudSvcService Creative Service for CDROM Access Creative Media Toolbox 6 Licensing Service Creative Audio Engine Licensing Service AVTasks2 Sunkfiltp SunkFilt62 SunkFilt6 sptd NVTCP npkcrypt MEMSWEEP2 MagicTune fwnciaob EagleNT DVC cpuz132 :Reg [-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_USERS\S-1-5-21-1275210071-839522115-698054696-500\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

Kolejny skrypt bo doszło coś nowego teraz. Zrób taką zawartość skryptu: :Files C:\Documents and Settings\Mieszko\golen.exe C:\Documents and Settings\Mieszko\golen.scr :Services cpuz135 XAMPP Apache :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Po wykonaniu skryptu nowe logi do obejrzenia.

To zależy tylko od Ciebie i jest obojętne. Ta infekcja nie ma nic wspólnego z pendrivami, nie rozprzestrzenia się w ten sposób. Tylko zapora czy całe centrum zabezpieczeń? naprawię i jedno i drugie. Tak czy inaczej to wygląda na robotę ZeroAccess i wymaga naprawy. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:000000ee [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik O efektach poinformuj.

Wszystko rzecz jasna. Jeśli problemów nie ma temat uznaję za zakończony.

Dwie pozycje do usunięcia natomiast ten wynik z total-copy zignoruj.

Najpierw wolałbym abyś przedstawił raport i dopiero wtedy podejmie się kroki czy usuwać czy nie.

To co ci wyskoczyło to log właśnie z wykonywania skryptu (usuwania). Nie musisz go dawać. Wszystko się wykonało co widać w nowych logach. Można kończyć: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\dom\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj do najnowszych wersji wymienione oprogramowanie: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK

W porządku, można kończyć sprawę. 1. Wklej do notatnika: reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT i uruchom ten plik z dwukliku 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Java i Adobe Reader do aktualizacji: KLIK 5. Możesz wykonać skan przez Malwarebytes Anti-Malware 6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Pewnie próbujesz wykonywać skrypt przy włączonym Avaście. Wyłącz go na czas wykonywania. W razie problemów zrób to z trybu awaryjnego.

Brak uprawnień oznacza, że próbujesz załączać plik z rozszerzeniem .log a nie .txt. Wystarczy zmienić rozszerzenie. Poza tym to jeszcze nie koniec. Dla potwierdzenia wykonaj log z OTL na warunku - wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

Jeszcze o logu extras zapomniałeś... I miałeś dać log jako załącznik. Poprawiam za ciebie. Na teraz można przejść do usuwania. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{ee007b84-9316-a947-f4a4-b2dc194fef69} "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{ee007b84-9316-a947-f4a4-b2dc194fef69}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

Jeszcze brakuje logów standardowych z OTL a więc wszystkie opcje ustawione na "Użyj filtrowania" oraz "Pliki młodsze niż 30 dni" Logi wstawiaj opcją załączniki na forum.

Masz nową wersję infekcji ZeroAccess (Sirefef), która zaprawia także plik services.exe. Potrzebne będą raporty. 1. Wykonaj standardowe logi z OTL + Gmer 2. Wykonaj log z OTL na warunku dostosowanym - wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport.

Drobna poprawka - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\pbzvrie.dll -- (xlvjklc) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\dom\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=111434&babsrc=SP_ss&mntrId=780174a70000000000000022431c8553 [2012-05-26 12:22:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2012-05-26 12:12:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2012-04-26 00:47:28 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\iki5zm4l.default\searchplugins\softonic.xml [2012-03-17 18:22:19 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Na początek zastrzeżenia: - Gdzie zgubiłeś główny log z OTL (otl.txt)? Exstras to log dodatkowy. - ComboFix użyty bez nadzoru zupełnie niepotrzebnie. Nie rób tego więcej. - Brak obowiązkowego loga z Gmer pod infekcje rootkit - Logi wklejaj opcją załączniki na forum, a nie do posta. Zmieniłem to za ciebie. - Nie pisz posta pod postem gdy nikt jeszcze nie odpisał. Jeśli chcesz coś wtedy dodać używaj opcji Edytuj w poprzednim poście. W kwestii logów: Niestety tu jest infekcja wirusem Sality, który zaraża wszystkie pliki .exe na dysku. Infekcja przeniesiona przez urządzenia przenośne np. pendrive. Wstępne leczenie: 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files xrifk.pif /alldrives rcdiq.exe /alldrives wugaok.exe /alldrives :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie (wszystkie opcje mają być zanaczonone na "Użyj filtrowania), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz Gmer. Daj też znać czy SalityKiller coś wykazał.

Zastosuj firmowe narzędzie do tego celu - Avast Uninstall Utility Jeśli chodzi zaś o infekcję: 1. Zacznij od zastosowania ComboFix i zachowaj raport z programu. 2. Gdy narzędzie ukończy prace prezentujesz z niego log oraz nowe logi z OTL

Te wymienione rzeczy usuniesz jak użyjesz AdwCleaner z opcji Delete więc to wykonaj. Poza tym przejdź do usuwania infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btkrnl.sys -- (BTKRNL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adusbser.sys -- (adusbser) O4 - HKU\S-1-5-21-1275210071-2049760794-1547161642-1003..\Run: [quuoxa] C:\Documents and Settings\Mieszko\quuoxa.exe () [2012-05-12 23:55:50 | 000,057,344 | RHS- | M] () -- C:\Documents and Settings\Mieszko\quuoxa.scr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

No to nie możesz przestawić na większą? Albo przesunąć okna z programem? Nie spotkałem się jeszcze z tym problemem.

Pytanie po co tu był stosowany ComboFix? To nie jest program do skanowania i nieumyślne jego uruchomienie bez potrzeby może sprawić więcej problemów niż pożytku. Tutaj wymagamy innych raportów w twoim przypadku z OTL A ComboFix poprawnie należy odinstalować w ten sposób: Wciśnij kombinację klawisza z flagą Windows + R wklej i wywołaj polecenie "C:\users\Lukasz\Downloads\ComboFix.exe" /uninstall

Nie ma się co dziwić, ze są tego typu problemy. ZeroAccess (Sirefef) to infekcja z wysokiej półki. Przejdziesz teraz do usuwania. Ma ono być prowadzone z konta, na którym jest problem. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg delete HKLM\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} "C:\Documents and Settings\Ksiegowosc1\Ustawienia lokalne\Dane aplikacji\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

Z loga wynika, że w systemie jest poprawna kopia pliku do podmiany. Wykonaj poniższe zalecenia: Przy starcie komputera wciśnij F8 > Napraw komputer > Wiersz polecenia i wykonaj dwie operacje: 1. Wpisz komendę notepad, z menu Plik > Otwórz > z boku przełącz na Komputer, co otworzy listę dysków. Sprawdź pod jaką literą jest widziany w tym środowisku dysk z Windows. 2. Wpisz komendę zamiany plików: copy /y X:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll X:\Windows\SysWOW64\ws2_32.dll Gdzie X = litera dysku z Windows pobrana w punkcie 1. Restartujesz do Windows. Jeśli wszystko poprawnie się wykonało to powinieneś już uruchomić OTL i zaprezentować logi. Tak to pewnego rodzaju keylogger, zmianą haseł zajmiesz się na samym końcu jak już wszystko zostanie wyleczone.

1. Zacznij od zastosowania ComboFix i zachowaj raport z programu. 2. Gdy narzędzie ukończy prace prezentujesz z niego log oraz nowe logi z OTL oraz Gmer