futrzak

Hura !! Pobrałem aktualizacje bez żadnych błędów. Noda również postawiłem i po skanie nic mi nie wykrył. Wielkie dzięki Picasso za ofiarowaną pomoc oraz cierpliwość

Wyżej wymienione polecenia wykonałem. Jest poprawa pobiera mi aktualizację. Nareszcie mam nadzieję że to już koniec.

Wszystkie polecenia zostały wykonane bez żadnych problemów. Przy sprawdzaniu błędów nie wykryło mi żadnych błędów. Również przedstawiam log z Kasperskego Nadal nie mogę pobrać aktualizacji. Skanowałem ComboFixem w trybie awaryjnym ale wierszał mi się przy tworzeniu raportów. TDSSKiller.2.6.6.0_07.10.2011_20.24.10_log.txt

Combofix chodził ponad godzinę informując że skanowanie będzie trwało około 10 min. Obecnie również wyskoczył mi błąd: Kosz na dysku C:\ jest uszkodzony. Czy chcesz opróżnić Kosz na tym dysku? Również zaproponowałaś żebym przeskanował Kasperskim nie uczyniłem tego ponieważ pracował ComboFix. Czy mam teraz przeskanować ?? Przedstawię log z tego polecenia. Znalazł ale jest inny. Microsoft Windows [Wersja 6.0.6001] Copyright © 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\>DIR /A C:\Windows Wolumin w stacji C nie ma etykiety. Numer seryjny woluminu: 76A8-5960 Katalog: C:\Windows 2011-10-07 16:31 <DIR> . 2011-10-07 16:31 <DIR> .. 2008-09-25 20:12 <SYMLINKD> $NtUninstallKB3255$ [c:\windows\system32\config]

1 Usługi kryptograficzne mają status Uruchomiono oraz Automatyczny Przedstawiam log: sfc.txt

Odpaliłem FixIta ale dalej nie mogę pobrać aktualizacji.

Podczas uruchomienia programu (na samym początku) wyskoczył mi błąd: Instalator napotkał błąd: 0x80096001 Podczas weryfikowania zaufania wystąpił błąd poziomu systemu.

Pliki usunąłem ręcznie tak jak mówiłaś, a z Windows Update dalej jest tak samo po odinstalowaniu NODA

1 Jeżeli chodzi o OTL: tak wykonałem cały skrypt z postu wyżej, a po zakończeniu skryptu dałem sprzątanie wszystkie logi oraz OTL się skasowały. Spybot został odinstalowany. 2 Uruchomiłem Fixit ale dalej mam komunikat że nie może wyszukać nowych aktualizacji oraz kod 80096001. Wyłączyłem NODA ale dalej jest tak samo.

Przedstawiam log z OTL: OTL.Txt

Witam ponownie Mam problem próbuję zainstalować SP2 ale wyskakuje mi komunikat żebym zainstalował SP1. Natomiast SP1 mam zainstalowaną razem z Vistą więc mam ją w systemie. Ściągnąłem SP1 i jak próbuję zainstalować mam komunikat że jest już zainstalowany. Natomiast jak chce pobrać aktualizacje przez internet pokazuje mi komunikat: kod 80096001. Wczoraj przeskanowałem mbam i znalazł mi trojana, poniżej przedstawiam log. Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Wersja bazy: 7877 Windows 6.0.6001 Service Pack 1 Internet Explorer 7.0.6001.18000 2011-10-05 17:38:12 mbam-log-2011-10-05 (17-38-12).txt Typ skanowania: Pełne skanowanie (C:\|) Przeskanowano obiektów: 320030 Upłynęło: 51 minut(y), 21 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 1 Zainfekowanych plików: 1 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: c:\Users\agnieszka\AppData\Roaming\gadcom (Trojan.Agent) -> Quarantined and deleted successfully. Zainfekowanych plików: c:\Users\agnieszka\downloads\nero_8.3.6.0_pl\nero lite 8.3.6.0\keygen.exe (Trojan.Agent) -> Not selected for removal. Natomiast obecnie skanuję nodem i również mam 1 infekcję (przedstawiam wpis z raportu) C:\Documents and Settings\Agnieszka\AppData\Local\Temp\3203397148:3809022017.exe - Win32/Sirefef.CT koń trojański - wyleczony przez usunięcie - poddany kwarantannie

Zastosuję się do twoich rad. Porobię aktualizacje oraz po testuję Vistę. Mam nadzieję że, wszystko będzie OK. Wielkie dzięki za ofiarowaną pomoc oraz cierpliwość.

Kaspersky nie wykrył żadnych problemów, wiec nie przedstawiam raportu (OK / Packed / Archive / Password Protected takie wyniki cię nie interesują) GrantPerms został uruchomiony pliki skasowane Przedstawiam logi: OTL.Txt Ad-Report-SCAN1.txt

Przedstawiam logi : AntiZeroAccess_Log.txt OTL.Txt

Podaję log z OTLPE: ========== FILES ========== File C:\Windows\System32\drivers\dfsc.sys successfully replaced with C:\dfsc.sys C:\Windows\System32\c_47915.nl_ moved successfully. C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully. < rd /s /q C:\32788R22FWJFW /C > C:\cmd.bat deleted successfully. C:\cmd.txt deleted successfully. < rd /s /q C:\ComboFix /C > C:\cmd.bat deleted successfully. C:\cmd.txt deleted successfully. < rd /s /q C:\Qoobox /C > C:\cmd.bat deleted successfully. C:\cmd.txt deleted successfully. OTLPE by OldTimer - Version 3.1.48.0 log created on 10042011_161852 Podczas uruchomienia Fixit mam komunikat że: Usługa instalator Windows nie jest dostępna w trybie awaryjnym. Informuje mnie żebym spróbował ponownie kiedy komputer nie będzie pracował w trybie awaryjnym.

Przedstawiam logi. Mam problem z Webroot -em a mianowicie pierwsze okno jest takie: Would you like to perform a System Scan? [Y/N] Następnie mi skanuje a na koncu zaraz po skanowaniu mam komunikat Your system is not infected by ZeroAccess/Max++ Rootkit! Execution ended. Press any key to exit... Tych środkowych okien z leczeniem mi nie wyświetla miałem raz tak post czy dwa wyżej co skasowało połowę. Mam tak za każdym razem kiedy go uruchamiam. OTL.Txt AntiZeroAccess_Log.txt

Przedstawiam logi: Webroot AntiZeroAccess 0.8 Log File Execution time: 03/10/2011 - 22:06 Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1 22:06:26 - CheckSystem - Begin to check system... 22:06:26 - OpenRootDrive - Opening system root volume and physical drive.... 22:06:26 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors. 22:06:26 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys". 22:06:27 - InstallAndStartDriver - Main driver was installed and now is running. 22:06:27 - CheckSystem - Warning! Disk class driver is INFECTED. 22:06:28 - CheckFile - Warning! File "dfsc.sys" is Infected by ZeroAccess Rootkit. 22:07:01 - CheckExecutableEP - Unable to open "C:\Program Files\ESET\ESET Smart Security\ekrn.exe" file. CreateFile last error: 5 22:07:01 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\pdf complete\pdfsvc.exe 22:07:01 - CheckExecutableEP - Unable to open "c:\windows\system32\slsvc.exe" file. CreateFile last error: 5 22:07:15 - DoRepair - Begin to perform system repair.... 22:07:15 - DoRepair - System Disk class driver was repaired. 22:07:16 - DoRepair - Infected "dfsc.sys" file was renamed. 22:07:16 - DoRepair - Infected "dfsc.sys" file was successfully cleaned! 22:07:16 - CheckExecutableEP - Error! Unable to repair read-only "c:\program files\pdf complete\pdfsvc.exe" file. 22:07:16 - CheckExecutableEP - Successfuly rewritten repaired "c:\program files\pdf complete\PreE56E.tmp" file. 22:07:16 - DoRepair - Unable to repair read-only "pdfsvc.exe" file, file was copied and patched with another name. Reboot system to complete repair process. 22:07:16 - DoRepair - Infected "pdfsvc.exe" file was successfully cleaned! 22:07:16 - DoRepair - "c_12345.nls" ZeroAccess file NOT found. 22:07:16 - DoRepair - Warning! Unable to delete "desktop.ini" ZeroAccess file, last error: 5. This file will be removed at next reboot. 22:08:19 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 22:08:19 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 22:08:19 - Execution Ended! Webroot AntiZeroAccess 0.8 Log File Execution time: 03/10/2011 - 22:12 Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1 22:12:48 - CheckSystem - Begin to check system... 22:12:48 - OpenRootDrive - Opening system root volume and physical drive.... 22:12:48 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors. 22:12:48 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys". 22:12:49 - InstallAndStartDriver - Main driver was installed and now is running. 22:12:49 - CheckSystem - Warning! Disk class driver is INFECTED. 22:13:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 22:13:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 22:13:10 - Execution Ended! ========== FILES ========== File C:\Windows\System32\drivers\netbt.sys successfully replaced with C:\netbt.sys OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_235929

Daję raporty Antizeroaccess byl uruchomiony przed otlpe Webroot AntiZeroAccess 0.8 Log File Execution time: 03/10/2011 - 20:34 Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1 20:35:02 - CheckSystem - Begin to check system... 20:35:02 - OpenRootDrive - Opening system root volume and physical drive.... 20:35:02 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors. 20:35:02 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys". 20:35:02 - InstallAndStartDriver - Main driver was installed and now is running. 20:35:02 - CheckSystem - Warning! Disk class driver is INFECTED. 20:35:08 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 20:35:13 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 20:35:13 - Execution Ended! ========== FILES ========== Invalid replace specification: C:\Windows\System32\drivers\netbt.sys \ c:\netbt.sys C:\Windows\System32\c_47915.nl_ moved successfully. C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully. OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_220517 Jestem w trybie awaryjnym podczas wypakowywania plików Combo wyświetlił mi okno z błędem: Błąd otwarcia pliku do zapisu: C:\32788R22FWJFW\swxcacls.3XE Wybierz Anuluj, aby przerwać instalację, Ponów, aby ponowić zapis do pliku lub Ignoruj aby pominąć ten plik

Podczas resetu winsock mam następujące komunikaty: Nie można załadować następującego pomocnika DLL: WSHELPER.DLL. Nie można załadować następującego pomocnika DLL: IFMON.DLL. Nie znaleziono następującego polecenia: winsock reset

Plik podmieniłem klawiatura jest ok. Daję logi z OTL i z Webroot AntiZeroAccess: Webroot AntiZeroAccess 0.8 Log File Execution time: 03/10/2011 - 20:05 Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1 20:05:15 - CheckSystem - Begin to check system... 20:05:15 - OpenRootDrive - Opening system root volume and physical drive.... 20:05:15 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0CD93B71 sectors. 20:05:15 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys". 20:05:15 - InstallAndStartDriver - Main driver was installed and now is running. 20:05:15 - CheckSystem - Warning! Disk class driver is INFECTED. 20:05:21 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 20:05:21 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 20:05:21 - Execution Ended! OTL.Txt

Daję raporty z Kaspersky Rescue Disk. Nie mogę się zalogować do Visty klawiatura nie reaguje

Załączam logi: ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\1cf6efbe deleted successfully. C:\Windows\System32\c_47915.nl_ moved successfully. C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} moved successfully. OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_173348 ========== OTL ========== Service\Driver key 1cf6efbe not found. ========== FILES ========== File\Folder C:\Windows\{2521BB91-29B1-4d7e-9137-AC9875D77735} not found. File\Folder C:\Windows\System32\c_47915.nl_ not found. C:\Windows\Assembly\GAC_MSIL\Desktop.ini moved successfully. OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_181727

Combofix chodził przez całą noc i stał w tym samym miejscu. Ściągnąłem oraz przeskanowałem OTLPE Przedstawiam log. OTL.txt

TAK W końcu odpaliłem Combofix jestem na etapie skanowania Nadal stoi na niebieskim oknie i informuje mnie, że skanowanie zajmie około 10 minut, tak jest około 4 godzin. Zostawię go na noc może ruszy. Mam kilka pytań: Jak zrobię format i postawię nowy system to wykasuję tego rootkita ? Czy jak będę robił kopie danych to nie zainfekuję swojego kompa ? Mam WinXP więc się trochę obawiam.

Hm mam problem z Combofix wypakował pliki i się wyłączył będę próbował dalej przeskanować. Podczas wypakowywania plików wyskoczył błąd: Błąd otwarcia pliku do zapisu c:\32788R22FWJFW\swxcacls.3xe Wybierz Anuluj, aby przerwać instalację, Ponów aby ponowić zapis do pliku lub Ignoruj, aby pominąć ten plik. I co mam z tym zrobić ?? EDIT Odinstalowałem ComboFix, ściągnąłem nowy i dalej to samo po wypakowaniu wyłącza się Więc mam dalej próbować odpalić Kombofix czy przeskanować OTL ?