Jawor86

Dziękuję za szybką odpowiedź. Wykonuję teraz pełne skanowanie Avastem, jakby były jakieś niepokojące rezultaty, to je umieszczę. Pozdrawiam

Cześć, Jakiś czas temu miałem problem z rootkitem zero access, ale dzięki Picasso został on rozwiązany. Dzisiaj przeskanowałem laptopa aplikacją Malwarabytes AntiMalware (pełne skanowanie) i niby znalazł 2 rootkity zero access, w tych miejscach: C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Chciabym się zapytać czy jest to powód do niepokoju, powód do przedstawienia specjalistycznych logów na forum. Chciałbym zaznaczyć, że laptop zachowuję się w porządku. Zainstalowany avast niczego nie sygnalizował. Nie wiem skąd tym razem pojawił się ten plik, może była to jakaś pozostałość po starej infekcji

Wielkie dzięki za pomoc. Temat można chyba zamknąć. Obym jak najrzadziej zakład tematy na forum w tym dziale

Recycle zniknęły. Pozostałe katalogi bez zmian, nie został dodany atrybut systemowy. Rozumiem, że w katalogu MSOCache, mogę dodać ręcznie atrybut ukryty we właściwościach folderu?

Jest zaznaczona opcja ukryj chronione pliki systemu operacyjnego oraz nie pokazuj ukrytych plików, folderów i dysków. Ponowne wyłączenie i załączenie tych opcji nie daje żadnego efektu. EDIT: Wszedłem we właściwości każdego z folderów i wybrałem atrybut ukryty. Pliki zostały ukryte. Co do RecycleBin, mogę je chociaż ukryć? Po generalnie one wnoszą tylko bałagan w strukturę folderów na partycji, więc nie muszę ich widzieć?

katalogi config.msi, MSOCache, Recovery są dalej widoczne na partycji C po sprzątaniu wykonanym OTLem. Mogę usunąć ze wszystloch partycji katalog $RecycleBin?

combofix wykrył, że ochrona rezydenta Antyvir Desktop jest aktywna i mam ją zamknąć przed wciśnięciem ok? Aviry nie instalowałem od czasu jej usunięcia. Dałem ok, pojawił się okno błędu bez informacji oraz później kolejne okno, że combofix został odinstalowany. Hasła bankowe, które nie zapamiętują się w wyszukiwarkach też mam zmienić? Od czasu pojawienia się rootkita nie logowałem się do banku ani razu.

C:\Users\Jawor\Downloads\ComboFix.exe /uninstall Wyświetla mi się umowa licencyjna, jak wcześniej przed uruchomieniem, kiedy skanowałem kompa program combofix, tak ma być?

1. Nie można odnaleźć pliku combofix.exe 2. Rozumiem, że haseł pocztowych również? 3. K-lite codec nie zamierzam odinstalowywać, bo tylko sobie narobię przez to kłopotu - obecnie mam porządek z codecami i wszystkie filmy mi działają.

Znowu moja nieuwaga Log po przetworzeniu skryptu - http://wklej.org/id/638808/ EDIT: Dlaczego pojawiły się kłódki na kilku katalogach, nowe katalogi z kłódkami, dlaczego nie mogę wogóle wejść do c:\documents and settings? Czy po "sprzątaniu" wszystko wróci do normy?

2. http://wklej.org/id/638786/ 3. http://wklej.org/id/638791/ *zaginiony w akcji log (z katalogu _OTL) http://wklej.org/id/638793/ EDIT: Niektóre z katalogów zostały zakłódkowane, pojawiły się też nowe zakłódkowane katalogi... http://imageshack.us...ybitowejgs.png/ c:\document and settings\ nie mogę tam wogóle wejść Jakiego antyvirusa polecasz zainstalować? Myślałem o NOD32, obecnie jestem bez żadnego AV. Zależy mi oprócz skuteczności na tym, aby jak najmniej obciążał zasoby pamięciowe komputera.

- Pełny raport KVRT to notatnik zajmujący 104 mb, zawierający spis wszystkich przeskanowanych plików:) Nawet mój laptop ma problem z odpaleniem takiego pliku. Jest to zakładka przed lub po detected threats. - Postaram się znaleźć w katalogu c:\_OTL brakujący poprzedni log i zamieścić? - tradycyjnie Twoje zalecenia wykonam po powrocie z pracy Pozdrawiam

- "Znalazłem kolejny podejrzany plik w C:\Users\Jawor\Pictures\chksrv bez roszerzenia, 0 bajtów wg właściwości." Usunąłem go ręcznie, ale miała miejsce dziwna sytuacja, kliknąłem PPM/Właściwości/Zakładka zabezpieczenia, pojawiła się na chwilę klepsydra i zniknął jeden z uprawnionych użytkowników (bardzo długa nazwa, różne znaki, z takim małym czerwonym elementem na ikonie) i pojawił się użytkownik SYSTEM. - pliki noname z poniższych miejsc również zostały USUNIĘTE c:\program files\lenovo\bluetooth software\ d:\programs\hotspot shield\bin\ d:\programs\hotspot shield\hsswpr\ d:\programs\hotspot shield\bin\ c:\program files\intel\intel matrix storage manager\ d:\programs\alcohol 120\starwind\ C:\Program Files\Western Digital\WD Drive Manager\ 1. Log po skrypcie zaginął. Nie wiem, jak to się stało:/ 2. Log po skrypcie na pliki bez nazwy: http://wklej.org/id/638011/ 3. Log z ad-remover http://wklej.org/id/638013/ 4. Log z OTLa ze skanu z powodu 1 powinienem dorzucić? 5. KRVT - detected threats http://wklej.org/id/638212/ 6. Raport z pełnego skanu KRVT również podklejić?

Po prostu człowiek chce jak najszybciej uporać się z infekcją i często czyta "po łebkach" pewne mimo wszystko bardzo istotne teksty, a tak naprawdę istnieje wtedy duże prawdopodobieństwo, że czas leczenia infekcji ulegnie znacznemu przedłużeniu. Mądry Polak po szkodzie

Przyznam również szczerze, że robiąc wcześniej skan OTLem nie sprawdziłem następujących checków: Wszystkie sekcje ustawione na Użyj filtrowania (Use SafeList) (ten akurat sprawdziłem) Należy zaznaczyć Wszyscy użytkownicy (Scan All Users) Dodatkowo postawić ptaszki przy pozycjach Infekcja LOP (LOP Check) + Infekcja Purity (Purity Check) Czy zrobić dodatkowo scan OTLem ze sprawdzeniem tych wszystkich opcji? Przyznam szczerze bez bicia, że obecnie nadrabiam zaległości odnośnie wszystkich podpiętych tematów, wczoraj nie przeczytałem wszystkiego.

- Zawieszenie Nvidii miało miejsce po wgraniu wczoraj najnowszych sterowników. Może odinstaluję sterowniki z panelu sterowania i później poprzez menedżer urządzeń i zainstaluję jeszcze raz? - Potwierdzam, że w poniższych miejscach są pliki noname. c:\program files\lenovo\bluetooth software\ d:\programs\hotspot shield\bin\ d:\programs\hotspot shield\hsswpr\ d:\programs\hotspot shield\bin\ c:\program files\intel\intel matrix storage manager\ d:\programs\alcohol 120\starwind\ C:\Program Files\Western Digital\WD Drive Manager\ Czyli mam użyć komendy poniższej komendy z powyższymi wpisami w trybie awaryjnym? :Processes killallprocesses :Files del "\\?\C:\Program files\Avira\Antivir Desktop\ " /C del "\\?\C:\Program files\Kolejny program\ " /C - Odnośnie skanera Antywirusowego w celu końcowego konkretnego sprawdzenia, wystarczy ten KRVT czy mam spróbować zainstalować Avirę i wykonać skan (lub np. NOD32)? Ewentualnie, który mogłabyś polecić?

- Przede wszystkim sterowniki poprzedniki były zainstalowane od nowości (rok 2009), nie doinstalowałem nowych sterowników do grafiki do dnia wczorajszego. Nie będę już przesyłał wyników cząstkowych zgodnie z zaleceniem. - W katalogu Program Files nie ma już śladu po Avirze i dziwnym pliku, który znajdował tam - Na pewno w tym miejscach znajdują się jeszcze dziwne pliki (przede wszystkim odinstaluję wszystkie te aplikacje) c:\program files\lenovo\bluetooth software\btwdins.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, nie było przy początkowych skanowaniach komunikatu dotyczącego zarażenia, np.jak w przypadku aviry, c:\program files\Avira\AntiVir Desktop\avguard.exe . . . jest zainfekowany!! c:\program files\Avira\AntiVir Desktop\avguard.exe . . . was deleted!! You should re-install the program it pertains to, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, jeszcze tego nie odinstalowałem) d:\programs\hotspot shield\bin\openvpnas.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plikó udało mi się odinstalować, pogrubionego exeka również nie ma) d:\programs\hotspot shield\hsswpr\hsssrv.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plików udało mi się odinstalować, pogrubionego exeka również nie ma) d:\programs\hotspot shield\bin\hsswd.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plików udało mi się odinstalować, pogrubionego exeka również nie ma) c:\program files\intel\intel matrix storage manager\iaantmon.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plikó udało mi się odinstalować, pogrubionego exeka również nie ma) c:\windows\system32\nvvsvc.exe - to zarażony (został usunięty przez Combofixa), ale w tym katalogu nie znalazłem dziwnego pliku, tak naprawdę ciężko go znaleźć, gdyż plików jest bardzo dużo, mogłem jakiś przeoczyć d:\programs\alcohol 120\starwind\starwindserviceae.exe - to zarażony (więc został usunięty przez Combofixa), oprócz tego jest plik noname C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plikó udało mi się odinstalować, pogrubionego exeka również nie ma) - generalnie to nie wiem, w jaki sposób będę później szukał tych dziwnych plików, czy jakieś jeszcze istnieją w systemie - martwi mnie c:\windows\system32\nvvsvc.exe, ponieważ we wskazanych lokalizacjach, do których dobierał się Combofix, pojawiał się plik noname, a tu mam problem ze znalezieniem takiego - czy w KRVT mam zaptaszkować wszystkie opcje w konfiguracji i dopiero puścić skanowanie? - resztę zaleceń zastosuję około 15.30, jak tylko wrócę z pracy Pozdrawiam

Co w związku z Nvidią? Zainstalowałem najnowsze sterowniki, wcześniej były zainstalowane na rok 2009. Teraz podniosłem wersję, nie odinstalowałem starych, w panelu sterowania nie mogę już odinstalować starszej NVIDII. Co mam teraz zrobić? W takim razie nie robię już loga z OTL-skanuj. Będziemy usuwać te pozostałe dziwne pliki noname z innych katalogów? Co do GMERA, przed jego uruchomieniem wyrzuciłem Daemon Toolsa, nie wiem co jeszcze mogę zrobić w tej kwestii. Miałem bardzo dziwną sytuację, po raz pierwszym od 2,5 roku zawiesił mi się laptop, po czym pojawił się ciemny ekran z niebiskimi paskami i kwadracikiem w dziwnych kolorach na środku bardzo małym. Wszystko lekko drgało...Ponadto miejsce na dysku C zanika, dzisiaj spadło o jakieś 5 gb. EDIT: Przypomniało mi się, że mam jeszcze Acronic Disc Detector, być może o to czepiał się GMER. Mój błąd, przepraszam.

1. Usunięte 2. http://wklej.org/id/637689/ C:\Program files\Avira\Antivir Desktop zniknął ten katalog całkowicie. Nie ma już tego pliku bez nazwy Istnieją jednak w reszcie katalogów (hotspot,alcohol,i innych wskazanych wcześniej w poście). Czy teraz będę mógł już bez problemu zainstalować Avirę? Alcohol odinstalowałem, tak samo hotspot shield. Nie chcę tego już instalować ponownie. Zainstalowałem jedynie najnowsze stery do grafiki, bo nvvsvc.exe dotyczny karty graficznej. 4. http://wklej.org/id/637704/ 5. Czy mam zrobić skan KVRT? Nie poinstruowałem wcześniej, aby przeskanował wszystkie obszary.

2. chyba źle wypełniłem skrypt, teraz poprawiłem i wczytałem jeszcze raz, najpierw wywalił błąd z cmd.bat a teraz przywiesił się na killing process - dont interrupt (już 30 min), w tle widnieje linijka del "\\?\D:\Programs\Alcohol 120\StarWind\ " /C. Wymusiłem sam restart kompa. Od razu się spytam odnośnie przyszłego formatu dysku (o ile taki będzie konieczne), rozumiem, że będę musiał zrobić format C na przykład przy użyciu płyty Win 7 z instalatorem systemu, czy muszę wykonać również format pozostałych partycji? Chciałbym sobie oczywiście przegrać część danych na dysk zewnętrzny, czy jak go podepnę do kompa z infekcją, dysk zostanie również zarażony infekcją? Czy mam po prostu pilnować, żeby nie przekopiować plików z kłódką bądź noname'ów i to wystarczy, żeby zapobiec przed infekcją dysku zewnętrznego? Znalazłem kolejny podejrzany plik w C:\Users\Jawor\Pictures\chksrv bez roszerzenia, 0 bajtów wg właściwości. Chciałbym również wykonać sobie backup profilu firefoxa łącznie z hasłami, czy jest to rozsądne w obecnej sytuacji?

1. W dalszym ciągu nie można odinstalować ani usunąć Aviry. Jeszcze wcześniej (przed Twoją odp.) użyłem registry avira cleaner, bo myślałem, że to może pomóc. Nie mogę usunąć żadnego pliku z katalogu aviry. 2.http://wklej.org/id/637547/ skrypt, który puściłem (narazie wybrałem 2 lokalizacje, żeby wogóle sprawdzić czy dobrze wprowadziłem skrypt): :Processes killallprocesses :Files del "\\?\C:\Program files\Avira\Antivir Desktop\ " /C del "\\?\D:\Programs\Alcohol 120\StarWind\ " /C 3.Ani w katalogu drivers, ani system 32, ani w katalogach plików zainfekowanych nie ma plików z kłódkami. Nawet wpis Trojan.Agent/Gen-ZAccess C:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-WINSOCK-CORE_31BF3856AD364E35_6.1.7601.17603_NONE_D9F97E05BCA8003A\AFD.SYS wyszukany przez SuperAntiSpyware nie ma kłódki, dlatego też jeszcze go nie usuwałem przy użyciu tego narzędzia. 4. sfc/scannow http://wklej.org/id/637553/ 5. OTL http://wklej.org/id/637555/ http://wklej.org/id/637556/ 6. GMER - http://wklej.org/id/637563/

Cześć, Miałem w systemie tego wspomnianego Rootkita, jednak nie wiem czy jest już do końca czysto. Przyznam szczerze, że pomagała mi osoba z innego forum. 1) Stworzyłem log z AnitZeroAccess 2) Stworzyłem log z Combofix 3) Stworzyłem log TDSSKiller 4) Stworzyłem log z OTL. 1) Antizeroaccess http://wklej.org/id/636859/ 2)Combofix http://wklej.org/id/636880/ 3)TDSkiller http://wklej.org/id/636881/ 4)OTL http://wklej.org/id/636885/ Te pliki były zainfekowane: c:\program files\Avira\AntiVir Desktop\avguard.exe . . . jest zainfekowany!! c:\program files\Avira\AntiVir Desktop\avguard.exe . . . was deleted!! You should re-install the program it pertains to . c:\windows\system32\nvvsvc.exe . . . jest zainfekowany!! c:\windows\system32\nvvsvc.exe . . . was deleted!! You should re-install the program it pertains to . d:\programs\Alcohol 120\StarWind\StarWindServiceAE.exe . . . jest zainfekowany!! d:\programs\Alcohol 120\StarWind\StarWindServiceAE.exe . . . was deleted!! You should re-install the program it pertains to 5) został usunięty C:\Users\Jawor\AppData\Local\2a464039 6) C:\Program Files\Avira\AntiVir Desktop\avguard.exe - to zarażony c:\program files\lenovo\bluetooth software\btwdins.exe d:\programs\hotspot shield\bin\openvpnas.exe d:\programs\hotspot shield\hsswpr\hsssrv.exe d:\programs\hotspot shield\bin\hsswd.exe c:\program files\intel\intel matrix storage manager\iaantmon.exe c:\windows\system32\nvvsvc.exe - to zarażony d:\programs\alcohol 120\starwind\starwindserviceae.exe - to zarażony C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe Do tych miejsc "dobierał się" combofix. Plik zarażone zostały usunięte, ale we wszystkich miejscach-wskazanych powyżej lokalizacjach (nawet tam, gdzie pliki nie były zarażone) są pozostałości (wirusy?) po działaniu combofixa, które wyglądają w ten sposób: http://imageshack.us...221/avirao.png/ Program GrantPrems nie pomaga w usunięciu tych plików bez nazwy o rozszerzeniu plik. Usuwanie w sposób ręczny powoduje: - Błąd 0x800700091 katalog nie jest pusty. - próba wpisania nazwy zwraca komunikat, że plik używany jest przez inny program KVRT nie znalazł żadnych zagrożeń, tak samo Malwarebytes oraz Spybot. Poniżej ostatni log z Combofixa. http://wklej.org/id/637268/ Jeszcze log z SuperAntiSpyware http://wklej.org/id/637337/