Brang Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Witam mam problem z tym scierwem Live Security Platinum nie mam pojecia jak usunac probowalem wszystkiego juz chyba wyczerpalem sie z pomyslow OTL http://wklej.org/id/792056/ Extras http://wklej.org/id/792057/ Bym byl bardzo wdzieczny za pomoc : > Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Masz rootkita ZeroAccess w najnowszym wydaniu. Potrzebny log uzupełniający. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. Odnośnik do komentarza
Brang Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 log z systemlook http://wklej.org/id/792082/ Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\Windows\iqs.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [glptoep] C:\Users\Pan Adrian\AppData\Local\eyckwn.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Microsoft Firevall Engine] c:\Windows\iqs.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Microsoft Windows System] C:\Users\Pan Adrian\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Windows Explorer] C:\Users\Pan Adrian\AppData\Roaming\explorer.exe (E1JN1 Ydxj ANf) O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Windows Login access] C:\Users\Pan Adrian\AppData\Roaming\web2net.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Windows Primary Login] C:\Users\Public\R-344233-5553-2-32\update32.exe (YHo4zX RyTOJi DHh5ffh) O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\RunOnce: [0C1D14C0D808807E0FA26A362C62368F] C:\ProgramData\0C1D14C0D808807E0FA26A362C62368F\0C1D14C0D808807E0FA26A362C62368F.exe () O4 - Startup: C:\Users\Pan Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dmrcj.exe () F3:64bit: - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000 WinNT: Load - (C:\Users\PANADR~1\LOCALS~1\Temp\msacoowaj.exe) - File not found F3 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000 WinNT: Load - (C:\Users\PANADR~1\LOCALS~1\Temp\msacoowaj.exe) - File not found O7 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\efdadsaasd C:\Windows\SysNative\mnixl.exe C:\Users\Pan Adrian\P-7-78-8964-9648-3874 C:\Users\Pan Adrian\AppData\Roaming\ClassesB.exe C:\Users\Pan Adrian\AppData\Roaming\Google.exe C:\Windows\Installer\{126ceac4-364d-ed9c-67cb-011e564a81d1} C:\ProgramData\0C1D14C0D808807E0FA26A362C62368F C:\ProgramData\F4D562C80157C5BA039CF510C74733BE C:\Users\Pan Adrian\Desktop\Live Security Platinum.lnk C:\Users\Pan Adrian\AppData\Roaming\-995991123.dll netsh winsock reset /C :Reg [HKEY_USERS\S-1-5-21-1520881077-2148629583-2945995674-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Free software Gooofull toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Brang Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Farbar http://wklej.org/id/792114/ OTL http://wklej.org/id/792120/ Systemlook http://wklej.org/id/792121/ Dzieki wielkie za pomoc Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 (edytowane) Sytuacja jest coraz lepsza, ale jest jeszcze co robić. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv) - pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS. Edytowane 18 Sierpnia 2012 przez picasso 18.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi