Michal222 Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Witam, Dziś próbowałem ściągnąć winrar'a, ale niestety avast wykrył błąd i zablokował połączenie więc spróbowałem z innego źródła ale niestety było to samo, więc dałem sobie spokój ale nagle pokazało mi błąd że system nie jest zabezpieczony. Próbowałem wybrać "uruchom osłony" ale niestety bez skutku, odinstalowałem program i zainstalowałem ponownie i nadal jest to samo. W ogóle avast nie działa i na nic nie reaguje. Wklejam logi z OTL. Z góry dziękuję za pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
Michal222 Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Bardzo prosił bym o pomoc, bo nie mam pojęcia co teraz zrobic a nie chciał bym formatować komputera. I teraz nie wiem co zrobic zeby ten wirus dalej nie poszedl, zeby nie bylo gorzej Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Michal222, zasady działu: KLIK. Jest napisane wyraźnie, by czekać cierpliwie na pomoc i nie "przypominać" nowymi postami. My tu nie siedzimy 24/7. Co mam w dziale widzę i gdy jestem odpowiadam bez zaczepek samodzielnie. Również, używałeś ComboFix, a nic na ten temat tu nie ma. Na przyszłość: KLIK. W raporcie jest sterownik rootkita Necurs: ========== Services (SafeList) ========== SRV:64bit: - [2012-11-20 20:31:48 | 000,075,720 | ---- | M] () [unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\eaa517fb4505ee47.sys -- (eaa517fb4505ee47)DRV:64bit: - [2012-11-20 20:31:48 | 000,075,720 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\eaa517fb4505ee47.sys -- (eaa517fb4505ee47) Rootkit ten ma w zadaniach m.in. blokadę oprogramowania zabezpieczającego, co wyjaśniałoby całkowity nokaut Avast. Wiele innych sterowników w Twoim raporcie również wykazuje cechy zablokowane (brak poboru danych) + jest i taki odczyt z "corrupted" na sterowniku Broadcom: DRV:64bit: - [File Corrupted - Detail Data unreadable] [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) Cyfrowy plik utworzony mniej więcej wtedy, gdy paczka z keygenem, co nasuwa przypuszczenia, że załatwiłeś się na własne życzenie: [2012-11-20 20:31:48 | 000,075,720 | ---- | M] () -- C:\Windows\SysNative\drivers\eaa517fb4505ee47.sys[2012-11-20 20:26:53 | 008,558,125 | ---- | M] () -- C:\Users\Michał\Desktop\Everest_Ultimate_Engineer_Edition_v4.00.976_PORTABLE_with_Keygen.rar Przeprowadź następujące działania: 1. Uruchom zgodnie z instrukcjami ESET Necurs Remover. 2. Po restarcie na Pulpicie pojawi się znak wodny Trybu testowego. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę: bcdedit /set testsigning off Zresetuj system. 3. Następnie doczyszczenie szczątków adware i usunięcie podejrzanej paczki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}] :Files C:\ProgramData\Babylon C:\Users\Michał\AppData\Roaming\Babylon C:\Users\Michał\Desktop\Everest_Ultimate_Engineer_Edition_v4.00.976_PORTABLE_with_Keygen.rar :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Potwierdź, że Tryb testu zniknął z Pulpitu. . Odnośnik do komentarza
Michal222 Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Wszystko zrobiłem tak jak jest rozpisane. Zrobiłem nowy log. Tryb testowy zniknął, avast teraz działa. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Infekcja pomyślnie usunięta, sterowniki zostały odblokowane i wróciły do normy (pobór danych). 1. Usuń przemianowany przez ESET plik Necurs. Przez SHIFT+DEL skasuj: C:\Windows\system32\drivers\eaa517fb4505ee47.sys.vir 2. Wyczyść po używanych narzędziach: w OTL uruchom Sprzątanie, co skasuje OTL z kwarantanną oraz szczątki nieszczęsnego ComboFixa. Przez SHIFT+DEL dokasuj folder C:\Windows\erdnt. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Avast wrócił do życia, przeprowadź nim pełny skan całego systemu. Jeśli coś wykryje, zaprezentuj wyniki do oceny. . Odnośnik do komentarza
Michal222 Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Zrobiłem tak jak w instrukcji i wszystko jest już ok, avast nic nie wykrył- 0 błędów. Dziękuję Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Na zakończenie: 1. Zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg raportu obecnie system w ogóle nieaktualizowany oraz zainstalowane wersje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 24"{3248F0A8-6813-11D6-A77B-00B0D0150210}" = J2SE Runtime Environment 5.0 Update 21"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"ENTERPRISE" = Microsoft Office Enterprise 2007"Microsoft SQL Server 10" = Microsoft SQL Server 2008"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1424618650-2090464540-56948201-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"FileZilla Client" = FileZilla Client 3.5.0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) W podsumowaniu: odinstaluj wyliczone stare Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zaktualizuj Firefox i FileZilla, zainstaluj SP3 dla Office 2007, zainstaluj SP dla Microsoft SQL Server 2008 (KB968382) oraz wykonaj pełną aktualizację Windows (SP1 + IE9 + reszta łat). 2. Prewencyjnie zmień hasła logowania w serwisach. PS. Widzę także zainstalowane katastrofalne Gadu-Gadu 10. Zabójca zasobów. Polecam wymianę na alternatywny program z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi