Rookit-ZeroAccess

[jrr]

Witam.

 

Mam problem najprawdopodobniej z Rookitem Zero Access. W tym momencie z konieczności piszę z innego komputera. Na tym, który mnie interesuje pojawiły się jak dotąd następujące objawy:

 

- z początku przekierowanie stron po otwarciu z Google na inne, niż wyszukiwane; obecnie brak możliwości otwarcia jakichkolwiek stron www, oprócz strony z bankowością internetową (hmm, ciekawe swoją drogą, czy to jakieś zabezpieczenie ze strony banku, czy też rookit celowo pozostawił mi możliwość zalogowania się i przechwycenia hasła)

- brak możliwości uruchamiania (nie wiem, czy wszystkich) plików .exe (np. Nero) i standardowy komunikat: ''System Windows nie może uzyskać dostępu do określonego urządzenia...''

- problemy z uruchomieniem (lub dokończeniem skanowania) większości skanerów antywirusowych, niedziałący WindowsUpdate. Wypróbowałem wszystkie cztery RemovalTool'sy do tego trojana. Jeden go nie wykrył w ogóle. Natomiast trzy pozostałe:

 

- od BitDefender'a stwierdził, że rookita usunął (co jest rzecz jasna nieprawdą)

- Webroot w pozycji ''check rookit device'' pokazuje ''Found!'', w ''system disk class driver state'' - ''Infected!'', a na końcu w podsumowaniu - ''Your system is not infected by...'' (hmm)

- od Kaspersky'ego po restarcie systemu znajduje ciągle to samo.

 

W załączeniu logi z OTL, Gmera (ale tylko preskan, bo przy pełnym po jakimś czasie progam się wyłącza), SecurityCheck oraz TDSSKiller.

 

Rozumiem (choć nie wiem, czy dobrze), że program DOSBox 0.74 do emulacji starych gier, nie jest emulatorem wirtualnego napędu i nie trzeba go usuwać.

 

Trochę już minęło odkąd ostatnim razem i na poprzednim forum jeszcze prosiłem Panią Picasso o pomoc. Spodziewałem się jednak, iż prędzej czy później zrobię to ponownie ; ) Przez myśl przeszedł mi oczywiście format c, ale jeśli jest jakaś szansa tego uniknąć i dowiedzieć się czegoś na przyszłość, będę wdzięczny.

OTL.Txt

Extras.Txt

Gmer.txt

TDSSKiller.2.6.11.0_21.10.2011_19.48.29_log.txt

[Landuss]

Infekcja ZeroAccess jest w stanie czynnym.

 

1. Rozpocznij od użycia ESET Win32/Sirefef Trojan remover i zresetuj komputer.

 

2. Następnie uruchom ComboFix i przedstaw wynikowy raport oraz wykonaj nowe logi z OTL.

[jrr]

Witam.

 

Tym razem Eset znalazł rookita w pliku afd.sys i go zdezynfekował. Po restarcie systemu uruchomiłem Combofix. Proces skanowania i dezynfekcji przebiegł w miarę sprawnie. W załączniku logi.

OTL.Txt

ComboFix.txt

[Landuss]

Infekcja wygląda na opanowaną. Jeszcze teraz poprawki.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\System32\c_91860.nl_
C:\WINDOWS\System32\drivers\afd.sys.vir
c:\documents and settings\Tramp-Tour\Dane aplikacji\14AAD
c:\documents and settings\Tramp-Tour\Ustawienia lokalne\Dane aplikacji\a36f7020
 
:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (catchme)
O3 - HKU\S-1-5-21-117609710-706699826-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

[jrr]

Nie wiem, czy to ważne, ale nie mogę usunąć aplikacji 4f2iti7z (Gmer) z pulpitu (''...odmowa dostępu. Sprawdź czy dysk nie jest zapełniony lub chroniony przed zapisem oraz, czy plik nie jest aktualnie używany'').

OTL.Txt

Log po wykonaniu skryptu.txt

[picasso]

Nie wiem, czy to ważne, ale nie mogę usunąć aplikacji 4f2iti7z (Gmer) z pulpitu (''...odmowa dostępu. Sprawdź czy dysk nie jest zapełniony lub chroniony przed zapisem oraz, czy plik nie jest aktualnie używany'').

 

1. To są skutki po rootkicie, który zeruje listę kontroli dostępu ACL dla aplikacji próbujących odczytać komponenty rootkit. Sprawę rozwiąże GrantPerms. W oknie wklej:

 

C:\Documents and Settings\Tramp-Tour\Pulpit\4f2iti7z.exe

 

Zastosuj opcję Unlock. Jeśli jest więcej plików w taki sposób zaprawionych, powklejaj je także do okna GrantPerms.

 

2. Tam jeszcze w autoryzacjach zapory był wpis po infekcji. Poza tym, są odpadki po stosowanych skanerach, w tym męczy błąd niemożności uruchomienia sterownika Ad-aware:

 

Error - 2011-10-22 18:20:01 | Computer Name = FUJITSU-SIEMENS | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   Lbd

 

Przepuść w OTL miniaturowy skrypt dedykujący powyższe:

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Tramp-Tour\Dane aplikacji\14AAD\51E20.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lbd]
 
:OTL
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
DRV - [2010-11-09 14:56:12 | 000,098,392 | ---- | M] (Sunbelt Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE)
[2011-10-21 16:30:27 | 000,309,320 | ---- | C] (BitDefender S.R.L.) -- C:\WINDOWS\System32\drivers\TrufosAlt.sys
[2011-10-21 12:46:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
[2011-10-21 01:23:17 | 000,027,984 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\sbbd.exe
[2011-10-21 13:05:59 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\SBRC.dat
[2011-10-21 00:18:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Tramp-Tour\Ustawienia lokalne\Dane aplikacji\Threat Expert
[2011-10-21 00:12:03 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PC Tools
[2011-10-21 00:07:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\PC Tools

 

3. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"c:\documents and settings\Tramp-Tour\Pulpit\ComboFix.exe" /uninstall

 

Po tym uruchom również Sprzątanie w OTL.

 

4. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. Przedstaw raport, o ile zostanie znalezione zagrożenie. Wyników typu OK/Archive/Packed/Password Protected nie przeklejaj.

 

 

 

 

.

[jrr]

Zrobione. Skanowanie Kasperskim standardowe (system memory, hidden startup objects, disk boot sectors) nie wykazało zagrożenia. Jakieś rady końcowe?

 

Folder (config.msi) i plik (boot.bak) na partycji C rozumiem, że można spokojnie skasować. W podobnym wątku czytałem coś o resecie ustawień zapory. Jasne jest też, że muszę zaktualizować OpenOffice. Ciągle to sobie powtarzam, ale zdaje się, że powiedzenie 'przyzwyczajenie drugą naturą człowieka' sprawdza się w moim przypadku znakomicie.

 

Mam jeszcze parę nurtujących pytań związanych z tym trojanem:

 

- możliwość otwarcia z karty ulubionych wyłącznie strony z bankowością internetową, jak już pisałem w pierwszym poście. Czy to celowe działanie rookita, czy zabezpiecznie ze strony banku?

- czy format c i zainstalowanie systemu na nowo w tym przypadku pomogłoby? A jeśli tak, to czy istnieją w ogóle wirusy, które mogą się odtworzyć na nowym systemie?

- czy koniecznym jest zmiana haseł w serwisach? Czy po logach (lub w jakiś inny sposob) da się odczytać, czy rookit przechwycił je w jakiś sposób (lub chciał to zrobić)?

 

 

EDIT: Uruchomiłem pełne skanowanie Kasperskim (zaznaczyłem wszystkie możliwe obszary) i przy 18% znalazł dwa zagrożenia:

- Trojan program Trojan.Win32.Patched.mf, które znajdowało się w: C:\Program files\HP\Digital Imaging\bin\hpqusgl.exe.

- ten sam trojan w C:\Sytem Volume Information\_restore{AB188....exe

 

Oba Kasperski zdezynfekował. Po zakończeniu skanowania umieszczę log.

 

 

EDIT#2: Zamieszczam log ze znalezionymi zagrożeniami. Skończyło się na dwóch. Raportu ze skanowania nie mogę zamieścić, ponieważ waży ponad 60 MB.

 

 

EDIT#3: Po ponownym uruchomieniu systemu i pełnego skanowania, Kaspersky nic nie znalazł.

Detected threats.txt

[picasso]

EDIT: Uruchomiłem pełne skanowanie Kasperskim (zaznaczyłem wszystkie możliwe obszary) i przy 18% znalazł dwa zagrożenia:

- Trojan program Trojan.Win32.Patched.mf, które znajdowało się w: C:\Program files\HP\Digital Imaging\bin\hpqusgl.exe.

- ten sam trojan w C:\Sytem Volume Information\_restore{AB188....exe

 

Oba Kasperski zdezynfekował. Po zakończeniu skanowania umieszczę log.

 

Wprawdzie deinstalacja ComboFix miała resetować zawartość Przywracania systemu, ale Kaspersky wynalazł post factum kopię zarażonego obiektu HP. Toteż wykonaj ręczne czyszczenie tych folderów: INSTRUKCJE.

 

 

Jasne jest też, że muszę zaktualizować OpenOffice. Ciągle to sobie powtarzam, ale zdaje się, że powiedzenie 'przyzwyczajenie drugą naturą człowieka' sprawdza się w moim przypadku znakomicie.

 

W sumie do aktualizacji będzie to wszystko:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{14F5121B-E4D9-4236-BB73-364CC5C0CFC8}" = OpenOffice.org 2.1
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"7-Zip" = 7-Zip 4.42
"AC3Filter" = AC3Filter (remove only)
"ffdshow_is1" = ffdshow [rev 2886] [2009-04-20]
"Gadu-Gadu" = Gadu-Gadu 6.1
"Skype_is1" = Onet.pl - Skype 3.0

 

Zaś GG6 to jakaś potworna męczarnia. Do wglądu temat Darmowe komunikatory, solidna propozycja jako alternatywny klient Gadu to WTW.

 

 

Folder (config.msi) i plik (boot.bak) na partycji C rozumiem, że można spokojnie skasować.

 

Można je skasować, a bliżej o config.msi tu: KLIK.

 

 

W podobnym wątku czytałem coś o resecie ustawień zapory.

 

Autoryzacja infekcji z zapory już tu została usunięta.

 

 

- możliwość otwarcia z karty ulubionych wyłącznie strony z bankowością internetową, jak już pisałem w pierwszym poście. Czy to celowe działanie rookita, czy zabezpiecznie ze strony banku?

- czy format c i zainstalowanie systemu na nowo w tym przypadku pomogłoby? A jeśli tak, to czy istnieją w ogóle wirusy, które mogą się odtworzyć na nowym systemie?

- czy koniecznym jest zmiana haseł w serwisach? Czy po logach (lub w jakiś inny sposob) da się odczytać, czy rookit przechwycił je w jakiś sposób (lub chciał to zrobić)?

 

- Nie wiem dlaczego akurat ta strona była jedyną, która potrafiła się otworzyć. Jest to pierwszy przypadek na forum z ZeroAccess, gdzie takie coś wystąpiło.

- Format pomógłby na tę infekcję. Są jednak infekcje, które potrafią po formacie się uaktywnić, m.in. wirusy w wykonywalnych (o ile zbackupowano gen wirusa w jakimś pliku na innej partycji niż systemowa czy mediach przenośnych)

- Tak, wymiana haseł ściśle zalecana. Nie da się tego odczytać z logów i akcja do wykonania nawet na wyrost, by potem nie płakać.

 

 

 

.

[jrr]

Większość aplikacji już aktualizowałem. Komunikatorów w zasadzie w ogóle nie używam.

 

Secunia OSI raportuje, że mam gdzieś w systemie Adobe Flash Player w wersji 9 (NPAPI), a w 'Dodaj lub usuń programy' tego nie ma (jest to, co instalowałem, a więc wersja 11). Powinienem się tym przejmować i próbować to jakoś odinstalować?

Przy instalacji OpenOffice zainstalowała się Java 6. Javę 7 doinstalowałem osobno, zgodnie z zaleceniami. Secunia raportuje, że posiadam wersję 6.0.220.4, a powinienem mieć 6.0.290.3. Faktycznie? A jeśli faktycznie, to jak to wpłynie na Javę zintegrowaną z OO.

Ponadto Secunia wskazuje, że IE 8 również nie jest bezpieczny i przedstawia szereg niezainstalowanych poprawek KB z Microsoft Update. Dziwne, bo aktualizacje miałem zwyczajowo włączone.

 

Jak już jestem przy aktualizacjach to to, co niepokoi mnie najbardziej, to fakt, iż nie mogę zainstalować narzędzia do usuwania złośliwego oprogramowania z października (KB890830). Próbowałem przez WindowsUpdate. Pobrało się, instalacja trwa chwile, nawet informuje, że 'Instalacja zakończona', po czym po chwili ponownie pojawia się w trayu zółta ikonka z tą samą aktualizacją. I tak w kółko. Próbowałem również ręcznie pobrać poprawkę na dysk i zainstalować ją, ale po dwukliku i chwili wypakowywania, nie dzieje się nic.

 

Reset zapory tak czy owak zrobiłem, bo w wyjątkach jakoś dziwnie dużo było usług HP.

 

Poza tym, przy starcie systemu, tuż przed pokazaniem się loga XP, na czarnym ekranie z możliwością wyboru między standardowym uruchomieniem, a Recovery Console, pojawił się następujący komunikat, którego wcześniej nie było: 'do not select this [debugowanie włączone]'.

 

Mam jeszcze pytanie odnośnie JavaScript w AdobeReader. Czy wyłączenie ich w tym programie (gdzieś o tym przeczytałem) zwiększa bezpieczeństwo i jak wpływa na funkcjonowanie Readera?

[picasso]

Reset zapory tak czy owak zrobiłem, bo w wyjątkach jakoś dziwnie dużo było usług HP.

 

Te autoryzacje były normalne, co drugi log z Hewlett-Packard takowe posiada.

 

 

Secunia OSI raportuje, że mam gdzieś w systemie Adobe Flash Player w wersji 9 (NPAPI), a w 'Dodaj lub usuń programy' tego nie ma (jest to, co instalowałem, a więc wersja 11). Powinienem się tym przejmować i próbować to jakoś odinstalować?

 

Prawdopodobnie Flash 9 to jest pokłosie instalacji oprogramowania HP, które do do działania swojego Centrum wymaga Flash, a producent niestety kolportuje zdezaktualizowany plug. Sprawdź w katalogu C:\Windows\System32\Macromed\Flash czy jest tam wariant 9, a jeśli jest = to wyjaśni detekcję Secunia.

 

 

Przy instalacji OpenOffice zainstalowała się Java 6. Javę 7 doinstalowałem osobno, zgodnie z zaleceniami. Secunia raportuje, że posiadam wersję 6.0.220.4, a powinienem mieć 6.0.290.3. Faktycznie? A jeśli faktycznie, to jak to wpłynie na Javę zintegrowaną z OO.

 

Najświeższy OpenOffice.org instaluje Java 6 update 22. Ile wystąpień Java 6 masz aktualnie na liście Dodaj / Usuń i jaka ścieżka jest wybrana w konfiguracji OpenOffice.org?

 

 

Jak już jestem przy aktualizacjach to to, co niepokoi mnie najbardziej, to fakt, iż nie mogę zainstalować narzędzia do usuwania złośliwego oprogramowania z października (KB890830). Próbowałem przez WindowsUpdate. Pobrało się, instalacja trwa chwile, nawet informuje, że 'Instalacja zakończona', po czym po chwili ponownie pojawia się w trayu zółta ikonka z tą samą aktualizacją. I tak w kółko. Próbowałem również ręcznie pobrać poprawkę na dysk i zainstalować ją, ale po dwukliku i chwili wypakowywania, nie dzieje się nic.

 

Wykonaj reset Windows Update za pomocą aplikacji Fix-it z zaznaczonym trybem agresywnym (KB971058), następnie spróbuj pobrać narzędzie na dysk (KLIK).

 

 

Mam jeszcze pytanie odnośnie JavaScript w AdobeReader. Czy wyłączenie ich w tym programie (gdzieś o tym przeczytałem) zwiększa bezpieczeństwo i jak wpływa na funkcjonowanie Readera?

 

To wyłączanie JavaScript to było obejście na określone luki w Adobe Reader, przejściowe do czasu łatania oficjalnego, i tyczyło starszych wersji.

 

 

Poza tym, przy starcie systemu, tuż przed pokazaniem się loga XP, na czarnym ekranie z możliwością wyboru między standardowym uruchomieniem, a Recovery Console, pojawił się następujący komunikat, którego wcześniej nie było: 'do not select this [debugowanie włączone]'.

 

Ta modyfikacja BOOT.INI to sprawka ComboFix. W opisie (KLIK) w sekcji "Skutki uboczne" jest to opisane. Wystarczy wykonać edycję BOOT.INI.

 

 

 

.

[jrr]

Prawdopodobnie Flash 9 to jest pokłosie instalacji oprogramowania HP, które do do działania swojego Centrum wymaga Flash, a producent niestety kolportuje zdezaktualizowany plug. Sprawdź w katalogu C:\Windows\System32\Macromed\Flash czy jest tam wariant 9, a jeśli jest = to wyjaśni detekcję Secunia.

 

Katalog taki istnieje, ale po wejściu do niego znaleźć można 'FlashUtil11c_ActiveX' , a więc wersję 11 zdaje się.

 

EDIT: Przyjrzałem się jeszcze raz temu, co wyświetla skaner Secunia. Wskazuje on dokładnie na plik NPSWF32.dll, czyli Shockwave Flash 9.

Mam go ręcznie usunąć?

 

 

Najświeższy OpenOffice.org instaluje Java 6 update 22. Ile wystąpień Java 6 masz aktualnie na liście Dodaj / Usuń i jaka ścieżka jest wybrana w konfiguracji OpenOffice.org?

 

Na liście jest tylko Java 6 Update 22 i Java 7 Update 1. OpenOffice mam zainstalowany na dysku D, zatem nie jest to partycja systemowa.

A Secunia wskazuje na: C:\Program Files\Java\jre6\bin\java.exe.

 

 

 

Wykonaj reset Windows Update za pomocą aplikacji Fix-it z zaznaczonym trybem agresywnym (KB971058), następnie spróbuj pobrać narzędzie na dysk (KLIK).

 

Dziwna sprawa z tą aktualizacją. Wykonałem powyższe kroki. Po pobraniu narzędzia do złośliwego oprogramowania na dysk i uruchomieniu, 2 sekundy trwa 'Extracting files' i na tym się kończy. Zdaje się, że w trayu zółtka ikonka już się nie pojawia, aczkolwiek, gdy uruchamiam WindowsUpdate, za każdym razem znajduje mi tą samą aktualizację, już pobraną i gotową do zainstalowania. Zatwierdzam instalację. Strona informuje o zakończeniu instalacji powodzeniem. Następnie historia się powtarza.

 

WindowsUpdate sugeruje jeszcze uaktualnienie do rozszerzenia MicrosoftUpdate, ale nie wiem, czy warto.

 

EDIT#2: No niestety, męcząca ikonka w trayu znów się pojawiła.

Edytowane 26 Października 2011 przez jrr

[picasso]

Katalog taki istnieje, ale po wejściu do niego znaleźć można 'FlashUtil11c_ActiveX' , a więc wersję 11 zdaje się.

 

EDIT: Przyjrzałem się jeszcze raz temu, co wyświetla skaner Secunia. Wskazuje on dokładnie na plik NPSWF32.dll, czyli Shockwave Flash 9.

Mam go ręcznie usunąć?

 

To co podajesz w katalogu C:\Windows\System32\Macromed\Flash to nie jest właściwa wtyczka Flash tylko jej (de)instalator. Właściwe wtyki to:

 

 

To było wiadome (wersja NPAPI), że chodzi o plik NPSWF32.dll (wersja Firefox/Opera). Na Twojej liście zainstalowanych widać inną wersję (ActiveX) dla Internet Explorer:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

 

Tę starą dziewiątkę NPSWF32.dll można usunąć z dysku.

 

 

Na liście jest tylko Java 6 Update 22 i Java 7 Update 1.

 

To się zgadza z tym co mówi Secunia:

 

 

Secunia raportuje, że posiadam wersję 6.0.220.4, a powinienem mieć 6.0.290.3.

 

Gdzie Ty widzisz Java 6 update 29? Można tu zrobić inaczej: odinstalować Java 6 Update 22 i zainstalować na czysto Java SE 6 Update 29 (notabene: konsekwencja to wstawienie pliku w wersji 6.0.290.11). OpenOffice.org będzie korzystać z tej Java (sam ją wykryje bez interwencji), nie z 7 którego nie widzi.

 

 

WindowsUpdate sugeruje jeszcze uaktualnienie do rozszerzenia MicrosoftUpdate, ale nie wiem, czy warto.

 

Microsoft Update to "większe pole", czyli dostarczanie aktualizacji do innych produktów MS, nie tylko stricte łatek Windows (KB901037). Jakoś nie widzę u Ciebie na liście zainstalowanych dodatków MS, które ten proces obejmowałby.

 

 

Dziwna sprawa z tą aktualizacją. Wykonałem powyższe kroki. Po pobraniu narzędzia do złośliwego oprogramowania na dysk i uruchomieniu, 2 sekundy trwa 'Extracting files' i na tym się kończy. Zdaje się, że w trayu zółtka ikonka już się nie pojawia, aczkolwiek, gdy uruchamiam WindowsUpdate, za każdym razem znajduje mi tą samą aktualizację, już pobraną i gotową do zainstalowania. Zatwierdzam instalację. Strona informuje o zakończeniu instalacji powodzeniem. Następnie historia się powtarza.

 

EDIT#2: No niestety, męcząca ikonka w trayu znów się pojawiła.

 

Instalacja tej aktualizacji nie wygląda tu znowuż na "nienormalną", błysk instalacyjny i po zabawie, bo też tu nawet nie ma instalacji w normalnym rozumieniu (to zaledwie rozpakowanie do folderu + skopiowanie MRT.EXE do katalogu Windows), choć po powinien się automatycznie otworzyć skaner MRT. Tylko tu pojawia się problem, dlaczego jest Ci ta aktualizacja podsuwana w kółko, mimo zamontowania tego już. Na pewno Fixit użyłeś z zaznaczonym trybem agresywnym (czyści m.in. SoftwareDistribution, gdzie są pobierane aktualizacje gotowe do zainstalowania)?

 

Pytania: czy jesteś w stanie uruchomić bezpośrednio z dysku (bądź go skasować) plik skanera C:\Windows\system32\MRT.exe, jaka jest wersja tego pliku (powinna być 4.1.5503.0)? Pytanie o zdolność uruchomienia / skasowania pod kątem zachowania ZeroAccess, może on zresetował ACL narzędzia, plik zwraca Odmowę dostępu, dlatego "instalacja" nie może go nadpisać nowszą wersją. Gdyby tak było, w GrantPerms przepuszczasz plik MRT.EXE i nadpisujesz ponowną instalacją.

 

 

 

.

[jrr]

czy jesteś w stanie uruchomić bezpośrednio z dysku (bądź go skasować) plik skanera C:\Windows\system32\MRT.exe, jaka jest wersja tego pliku (powinna być 4.1.5503.0)? Pytanie o zdolność uruchomienia / skasowania pod kątem zachowania ZeroAccess, może on zresetował ACL narzędzia, plik zwraca Odmowę dostępu, dlatego "instalacja" nie może go nadpisać nowszą wersją. Gdyby tak było, w GrantPerms przepuszczasz plik MRT.EXE i nadpisujesz ponowną instalacją.

 

Strzał w dziesiątkę, w tym tkwił cały szkopuł : ) Skaner co prawda się nie uruchamia, ale gdzieś czytałem, że uaktywnia się tylko wtedy, jak coś znajdzie. Zatem wszystko jest już w porządku.

 

 

Gdzie Ty widzisz Java 6 update 29?

 

Ja nie widziałem nigdzie, tylko Secunia Online sugerowała po przeskanowaniu, że jest już wersja Java 6 u 29 i jest ona 'bezpieczniejsza dla mojego komputera', czy jakoś tak ; ) Ale skoro to tylko zmiana kosmetyczna, to sobie daruję.

 

 

Już wiem, dlaczego tak się zwykle przyzwyczajam do programów i nie przepadam za ich aktualizowaniem. Po zainstalowaniu nowego OpenOffice'a, pojawił mi się problem ze zgodnością dokumentów tekstowych z poprzednimi wersjami OO i MO. Każdy otwarty dokument w nowym programie zapisany w formatach z programów poprzednich, nie wyświetla się poprawnie. Chodzi tu dokładnie o funkcję 'wyjustuj' w wierszach samodzielnie dzielonych (shift+del), która nie działa. W ustawieniach edytora, w zakładce zgodność, jest co prawda coś co pomaga, ale tylko na ten konkretny, otwarty plik. A trudno przecież, żeby ręcznie otwierać każdy plik z osobna i tą opcję zaznaczać : (

 

 

Serdecznie Wam dziękuję za pomoc w walce z wirusem : )