Jawor86 Opublikowano 29 Listopada 2011 Zgłoś Udostępnij Opublikowano 29 Listopada 2011 Cześć, Miałem w systemie tego wspomnianego Rootkita, jednak nie wiem czy jest już do końca czysto. Przyznam szczerze, że pomagała mi osoba z innego forum. 1) Stworzyłem log z AnitZeroAccess 2) Stworzyłem log z Combofix 3) Stworzyłem log TDSSKiller 4) Stworzyłem log z OTL. 1) Antizeroaccess http://wklej.org/id/636859/ 2)Combofix http://wklej.org/id/636880/ 3)TDSkiller http://wklej.org/id/636881/ 4)OTL http://wklej.org/id/636885/ Te pliki były zainfekowane: c:\program files\Avira\AntiVir Desktop\avguard.exe . . . jest zainfekowany!! c:\program files\Avira\AntiVir Desktop\avguard.exe . . . was deleted!! You should re-install the program it pertains to . c:\windows\system32\nvvsvc.exe . . . jest zainfekowany!! c:\windows\system32\nvvsvc.exe . . . was deleted!! You should re-install the program it pertains to . d:\programs\Alcohol 120\StarWind\StarWindServiceAE.exe . . . jest zainfekowany!! d:\programs\Alcohol 120\StarWind\StarWindServiceAE.exe . . . was deleted!! You should re-install the program it pertains to 5) został usunięty C:\Users\Jawor\AppData\Local\2a464039 6) C:\Program Files\Avira\AntiVir Desktop\avguard.exe - to zarażony c:\program files\lenovo\bluetooth software\btwdins.exe d:\programs\hotspot shield\bin\openvpnas.exe d:\programs\hotspot shield\hsswpr\hsssrv.exe d:\programs\hotspot shield\bin\hsswd.exe c:\program files\intel\intel matrix storage manager\iaantmon.exe c:\windows\system32\nvvsvc.exe - to zarażony d:\programs\alcohol 120\starwind\starwindserviceae.exe - to zarażony C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe Do tych miejsc "dobierał się" combofix. Plik zarażone zostały usunięte, ale we wszystkich miejscach-wskazanych powyżej lokalizacjach (nawet tam, gdzie pliki nie były zarażone) są pozostałości (wirusy?) po działaniu combofixa, które wyglądają w ten sposób: http://imageshack.us...221/avirao.png/ Program GrantPrems nie pomaga w usunięciu tych plików bez nazwy o rozszerzeniu plik. Usuwanie w sposób ręczny powoduje: - Błąd 0x800700091 katalog nie jest pusty. - próba wpisania nazwy zwraca komunikat, że plik używany jest przez inny program KVRT nie znalazł żadnych zagrożeń, tak samo Malwarebytes oraz Spybot. Poniżej ostatni log z Combofixa. http://wklej.org/id/637268/ Jeszcze log z SuperAntiSpyware http://wklej.org/id/637337/ Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2011 Zgłoś Udostępnij Opublikowano 29 Listopada 2011 Należało podać gdzie prowadzono temat, ale już sobie znalazłam sama. Poza tym, prócz logów "wczorajszych" muszą być logi dzisiejsze, zrobione na nowo dla porównania jak się mogła zmienić sytuacja. KVRT nie znalazł żadnych zagrożeń, tak samo Malwarebytes oraz Spybot. Spybota możesz spokojnie pożegnać. Archaiczny program, gdzie mu do poziomu ZeroAccess. Do tych miejsc "dobierał się" combofix. Plik zarażone zostały usunięte, Te aplikacje muszą zostać przeinstalowane. Tak namieszałeś w tamtym temacie, że jest w ogóle niejasne co zostało przeinstalowane a co nie, i jeszcze mowa o niedziałającej Avira. Plik zarażone zostały usunięte, ale we wszystkich miejscach-wskazanych powyżej lokalizacjach (nawet tam, gdzie pliki nie były zarażone) są pozostałości (wirusy?) po działaniu combofixa, które wyglądają w ten sposób Program GrantPrems nie pomaga w usunięciu tych plików bez nazwy o rozszerzeniu plik. Usuwanie w sposób ręczny powoduje: - Błąd 0x800700091 katalog nie jest pusty. - próba wpisania nazwy zwraca komunikat, że plik używany jest przez inny program To wygląda na pliki infekcji. ZeroAccess tworzy bowiem takie pliki pozornie bez nazwy, które są nieusuwalne właśnie ze względu na to, że mają wadliwą nazwę. Takie pliki na forum były już notowalne w katalogu system32, system32\drivers, a tu widzę że także i w folderze programu. Pliki tego rodzaju mają w logach odczyt "not found" = system ich nie widzi, a skoro nie widzi ich system, nie zobaczy ich żadne narzędzie stosujące ten sam typ poboru danych co Windows. To nie są pozostałości po ComboFix, ComboFix takich plików nie tworzy, on (jeśli wykryje w predefiniowanych mu miejscach) je ... usuwa. I w logu jest plik z tej serii oznaczony jako usunięty przez ComboFix: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\system32\ 1. Z tego co rozumiem, aktualnie Avira jest totalnie poszkodowana, nie da się odinstalować. Uruchom GrantPerms i w oknie wklej: C:\Program files\Avira C:\program files\Avira\AntiVir Desktop klik w Unlock. I sprawdź czy można ponowić deinstalację Avira. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files del "\\?\C:\Program files\Avira\Antivir Desktop\ " /C del "\\?\C:\Program files\Kolejny program\ " /C (pod ten model komendy z syntaxem omijającym weryfikację nazw masz wstawić wszystkie ścieżki, gdzie widzisz takie pliki bez nazwy, zauważ, że po końcowym \ a przed zamknięciem cudzysłowia jest spacja) Klik w Wykonaj skrypt. Przedstaw log wynikowy z usuwania. 3. Nie odpowiedziałeś na pytanie, które ja zadaję ponownie: (...) w katalogu drivers popatrz czy są pliki z takimi ikonami kłódek (afd na obrazku to tylko przykład z mojej wirtualnej maszyny zainfekowanej ZeroAccess): Wypisz wszystkie pliki z taką ikoną. 4. Następnie: Uruchom komendę sfc /scannow i przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK. Podaj raport wynikowy. W sumie pokazujesz: log z wynikami usuwania z punktu 2, log z wynikami SFC z punktu 4 oraz zrobione po wszystkim nowe logi OTL (włącznie z Extras = opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania") + GMER. . Odnośnik do komentarza
Jawor86 Opublikowano 29 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2011 1. W dalszym ciągu nie można odinstalować ani usunąć Aviry. Jeszcze wcześniej (przed Twoją odp.) użyłem registry avira cleaner, bo myślałem, że to może pomóc. Nie mogę usunąć żadnego pliku z katalogu aviry. 2.http://wklej.org/id/637547/ skrypt, który puściłem (narazie wybrałem 2 lokalizacje, żeby wogóle sprawdzić czy dobrze wprowadziłem skrypt): :Processes killallprocesses :Files del "\\?\C:\Program files\Avira\Antivir Desktop\ " /C del "\\?\D:\Programs\Alcohol 120\StarWind\ " /C 3.Ani w katalogu drivers, ani system 32, ani w katalogach plików zainfekowanych nie ma plików z kłódkami. Nawet wpis Trojan.Agent/Gen-ZAccess C:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-WINSOCK-CORE_31BF3856AD364E35_6.1.7601.17603_NONE_D9F97E05BCA8003A\AFD.SYS wyszukany przez SuperAntiSpyware nie ma kłódki, dlatego też jeszcze go nie usuwałem przy użyciu tego narzędzia. 4. sfc/scannow http://wklej.org/id/637553/ 5. OTL http://wklej.org/id/637555/ http://wklej.org/id/637556/ 6. GMER - http://wklej.org/id/637563/ Odnośnik do komentarza
Jawor86 Opublikowano 29 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2011 2. chyba źle wypełniłem skrypt, teraz poprawiłem i wczytałem jeszcze raz, najpierw wywalił błąd z cmd.bat a teraz przywiesił się na killing process - dont interrupt (już 30 min), w tle widnieje linijka del "\\?\D:\Programs\Alcohol 120\StarWind\ " /C. Wymusiłem sam restart kompa. Od razu się spytam odnośnie przyszłego formatu dysku (o ile taki będzie konieczne), rozumiem, że będę musiał zrobić format C na przykład przy użyciu płyty Win 7 z instalatorem systemu, czy muszę wykonać również format pozostałych partycji? Chciałbym sobie oczywiście przegrać część danych na dysk zewnętrzny, czy jak go podepnę do kompa z infekcją, dysk zostanie również zarażony infekcją? Czy mam po prostu pilnować, żeby nie przekopiować plików z kłódką bądź noname'ów i to wystarczy, żeby zapobiec przed infekcją dysku zewnętrznego? Znalazłem kolejny podejrzany plik w C:\Users\Jawor\Pictures\chksrv bez roszerzenia, 0 bajtów wg właściwości. Chciałbym również wykonać sobie backup profilu firefoxa łącznie z hasłami, czy jest to rozsądne w obecnej sytuacji? Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2011 Zgłoś Udostępnij Opublikowano 29 Listopada 2011 (edytowane) Zastrzeżenia do logów: - Posługujesz się przestarzałą wersją OTL by OldTimer - Version 3.2.10.0. Zawsze należy pobierać OTL od nowa, przecież narzędzie nieustannie się zmienia (nowe komendy / przełączniki / poprawki poboru danych i usuwania...). Proszę pobierz najnowszy OTL z linków tu na forum. - GMER uruchomiony w złych warunkach - nie usunąłeś sterownika SPTD od emulacji napędów wirtualnych: DRV - [2009-12-20 23:10:27 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Trojan.Agent/Gen-ZAccessC:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-WINSOCK-CORE_31BF3856AD364E35_6.1.7601.17603_NONE_D9F97E05BCA8003A\AFD.SYS To jest plik systemowy i nie może być usuwany. SFC naprawił te szkody po ZeroAccess: 2011-11-29 20:21:41, Info CSI 000001a7 [sR] Cannot repair member file [l:14{7}]"afd.sys" of Microsoft-Windows-Winsock-Core, Version = 6.1.7601.17603, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2011-11-29 20:21:41, Info CSI 000001a8 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"afd.sys" by copying from backup2011-11-29 20:21:41, Info CSI 000001aa [sR] Repair complete Sprawdź ponownie czy SUPERAntispyware coś w nim widzi. Teraz po operacji SFC nie powinno już być tej detekcji. KVRT nie znalazł żadnych zagrożeń, tak samo Malwarebytes oraz Spybot. A poinstruowałeś Kaspersky Virus Removal Tool w konfiguracji, by skanował wszystkie obszary? Kaspersky powinien wykryć to co SUPERAntispyware. skrypt, który puściłem (narazie wybrałem 2 lokalizacje, żeby wogóle sprawdzić czy dobrze wprowadziłem skrypt) I źle go przeklejałeś, najwyraźniej przez cytowanie mojej odpowiedzi. Przekleiłeś do skryptu tagi forum. Nie wykonała się wcale komenda zabijania procesów. W związku z tym błąd procedury, uwolnienie od procesów było tu podstawą przed próbą usuwania. A że Ty nie mówisz nic o skasowaniu tych pustych plików = to znaczy że się nie skasowały? W dalszym ciągu nie można odinstalować ani usunąć Aviry. Jeszcze wcześniej (przed Twoją odp.) użyłem registry avira cleaner, bo myślałem, że to może pomóc. Nie mogę usunąć żadnego pliku z katalogu aviry. Skoro użyłeś Avira Registry Cleaner, to przecież odciąłeś drogę do normalnej deinstalacji (i nic dziwnego, że brak wejścia Avira w Dodaj / Usuń). W takiej sytuacji trzeba ręcznie to wykończyć. Katalogu Avira nie możesz ruszyć pewnie dlatego, że działają sterowniki Avira, które chronią dostęp do komponentów: DRV - [2011-10-19 16:56:50 | 000,134,344 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)DRV - [2011-10-19 16:56:50 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)DRV - [2011-10-19 16:56:50 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)DRV - [2010-06-17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | Unknown | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) Przy okazji od razu zaadresuję usuwanie innych widzialnych w OTL szczątków. 1. Na początek odinstaluj Spybot search & Destroy, wątpliwe vShare Plugin + vShare.tv plugin oraz Yahoo! BrowserPlus. Te trzy ostatnie wpisy wyglądają na szczątki i system pewnie zapyta, czy usuwać puste wpisy, na co wyraź zgodę. 2. Przejdź w Tryb awaryjny Windows. Uruchom najnowszy OTL i w sekcji Własne opcje skanowania / skrypt wklej (przeklejaj proszę wprost z mojego posta a nie pokrętnymi metodami): :Processes killallprocesses :OTL SRV - [2011-11-29 17:03:54 | 000,110,032 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) DRV - [2011-10-19 16:56:50 | 000,134,344 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2011-10-19 16:56:50 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011-10-19 16:56:50 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010-06-17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | Unknown | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) O2 - BHO: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O2 - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found. O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - Reg Error: Key error. File not found FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2011-06-09 12:41:48 | 000,081,920 | ---- | M] (vShare.tv ) -- C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll :Files rd /s /q C:\ProgramData\Avira /C rd /s /q "C:\Program files\Avira" /C rd /s /q "C:\Users\Jawor\AppData\Roaming\Avira" /C rd /s /q "C:\ProgramData\Kaspersky Lab" /C Klik w Wykonaj skrypt. 3. Nadal nie przeinstalowane oprogramowanie i uszkodzenia po ZeroAccess: SRV - File not found [Auto | Stopped] -- D:\Programs\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)SRV - File not found [Auto | Stopped] -- C:\Windows\System32\nvvsvc.exe -- (nvsvc)SRV - File not found [Auto | Stopped] -- D:\Programs\Hotspot Shield\bin\hsswd.exe -- (HssWd)SRV - File not found [Auto | Stopped] -- D:\Programs\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv)SRV - File not found [Auto | Stopped] -- D:\Programs\Hotspot Shield\bin\openvpnas.exe -- (HotspotShieldService) Wszystko przeinstaluj. Dopiero po tym: 4. Tworzysz nowy log z OTL do oceny (Extras już nie potrzebuję) oraz załączasz wyniki usuwania skryptem z punktu 2. EDIT: pisałam nie widząc nowego posta. Na razie na te pytania nie odpowiadam. Wykonaj instrukcje podane teraz. . Edytowane 29 Listopada 2011 przez picasso Odnośnik do komentarza
Jawor86 Opublikowano 29 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2011 1. Usunięte 2. http://wklej.org/id/637689/ C:\Program files\Avira\Antivir Desktop zniknął ten katalog całkowicie. Nie ma już tego pliku bez nazwy Istnieją jednak w reszcie katalogów (hotspot,alcohol,i innych wskazanych wcześniej w poście). Czy teraz będę mógł już bez problemu zainstalować Avirę? 3. Nadal nie przeinstalowane oprogramowanie i uszkodzenia po ZeroAccess: SRV - File not found [Auto | Stopped] -- D:\Programs\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) SRV - File not found [Auto | Stopped] -- C:\Windows\System32\nvvsvc.exe -- (nvsvc) SRV - File not found [Auto | Stopped] -- D:\Programs\Hotspot Shield\bin\hsswd.exe -- (HssWd) SRV - File not found [Auto | Stopped] -- D:\Programs\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv) SRV - File not found [Auto | Stopped] -- D:\Programs\Hotspot Shield\bin\openvpnas.exe -- (HotspotShieldService) Wszystko przeinstaluj. Alcohol odinstalowałem, tak samo hotspot shield. Nie chcę tego już instalować ponownie. Zainstalowałem jedynie najnowsze stery do grafiki, bo nvvsvc.exe dotyczny karty graficznej. 4. http://wklej.org/id/637704/ 5. Czy mam zrobić skan KVRT? Nie poinstruowałem wcześniej, aby przeskanował wszystkie obszary. Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2011 Zgłoś Udostępnij Opublikowano 29 Listopada 2011 (edytowane) Czy Ty przypadkiem nie przepuściłeś tego skryptu dwukrotnie? Wszystko jest "not found", a było w logu. Powtarzanie skryptu nie ma sensu, nie przetworzy po raz drugi czegoś co zostało już usunięte. Poza tym, nie podałeś nowego loga z OTL z opcji Skanuj. Alcohol odinstalowałem, tak samo hotspot shield. Nie chcę tego już instalować ponownie. Zajmę się tymi resztkami, tylko czekam na log końcowy. EDIT: log dodałeś, daj mi moment na analizę. . Edytowane 29 Listopada 2011 przez picasso Odnośnik do komentarza
Jawor86 Opublikowano 29 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2011 Co w związku z Nvidią? Zainstalowałem najnowsze sterowniki, wcześniej były zainstalowane na rok 2009. Teraz podniosłem wersję, nie odinstalowałem starych, w panelu sterowania nie mogę już odinstalować starszej NVIDII. Co mam teraz zrobić? W takim razie nie robię już loga z OTL-skanuj. Będziemy usuwać te pozostałe dziwne pliki noname z innych katalogów? Co do GMERA, przed jego uruchomieniem wyrzuciłem Daemon Toolsa, nie wiem co jeszcze mogę zrobić w tej kwestii. Miałem bardzo dziwną sytuację, po raz pierwszym od 2,5 roku zawiesił mi się laptop, po czym pojawił się ciemny ekran z niebiskimi paskami i kwadracikiem w dziwnych kolorach na środku bardzo małym. Wszystko lekko drgało...Ponadto miejsce na dysku C zanika, dzisiaj spadło o jakieś 5 gb. EDIT: Przypomniało mi się, że mam jeszcze Acronic Disc Detector, być może o to czepiał się GMER. Mój błąd, przepraszam. Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2011 Zgłoś Udostępnij Opublikowano 29 Listopada 2011 Jawor86 nic w związku z tym, to są skutki braku komunikacji i szybszych odpowiedzi niż Ty dostarczasz materiały. Skoro proszę, by wykonać coś i podać na koniec po zrobieniu wszystkiego log (to jest dla mnie największy dowód dla wykonania akcji, a nie słowa, po tym jestem w stanie wydedukować olbrzymią ilość danych pośrednich), to oczekuję kompletnego posta z wszystkimi danymi a nie uzupełnianego po kawałku. Post na forum = biorę go. Odpisywałam Ci widząc post bez loga i spekulując co zrobiłeś z nVidia. Nagle patrzę, log dodany, a to anuluje moje przypuszczenia co reinstalowałeś i z jakiego instalatora (INF a instalator z całym majdanem nVidia = dwie różne rzeczy). Odpowiadając na zaległe pytania (pomijam te ad formatu = tu nie kroi się żaden format) oraz nowe doedytowane: Czy mam zrobić skan KVRT? Nie poinstruowałem wcześniej, aby przeskanował wszystkie obszary. To można zrobić dla pewności. Znalazłem kolejny podejrzany plik w C:\Users\Jawor\Pictures\chksrv bez roszerzenia, 0 bajtów wg właściwości. Usuń. A może jest tu problem z usuwaniem? Co do GMERA, przed jego uruchomieniem wyrzuciłem Daemon Toolsa, nie wiem co jeszcze mogę zrobić w tej kwestii. Ale przecież deinstalacja Daemona i Alcohola nie usuwa ich sterownika SPTD, który zakreśliłam i którego proces usuwania jest opisany w ogłoszeniu działu. Patrz niżej, i tak go usuwamy. EDIT: Przypomniało mi się, że mam jeszcze Acronic Disc Detector, być może o to czepiał się GMER. Mój błąd, przepraszam. Nie o niego chodzi. Miałem bardzo dziwną sytuację, po raz pierwszym od 2,5 roku zawiesił mi się laptop, po czym pojawił się ciemny ekran z niebiskimi paskami i kwadracikiem w dziwnych kolorach na środku bardzo małym. Wszystko lekko drgało... Może to skutek instalacji nowych sterowników nVidia? Ponadto miejsce na dysku C zanika, dzisiaj spadło o jakieś 5 gb. Na koniec zdiagnozujemy to. Mam do tego stosowne narzędzie. Wszystko jawi się jako wykonane. Czy po Avirze nadal są jakieś widoczne odpadki w C:\Program Files? Gdzie jeszcze widzisz jakieś trefne nieusuwalne obiekty? Niedostatecznie jasno odniosłeś się do usuwania owych plików bez nazwy. Przechodząc do wykańczania resztek: 1. Zanim przejdziesz do punktu 2, musi być pewność, że HotspotShield jest zdjęty z połączeń sieciowych, w przeciwnym wypadku po wykonaniu skryptu padnie sieć. - Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na każde obecne tam połączenie pobierz Właściwości i karcie Ogólne popatrz czy nie ma komponentu HotspotShield. Jeśli takowy będzie, podświetl i odinstaluj. - Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych. W gałęzi Sterowniki niezgodne z Plug and Play oraz Karty sieciowe sprawdź czy jest coś od HotspotShield, a jeśli znajdziesz, odinstaluj. Przy okazji, czy nie ma tam jakiś pytajników / wykrzykników? Jeśli są, odinstaluj takie obiekty. - Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- -- (StarWindServiceAE) SRV - File not found [Auto | Stopped] -- -- (HssWd) SRV - File not found [Auto | Stopped] -- -- (HssSrv) SRV - File not found [Auto | Stopped] -- -- (HotspotShieldService) DRV - [2010-09-22 20:19:02 | 000,037,376 | ---- | M] (AnchorFree Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\HssDrv.sys -- (HssDrv) DRV - [2010-09-22 20:19:02 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\taphss.sys -- (taphss) FF - HKLM\Software\MozillaPlugins\@comarch.com/NOL,version=3.0: C:\Program Files\Common Files\NOL3\npn30plugin.dll File not found [2011-11-21 02:14:40 | 000,002,333 | ---- | M] () -- C:\Users\Jawor\AppData\Roaming\Mozilla\Firefox\Profiles\uty5w3nt.default\searchplugins\askcom.xml FF - prefs.js..browser.search.order.1: "{BLD_SEARCH_PLUGIN_NAME}" FF - prefs.js..browser.search.selectedEngine: "{BLD_SEARCH_PLUGIN_NAME}" Klik w Wykonaj skrypt. 3. Po Alcoholu/Daemonie pozostał sterownik SPTD: DRV - [2009-12-20 23:10:27 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) W celu jego usunięcia należy użyć dedykowane narzędzie SPTDinst: KLIK. 4. Tym razem przedstaw do oceny tylko wynik przetwarzania skryptu oraz log z AD-Remover z opcji Scan. I wypowiedz się co jeszcze należy usuwać. . Odnośnik do komentarza
Jawor86 Opublikowano 30 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2011 - Przede wszystkim sterowniki poprzedniki były zainstalowane od nowości (rok 2009), nie doinstalowałem nowych sterowników do grafiki do dnia wczorajszego. Nie będę już przesyłał wyników cząstkowych zgodnie z zaleceniem. - W katalogu Program Files nie ma już śladu po Avirze i dziwnym pliku, który znajdował tam - Na pewno w tym miejscach znajdują się jeszcze dziwne pliki (przede wszystkim odinstaluję wszystkie te aplikacje) c:\program files\lenovo\bluetooth software\btwdins.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, nie było przy początkowych skanowaniach komunikatu dotyczącego zarażenia, np.jak w przypadku aviry, c:\program files\Avira\AntiVir Desktop\avguard.exe . . . jest zainfekowany!! c:\program files\Avira\AntiVir Desktop\avguard.exe . . . was deleted!! You should re-install the program it pertains to, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, jeszcze tego nie odinstalowałem) d:\programs\hotspot shield\bin\openvpnas.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plikó udało mi się odinstalować, pogrubionego exeka również nie ma) d:\programs\hotspot shield\hsswpr\hsssrv.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plików udało mi się odinstalować, pogrubionego exeka również nie ma) d:\programs\hotspot shield\bin\hsswd.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plików udało mi się odinstalować, pogrubionego exeka również nie ma) c:\program files\intel\intel matrix storage manager\iaantmon.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plikó udało mi się odinstalować, pogrubionego exeka również nie ma) c:\windows\system32\nvvsvc.exe - to zarażony (został usunięty przez Combofixa), ale w tym katalogu nie znalazłem dziwnego pliku, tak naprawdę ciężko go znaleźć, gdyż plików jest bardzo dużo, mogłem jakiś przeoczyć d:\programs\alcohol 120\starwind\starwindserviceae.exe - to zarażony (więc został usunięty przez Combofixa), oprócz tego jest plik noname C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe (nie został usunięty przez Combofixa - nie wiem czy był zarażony, w każdym bądź razie oprócz tego pliku pojawił się w katalogu plik noname, mimo wszystko resztę plikó udało mi się odinstalować, pogrubionego exeka również nie ma) - generalnie to nie wiem, w jaki sposób będę później szukał tych dziwnych plików, czy jakieś jeszcze istnieją w systemie - martwi mnie c:\windows\system32\nvvsvc.exe, ponieważ we wskazanych lokalizacjach, do których dobierał się Combofix, pojawiał się plik noname, a tu mam problem ze znalezieniem takiego - czy w KRVT mam zaptaszkować wszystkie opcje w konfiguracji i dopiero puścić skanowanie? - resztę zaleceń zastosuję około 15.30, jak tylko wrócę z pracy Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2011 Zgłoś Udostępnij Opublikowano 30 Listopada 2011 Apropos pogrubionych, Combofix usunął tylko te, które wykrył jako spatchowane przez ZeroAccess a nie posiadające oczywistej czystej kopii (w przeciwnym wypadku pliki by podstawił), reszty nie rusza (brak podstaw). Konkretne końcowe potwierdzenie to zawsze skaner antywirusowy. Pliki "noname" = czy już wszystkie udało się skasować, gdyż to dla mnie niejasne? Jeśli "noname" jeszcze są, to powtarzasz skrypt, który podałam na początku, tylko ścieżki sobie podmieniasz - martwi mnie c:\windows\system32\nvvsvc.exe, ponieważ we wskazanych lokalizacjach, do których dobierał się Combofix, pojawiał się plik noname, a tu mam problem ze znalezieniem takiego Ale przecież mówiłam: I w logu jest plik z tej serii oznaczony jako usunięty przez ComboFix: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\system32\ Ten plik "noname" w system32 już dawno skasował sam ComboFix. Poza tym, to wcale tak nie jest, że wszędzie tam "gdzie dobiera się ComboFix" są te "nonamy". Uruchamiałam infekcję ZeroAccess na wirtualnej maszynie w celu opracowania metod usuwania, infekcja nie zawsze generuje takie pliki (by wydusić taki plik w celu przetrenowania jak go usuwać, musiałam podchodzić z dropperem infekcji aż kilka razy). Nie zawsze są zresztą w wielu miejscach, np. u mnie był tylko w system32. - czy w KRVT mam zaptaszkować wszystkie opcje w konfiguracji i dopiero puścić skanowanie? Tak. Skan bedzie długi.... - Przede wszystkim sterowniki poprzedniki były zainstalowane od nowości (rok 2009), nie doinstalowałem nowych sterowników do grafiki do dnia wczorajszego. Nie będę już przesyłał wyników cząstkowych zgodnie z zaleceniem. Zrozumiałam, że: Miałem bardzo dziwną sytuację, po raz pierwszym od 2,5 roku zawiesił mi się laptop, po czym pojawił się ciemny ekran z niebiskimi paskami i kwadracikiem w dziwnych kolorach na środku bardzo małym. Wszystko lekko drgało...Ponadto miejsce na dysku C zanika, dzisiaj spadło o jakieś 5 gb. ... to wystąpiło teraz, gdyż napisałeś to w tym samym poście, w którym stwierdziłeś, że reinstalowałeś sterowniki. I dlatego narzucił się wniosek, że update nVidia może mieć coś do rzeczy. To sprecyzuj, kiedy to zawieszenie laptopa było: przed czy po aktualizacji nvidia tu wykonanej dla reperacji szkód po ZeroAccess. . Odnośnik do komentarza
Jawor86 Opublikowano 30 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2011 - Zawieszenie Nvidii miało miejsce po wgraniu wczoraj najnowszych sterowników. Może odinstaluję sterowniki z panelu sterowania i później poprzez menedżer urządzeń i zainstaluję jeszcze raz? - Potwierdzam, że w poniższych miejscach są pliki noname. c:\program files\lenovo\bluetooth software\ d:\programs\hotspot shield\bin\ d:\programs\hotspot shield\hsswpr\ d:\programs\hotspot shield\bin\ c:\program files\intel\intel matrix storage manager\ d:\programs\alcohol 120\starwind\ C:\Program Files\Western Digital\WD Drive Manager\ Czyli mam użyć komendy poniższej komendy z powyższymi wpisami w trybie awaryjnym? :Processes killallprocesses :Files del "\\?\C:\Program files\Avira\Antivir Desktop\ " /C del "\\?\C:\Program files\Kolejny program\ " /C - Odnośnie skanera Antywirusowego w celu końcowego konkretnego sprawdzenia, wystarczy ten KRVT czy mam spróbować zainstalować Avirę i wykonać skan (lub np. NOD32)? Ewentualnie, który mogłabyś polecić? Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2011 Zgłoś Udostępnij Opublikowano 30 Listopada 2011 Finalny skrypt powinien mieć taką postać: :Processes killallprocesses :Files del "\\?\C:\Program Files\Intel\intel matrix storage manager\ " /C del "\\?\C:\Program Files\Western Digital\WD Drive Manager\ " /C del "\\?\C:\Program files\lenovo\bluetooth software\ " /C del "\\?\D:\Programs\alcohol 120\starwind\ " /C del "\\?\D:\Programs\hotspot shield\bin\ " /C del "\\?\D:\Programs\hotspot shield\hsswpr\ " /C Tryb awaryjny nie wydaje się konieczny (tu i tak jest zabijanie procesów). Awaryjny używałam w inny kontekście = osłabić uruchomione sterowniki Avira. - Odnośnie skanera Antywirusowego w celu końcowego konkretnego sprawdzenia, wystarczy ten KRVT czy mam spróbować zainstalować Avirę i wykonać skan (lub np. NOD32)? Ewentualnie, który mogłabyś polecić? Kaspersky wystarczy. - Zawieszenie Nvidii miało miejsce po wgraniu wczoraj najnowszych sterowników. Może odinstaluję sterowniki z panelu sterowania i później poprzez menedżer urządzeń i zainstaluję jeszcze raz? Ja tu sugeruję co innego, to wersja sterownika może być nieodpowiednia. Nie zawsze najnowsze znaczy najodpowiedniejsze. Wstrzymaj się jednak na razie z wszelkimi działaniami. Może to była czkawka jednorazowa. Jeżeli jednak to zacznie się powtarzać, może trzeba będzie wrócić do poprzedniej wersji nVidia. . Odnośnik do komentarza
Jawor86 Opublikowano 30 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2011 Przyznam również szczerze, że robiąc wcześniej skan OTLem nie sprawdziłem następujących checków: Wszystkie sekcje ustawione na Użyj filtrowania (Use SafeList) (ten akurat sprawdziłem) Należy zaznaczyć Wszyscy użytkownicy (Scan All Users) Dodatkowo postawić ptaszki przy pozycjach Infekcja LOP (LOP Check) + Infekcja Purity (Purity Check) Czy zrobić dodatkowo scan OTLem ze sprawdzeniem tych wszystkich opcji? Przyznam szczerze bez bicia, że obecnie nadrabiam zaległości odnośnie wszystkich podpiętych tematów, wczoraj nie przeczytałem wszystkiego. Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2011 Zgłoś Udostępnij Opublikowano 30 Listopada 2011 Wiem o tym. Czego nie przeczytałeś lub niedoczytałeś widać wprost w logach. A skoro nie jestem namolna na temat powtarzania z tymi opcjami, to znaczy że uznałam je za mało istotne w Twoim przypadku. . Odnośnik do komentarza
Jawor86 Opublikowano 30 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2011 Po prostu człowiek chce jak najszybciej uporać się z infekcją i często czyta "po łebkach" pewne mimo wszystko bardzo istotne teksty, a tak naprawdę istnieje wtedy duże prawdopodobieństwo, że czas leczenia infekcji ulegnie znacznemu przedłużeniu. Mądry Polak po szkodzie Odnośnik do komentarza
Jawor86 Opublikowano 30 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2011 - "Znalazłem kolejny podejrzany plik w C:\Users\Jawor\Pictures\chksrv bez roszerzenia, 0 bajtów wg właściwości." Usunąłem go ręcznie, ale miała miejsce dziwna sytuacja, kliknąłem PPM/Właściwości/Zakładka zabezpieczenia, pojawiła się na chwilę klepsydra i zniknął jeden z uprawnionych użytkowników (bardzo długa nazwa, różne znaki, z takim małym czerwonym elementem na ikonie) i pojawił się użytkownik SYSTEM. - pliki noname z poniższych miejsc również zostały USUNIĘTE c:\program files\lenovo\bluetooth software\ d:\programs\hotspot shield\bin\ d:\programs\hotspot shield\hsswpr\ d:\programs\hotspot shield\bin\ c:\program files\intel\intel matrix storage manager\ d:\programs\alcohol 120\starwind\ C:\Program Files\Western Digital\WD Drive Manager\ 1. Log po skrypcie zaginął. Nie wiem, jak to się stało:/ 2. Log po skrypcie na pliki bez nazwy: http://wklej.org/id/638011/ 3. Log z ad-remover http://wklej.org/id/638013/ 4. Log z OTLa ze skanu z powodu 1 powinienem dorzucić? 5. KRVT - detected threats http://wklej.org/id/638212/ 6. Raport z pełnego skanu KRVT również podklejić? Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2011 Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 Twój post nieco poprawiłam. Nie musisz mi cytować zawartości skryptów, przecież jest oczywiste co do czego się odnosi. 1. Log po skrypcie zaginął. Nie wiem, jak to się stało:/4. Log z OTLa ze skanu z powodu 1 powinienem dorzucić? Wszystkie pliki logów powinny być w katalogu C:\_OTL (gdyż z dysku C uruchamiałeś dotychczas OTL), jeśli i tam brak, to nie wiem czym mogłeś go skasować. A nowy log z OTL zrobisz dopiero po czynnościach zadanych na teraz do wykonania. 5. KRVT - detected threats http://wklej.org/id/638212/ Zagrożenia zostały wykryte w cache Java. Zbiorcze wypróżnianie cache i tak zadedykuję poniżej. 6. Raport z pełnego skanu KRVT również podklejić? Sprecyzuj o który "pełny" chodzi. Mnie interesują tylko i wyłącznie wykryte zagrożenia, inny typ wyników w raporcie nie. Usunąłem go ręcznie, ale miała miejsce dziwna sytuacja, kliknąłem PPM/Właściwości/Zakładka zabezpieczenia, pojawiła się na chwilę klepsydra i zniknął jeden z uprawnionych użytkowników (bardzo długa nazwa, różne znaki, z takim małym czerwonym elementem na ikonie) i pojawił się użytkownik SYSTEM. Ten ciąg typu S-1-..... to jest identyfikator zabezpieczeń konta tzw. SID. Każde konto (nawet Twoje) ma taki identyfikator, to co widać w zabezpieczeniach to już nazwy przełożone na "wyświetlane". Skoro jednak był on "długi", to nie mógł być to SID konta SYSTEM, które wskoczyło, gdyż to konto ma krótki ciąg. Ten "mały czerwony element" to pewnie było oznaczenie, że brak takiego konta w systemie. 1. AD-Remover widzi drobne szczątki po adware. Uruchom go w trybie Clean. 2. Drobne czyszczenie w OTL. W polu Własne opcje skanowania / skrypt wklej co poniżej i klik w Wykonaj skrypt. :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F83DEC6C-F5E6-403A-9C83-36FB1B7007E2}] :Commands [emptyjava] 3. Przedstaw nowy log z OTL z opcji Skanuj. To już prawdopodobnie będzie ostatni sprawdzany log. . Odnośnik do komentarza
Jawor86 Opublikowano 1 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 - Pełny raport KVRT to notatnik zajmujący 104 mb, zawierający spis wszystkich przeskanowanych plików:) Nawet mój laptop ma problem z odpaleniem takiego pliku. Jest to zakładka przed lub po detected threats. - Postaram się znaleźć w katalogu c:\_OTL brakujący poprzedni log i zamieścić? - tradycyjnie Twoje zalecenia wykonam po powrocie z pracy Pozdrawiam Odnośnik do komentarza
Jawor86 Opublikowano 1 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 2. http://wklej.org/id/638786/ 3. http://wklej.org/id/638791/ *zaginiony w akcji log (z katalogu _OTL) http://wklej.org/id/638793/ EDIT: Niektóre z katalogów zostały zakłódkowane, pojawiły się też nowe zakłódkowane katalogi... http://imageshack.us...ybitowejgs.png/ c:\document and settings\ nie mogę tam wogóle wejść Jakiego antyvirusa polecasz zainstalować? Myślałem o NOD32, obecnie jestem bez żadnego AV. Zależy mi oprócz skuteczności na tym, aby jak najmniej obciążał zasoby pamięciowe komputera. Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2011 Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 Kurde blade Znów się rąbnąłeś przy przeklejaniu, zjadło Ci zamknięcie klamrą i skutki: ========== COMMANDS ========== Error: Unable to interpret in the current context! Powtarzasz skrypt o zawartości: :Commands [emptyjava] A ogólny log z OTL prezentuje się dobrze. Gdy zrobisz powyższe, już przejdziemy do porządków końcowych. . Odnośnik do komentarza
Jawor86 Opublikowano 1 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 Znowu moja nieuwaga Log po przetworzeniu skryptu - http://wklej.org/id/638808/ EDIT: Dlaczego pojawiły się kłódki na kilku katalogach, nowe katalogi z kłódkami, dlaczego nie mogę wogóle wejść do c:\documents and settings? Czy po "sprzątaniu" wszystko wróci do normy? Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Dlaczego pojawiły się kłódki na kilku katalogach, nowe katalogi z kłódkami, dlaczego nie mogę wogóle wejść do c:\documents and settings? Czy po "sprzątaniu" wszystko wróci do normy? Te kłódki zostaw w spokoju. Kłódki (to oznacza określoną konfigurację uprawnień) jako element systemu to rzecz normalna, system asygnuje je do specyficznych folderów i linków symbolicznych. Z kłódkami przy ZeroAccess chodzi o coś innego, podczas gdy działa rootkit zdarza się, że zainfekowane przez niego sterowniki systemowe poddane leczeniu tracą kompletnie uprawnienia, a to można właśnie rozpoznać w szybki sposób przez pojawienie się kłódek na plikach w drivers. W katalogu drivers zasadniczo zadnych kłódek być nie powinno. Te z Twojego obrazka są w porządku i jest jak ma być: - System Volume Information: folder związany z cieniowaniem woluminu, czyli i Przywracaniem systemu / Kopią zapasową Windows. - Recovery: lokalne środowisko WinRE KLIK - MSOCache: lokalne źródło instalacji plików Office, używane przy akcjach typu naprawa KLIK - Config.msi: folder związany z aktywnością Instalatora Windows. - Documents and settings: to nie folder lecz link symboliczny wstawiony dla zachowania wstecznej kompatybilności ze starszymi systemami. Jak można zauważyć, nazwa jest "z XP". Jego rolą jest przekierowanie spojrzenia starego programu, który jest nastawiony na "Documents and settings", na nowy folder ustawień "Users". Takich linków symbolicznych jest więcej w systemie, co jest przykładowo nakreślone w tym temacie: KLIK. Obiekty są chronione przez system, stąd jest kłódka i "Odmowa dostępu". One zawsze były od początku instalacji Windows (z wyjątkiem MSOCache i Config.msi = konsekwencje instalacji programów), tylko ich nie widziałeś (mają atrybuty HS = ukryty systemowy). Objawiły się u Ciebie, bo używałeś OTL, którego procedury przestawiają widoczność obiektów w Windows, którymi standardowo się steruje przy udziale opcji Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Pokaż ukryte pliki + Ukryj chronione pliki systemu operacyjnego. Zresztą te opcje się zaraz przestawią, porządki w OTL przywracają stan pierwotny. Ukończyliśmy już zmagania ze skryptami etc. Jedziemy dalej: 1. Porządkowanie po używanych narzędziach, w tej a nie innej kolejności: - Odinstaluj AD-Remover. Ręcznie możesz oczywiście skasować GMER / GrantPerms. - Odinstaluj ComboFix, z klawiatury kombinacja klawisz z flagą Windows + R i wklej w Uruchom komendę C:\Users\Jawor\Downloads\ComboFix.exe /uninstall - W OTL uruchom Sprzątanie, co zlikwiduje bezśladowo z dysku całą kwarantannę OTL wraz z programem. 2. Dla bezpieczeństwa wymiana haseł logowania w serwisach. 3. Wykonaj aktualizacje oprogramowania. Na Twojej liście zainstalowanych widzę m.in. wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"KLiteCodecPack_is1" = K-Lite Codec Pack 5.5.1 (Full)"Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl) Szczegóły aktualizacyjne: INSTRUKCJE. Dla uwypuklenia, są tu dwie wersje Flash do aktualizacji, dla IE i Firefox. Zakładam, że wszystkie łaty do Windows i Office grzeją miejsce. 4. Zainstaluj oprogramowanie zabezpieczające: Jakiego antyvirusa polecasz zainstalować? Myślałem o NOD32, obecnie jestem bez żadnego AV. Zależy mi oprócz skuteczności na tym, aby jak najmniej obciążał zasoby pamięciowe komputera. Może być ESET (zakładam, że mowa o legalnym a nie krakowanym). Z darmowych proponuję jeden z tych: Avast, Panda Cloud Antivirus, Microsoft Security Essentials. Aviry nie ponawiam ze względu na integrację świństwa Ask Toolbar, Avast za darmo daje więcej funkcji niż Avira poprzez przymus ze sponsorem. Poza tym, co to ma znaczyć, by program zabezpieczający stosował taktykę charakterystyczną dla "adware". Kompromitacja, obniżenie poziomu zaufania do producenta. 5. Mówiłeś: Ponadto miejsce na dysku C zanika, dzisiaj spadło o jakieś 5 gb. W trakcie leczenia były już czyszczone lokalizacje tymczasowe, choć to nie jest permanentne. Procedura deinstalacji ComboFix resetuje foldery Przywracania systemu, co powinno mieć częściowy wpływ na redukcję zajętego miejsca. Możesz także przez SHIFT+DEL skasować z dysku folder z kopią rejestru C:\Windows\ERDNT utworzony przez ComboFix. Natomiast po punktach 3+4 znów się zagnieżdżą obiekty w miejscach już kilkukrotnie czyszczonych, dlatego po ukończeniu tych zadań ponownie wyczyść lokalizacje tymczasowe (KLIK) oraz foldery Przywracania systemu (KLIK). Jeśli nadal będzie problem z miejscem na dysku, przeprowadź analizę za pomocą darmowego SpaceSniffer. Program należy uruchomić opcją Uruchom jako Administrator, a zanim przystąpisz do skanowania dysku, ustaw z menu Edit > Configure > Show Unknown Space. . Odnośnik do komentarza
Jawor86 Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 1. Nie można odnaleźć pliku combofix.exe 2. Rozumiem, że haseł pocztowych również? 3. K-lite codec nie zamierzam odinstalowywać, bo tylko sobie narobię przez to kłopotu - obecnie mam porządek z codecami i wszystkie filmy mi działają. Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 1. Nie można odnaleźć pliku combofix.exe Widocznie go usunąłeś. Pobierz ComboFix w to miejsce, które adresuje komenda, ponów komendę deinstalacji. 2. Rozumiem, że haseł pocztowych również? To jak najbardziej należy do definicji "logowania w serwisach". 3. K-lite codec nie zamierzam odinstalowywać, bo tylko sobie narobię przez to kłopotu - obecnie mam porządek z codecami i wszystkie filmy mi działają. Ostrzegam Cię jednak, że paczka jest nieco sfatygowana (changelog), zainstalowana w wersji pełnej a nie podstawowej (to stwarza większe pole dla konfliktu w powłoce Windows). Twoja decyzja. . Odnośnik do komentarza
Rekomendowane odpowiedzi