Problem Opublikowano 1 Grudnia 2011 Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 Witam, Mam na imię Problem. Na kompie ( Windows XP , SP3 ) antywirus AVG Free Edition 2012 wykrył wirusa o nazwie - Backdoor.Generic26.QP i kilka innych teraz nigdzie nie są widoczne:/ Lokalizacja podana przez AVG - C:\windows\assembly\GAC_MSIL\Desktop.ini Niestety leczenie przez AVG nie daje rezultatu , pojawia się komunikat : "Usunięcie obiektu nie jest możliwe przy użyciu zaawansowanych technik.Przenoszenie obiektu do kwarantanny nie powiodło się.Czy na pewno chcesz usunąć C:\windows\assembly\GAC_MSIL\Desktop.ini " po wyborze "TAK" komunikat : "Skanuj wymaga ponownego uruchomienia " po uruchomieniu sytuacja się powtarza itd. Próbowałem uruchomić ComboFix tak jak w podobnym poście ale ładuje się i nie do końca... i nie moge tak na prawdę z niego skorzystać, odłączałem od sieci, wyłączałem zapory, odinstalowałem kasperskiego i nic. (teraz mam AVG 2012) (załączam 2 logi z OTL, nie wiedziałem jakie funkcje zaznaczyć, pierwsza jest skromna, szybki skan, dużo ograniczeń zaś druga na full pełne wszystko, przepraszam za kłopot) +log z hijackthis nie wytrzymam z tym kompterem:( Proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 (załączam 2 logi z OTL, nie wiedziałem jakie funkcje zaznaczyć, pierwsza jest skromna, szybki skan, dużo ograniczeń zaś druga na full pełne wszystko, przepraszam za kłopot) +log z hijackthis Wiedziałbyś, gdybyś przeczytał zasady działu i przyjrzał się na konfigurację programu: KLIK. Log jest źle skonfigurowany - wszędzie ma być Użyj filtrowania. A HijackThis nie jest tu przyjmowany (usuwam), to jest program za słaby w bieżących warunkach, w pełni zastępuje go OTL. Próbowałem uruchomić ComboFix tak jak w podobnym poście ale ładuje się i nie do końca... i nie moge tak na prawdę z niego skorzystać, odłączałem od sieci, wyłączałem zapory, odinstalowałem kasperskiego i nic. (teraz mam AVG 2012) ComboFix to nie jest narzędzie domowego użytku, stosowane bez żadnych przygotowań i sprawdzenia systemu (!): KLIK. Ponadto, namieszałeś w antywirusach, aktualnie wspólnie działają resztki Kasperskiego z AVG. Bardzo niezdrowa sytuacja. AVG Free Edition 2012 wykrył wirusa o nazwie - Backdoor.Generic26.QP i kilka innych teraz nigdzie nie są widoczne:/Lokalizacja podana przez AVG - C:\windows\assembly\GAC_MSIL\Desktop.ini Niestety leczenie przez AVG nie daje rezultatu Zawartość katalogu C:\Windows\assembly jest niedostępna w pełni spod Windows Explorer, w związku z tym nie widzisz tego co tam faktycznie jest. Folder jest znacznie bardziej rozbudowany. Druga sprawa: to co jest wykryte w tym folderze to obiekt od rootkita ZeroAccess i to jest jedynie podrzędny jego element. Obecność rootkita potwierdzona logiem z OTL. Wstępnie rozpocznij od użycia narzędzia Webroot AntiZeroAccess. Przedstaw log wynikowy z pracy. Dodatkowo, stwórz po tej akcji nowy log z OTL opcją Skanuj, posiłkując się konfiguracją z forum. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Witam, zrobiłem tak jak mi polecono, niestety zrobił mi się tylko jeden log z OTL a nie dwa jak jest w instrukcji. Teraz chce dodać dwa pliki z logami ale nie widze funkcji załącznik dlatego dodam po edycji. OTL.Txt AntiZeroAccess_Log.txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Teraz chce dodać dwa pliki z logami ale nie widze funkcji załącznik dlatego dodam po edycji. Załączniki widać tylko, gdy otworzy się edytor pełny. niestety zrobił mi się tylko jeden log z OTL a nie dwa jak jest w instrukcji Mówiłam: wszystkie opcje ustawione na "Użyj filtrowania". OTL uruchomiony więcej niż raz przestawia "Rejestr - skan dodatkowy" na "Brak", dlatego nie tworzy się Extras. Ale w tym konkretnym przypadku Extras po raz drugi nie jest mi potrzebny, to log główny jest najistotniejszy. Oceniając operacje, zdaje się, że Webroot dał radę i usunął podstawowe komponenty ZeroAccess. Niemniej to nie jest wszystko co należy pod tym kątem wykonać, a jeszcze notowalne inne pliki infekcji na dysku. Kolejne operacje do przeprowadzenia: 1. Odinstaluj adware pdfforge Toolbar. 2. Usuń szczątki Kasperskiego posługując się firmowym deinstalatorem Kaspersky Remover. 3. Pobierz nową kopię ComboFix, uruchom zgodnie ze wskazówkami i przedstaw raport z działania. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Przy uruchamianiu COmbofix, wyskakuje mi "wykryto zagrożenie" C:\32788R22FWJF\CMD.3XE typu Malware.gen , nie byłem wstanie wyłączyć AVG (szukałem info na forum) więc wyłączyłem klienta, wyłączyłem zaporę windosowską, kabel od internetu i dalej mi nie działa. Wyskakuje jeszcze komunikat od Combofixa: Warning!! Do not run COmboFix in compatibility Mode. Doing so may damage the machine. Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Przy uruchamianiu COmbofix, wyskakuje mi "wykryto zagrożenie" C:\32788R22FWJF\CMD.3XE typu Malware.gen , nie byłem wstanie wyłączyć AVG (szukałem info na forum) więc wyłączyłem klienta Atakuje go AVG. Należy wejść do konfiguracji AVG i wyłączyć wszystkie osłony rezydentne + restart. Dopiero wtedy można uruchomić ComboFix. Nie jest pewne też czy aby AVG nie uszkodził ComboFix. Pobierz nową świeżą kopię. Wyskakuje jeszcze komunikat od Combofixa: Warning!! Do not run COmboFix in compatibility Mode. Doing so may damage the machine. A to nie wiem skąd. Chyba nie zmieniałeś we Właściwościach pliku Trybu zgodności?! Jeśli z nowej kopii ComboFix ujrzysz znów ten komunikat, stop, nie idź dalej. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Niezmieniałem trybu. Tryb jest nieokreślony (niezaznaczony). Przy instalacji tegoż, pojawił się znów "wirus"malware.gen. Zrobiłem tak jak zalecenie wyżej. Wyłączyłem agenta, restart kompa i nic... cały czas wyskakuje to samo. Wir+ mesedżo zgodności. Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 To może tymczasowo odinstaluj całkowicie AVG. Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 zrobię tak. Chociaż, wczesniej (bez pozwolenia zanim zgłosiłem się na forum a tylko na nim czytałem o bardzo podobnym przypadku), odinstalowałem wszystkie antywiry, odłączyłem kabel. i combo nadal nie działał. No ale spróbuje to zrobić ponownie. Niestety popołudniu. Wpadłem teraz na pomysł, że to może przez wersje wndowsa? Windows xp speed hacked by saper1972 z 2008roku. Kolega podobno podrasował tego wina kiedyś i tak długo już na nim jade. Może jest mało stabilny? Wiem, że chciałbym uniknać formata. Odezwe się z wynikiem jak wrócę. Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Chociaż, wczesniej (bez pozwolenia zanim zgłosiłem się na forum a tylko na nim czytałem o bardzo podobnym przypadku), odinstalowałem wszystkie antywiry, odłączyłem kabel. i combo nadal nie działał. No ale spróbuje to zrobić ponownie. Nie porównuj sytuacji wcześniej. Wcześniej działał rootkit, którego aktywność znosiłeś via Webroot, a który mógł być powodem blokowania narzędzia. Wpadłem teraz na pomysł, że to może przez wersje wndowsa? Windows xp speed hacked by saper1972 z 2008roku. Kolega podobno podrasował tego wina kiedyś i tak długo już na nim jade. Może jest mało stabilny? Wiem, że chciałbym uniknać formata. Odezwe się z wynikiem jak wrócę. To inna sprawa, z logów to już od początku wiem, że jeździsz na przeróbce. A posługiwanie się cudzymi przeróbkami jest ogólnie niekorzystne, nie wiadomo co się dzieje jak coś się zaczyna psuć, w rozumieniu diagnostyka musi jeszcze brać pod uwagę co namieszano w źródle Windows. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Witam po powrocie, Wywaliłem AVG, ściągnąłem combofixa, odłączyłem kabel internetowy, wyłączyłem zapore systemową. I odpaliłem combofixa i nic... ładuje się, nagle znika i znów monit: "Warning!! Do not run COmboFix in compatibility Mode. Doing so may damage the machine." Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Zastartuj komputer do Trybu awaryjnego i spróbuj uruchomić ComboFix. Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Niedziała:( wywaliłem znowu avg, odłaczyłem wszystko. Włączyłem awaryjny, odpalam combifixa i cały czas ten sam komunikat:( Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Co to znaczy "wywaliłem znowu"? To Ty w kółko deinstalujesz program?! Miało tu być tylko jedno podejście: deinstalujesz kompletnie na czas leczenia, a nie wstawianie go zaraz po usunięciu. Skoro jest problem z uruchomieniem aplikacji, nie zostanie wykorzystana. 1. Jeszcze poprzednio ominęłam do deinstalacji QuickStores-Toolbar (adware doczepione do Unlockera). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh winsock reset /C del "\\?\C:\Windows\System32\ " /C del "\\?\C:\Documents and Settings\JA\Pulpit\Shiro Sagisu - " /C C:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\3833e736 C:\Documents and Settings\NetworkService\Dane aplikacji\abpzlw.dat C:\Documents and Settings\JA\Dane aplikacji\avdrn.dat C:\WINDOWS\System32\drivers\str.sys C:\WINDOWS\uyodekosubukaqib.dll C:\WINDOWS\orikojegigudud.dll C:\WINDOWS\egetacoy.dll C:\WINDOWS\uholikufevorid.dll C:\WINDOWS\ewanidopumam.dll C:\WINDOWS\ikoyevevamiw.dll C:\WINDOWS\ayiboludos.dll C:\WINDOWS\ojepavidifex.dll C:\WINDOWS\ucenopafebo.dll C:\WINDOWS\icubuxid.dll C:\WINDOWS\inozavoh.dll C:\WINDOWS\opogatag.dll C:\WINDOWS\isizepuf.dll C:\WINDOWS\elimaqawepewapa.dll C:\WINDOWS\isoqubub.dll C:\WINDOWS\ufapahogevopeba.dll C:\WINDOWS\epegewuxiqeniwa.dll C:\WINDOWS\uhuguxav.dll C:\WINDOWS\ofebubovidog.dll C:\WINDOWS\udexavig.dll C:\WINDOWS\onunures.dll C:\WINDOWS\agoyafis.dll C:\WINDOWS\evoqeqalux.dll C:\WINDOWS\asuzifowasilare.dll C:\WINDOWS\aqejugerudane.dll C:\WINDOWS\idagubelix.dll C:\WINDOWS\otomemapiqiy.dll C:\WINDOWS\ezunukifasocuke.dll C:\WINDOWS\eqizajifohavo.dll C:\WINDOWS\ihufovavoxosok.dll C:\WINDOWS\uzowejoguxaboko.dll C:\WINDOWS\uvugakusa.dll C:\WINDOWS\ewizosow.dll C:\WINDOWS\efahuxew.dll C:\WINDOWS\apahohil.dll C:\WINDOWS\ejamuyixusumoca.dll C:\WINDOWS\agisunogewusuya.dll C:\WINDOWS\uxuwakevadazad.dll C:\WINDOWS\ikicolalocupuw.dll C:\WINDOWS\idofoqiwuhu.dll C:\WINDOWS\ehiziwawazulaxu.dll C:\WINDOWS\afuzevuladiwoxew.dll C:\WINDOWS\egunalulin.dll C:\WINDOWS\ifihopiranohi.dll C:\WINDOWS\oquziresoxiwuvur.dll C:\WINDOWS\esuziwawazulaxu.dll C:\WINDOWS\ogoyafis.dll C:\WINDOWS\ibawobey.dll C:\WINDOWS\agiviqeme.dll C:\WINDOWS\irunaqafotocedo.dll C:\WINDOWS\icerokowuca.dll C:\WINDOWS\edolufiwuzo.dll C:\WINDOWS\udolufiwuzozawu.dll C:\WINDOWS\alefiyasomizihaw.dll C:\WINDOWS\oqejugerudane.dll C:\WINDOWS\oyarojewujo.dll C:\WINDOWS\eforihesogologiw.dll C:\WINDOWS\izuzutazetifig.dll C:\WINDOWS\efarabulezel.dll C:\WINDOWS\aginerulatoqez.dll C:\WINDOWS\osunoduse.dll C:\WINDOWS\eviwosaf.dll C:\WINDOWS\omihefozujecazuw.dll C:\WINDOWS\iyoqozuz.dll C:\WINDOWS\amureheg.dll C:\WINDOWS\uxipidurayape.dll C:\WINDOWS\oyiwajur.dll C:\WINDOWS\ulabecebepaguhey.dll C:\WINDOWS\uzosefubemobelis.dll C:\WINDOWS\ijujofuloh.dll C:\WINDOWS\eliwanulamol.dll C:\WINDOWS\ucutulivihanofow.dll C:\WINDOWS\efetokara.dll C:\WINDOWS\itaqiwogijaniler.dll C:\WINDOWS\eyobituyihita.dll C:\WINDOWS\esacacezafit.dll C:\WINDOWS\ivoruzifu.dll C:\WINDOWS\oxiveler.dll C:\WINDOWS\idelefar.dll C:\WINDOWS\izoqeqalux.dll C:\WINDOWS\imoquwezanon.dll C:\WINDOWS\ofopubitukixuyoy.dll C:\WINDOWS\igibogise.dll C:\WINDOWS\avequbefova.dll C:\WINDOWS\epihohilof.dll C:\WINDOWS\ofeqijol.dll C:\WINDOWS\uvaquqisef.dll C:\WINDOWS\itamewome.dll C:\WINDOWS\erenoduse.dll C:\WINDOWS\equziresoxiwuvur.dll C:\WINDOWS\ejibojebuqag.dll C:\WINDOWS\odoyocozofuqoqiw.dll C:\WINDOWS\isepadewi.dll C:\WINDOWS\ayupisozoqoc.dll C:\WINDOWS\ewezogazin.dll C:\WINDOWS\ifetokaratiqe.dll C:\WINDOWS\ohahebafideqube.dll C:\WINDOWS\ihutitef.dll C:\WINDOWS\opeyovox.dll C:\WINDOWS\uzobidukemug.dll C:\WINDOWS\agegapojuyibox.dll C:\WINDOWS\acocipihaxiqexej.dll C:\WINDOWS\izisixejigulu.dll C:\WINDOWS\ejeworucato.dll C:\WINDOWS\adogakusa.dll C:\WINDOWS\otemijig.dll C:\WINDOWS\ilakedomigiv.dll C:\WINDOWS\ejalapel.dll C:\WINDOWS\evoridoz.dll C:\WINDOWS\eviwosafuzawo.dll C:\WINDOWS\ezacixaf.dll C:\WINDOWS\ivawevevuk.dll C:\WINDOWS\atuwuhuropifatu.dll C:\WINDOWS\ixawejoguxaboko.dll C:\WINDOWS\arosivolupuf.dll C:\WINDOWS\odivarowigesife.dll C:\WINDOWS\ewejidifeme.dll C:\WINDOWS\ezawidogodobuvo.dll C:\WINDOWS\ivagevus.dll C:\WINDOWS\unalixib.dll C:\WINDOWS\oqovaxes.dll C:\WINDOWS\iwefikavup.dll C:\WINDOWS\oyiwegumesawe.dll C:\WINDOWS\awoqonof.dll C:\WINDOWS\eqigajim.dll C:\WINDOWS\uweyutezezuq.dll C:\WINDOWS\uwejidifemeyuda.dll C:\WINDOWS\okoqonofajahiga.dll C:\Documents and Settings\JA\Dane aplikacji\Mozilla\Firefox\Profiles\26zholxe.default\searchplugins\ask.xml C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de C:\PROGRAM FILES\COMMON FILES\SPIGOT C:\PROGRAM FILES\PDFFORGE TOOLBAR :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKU\S-1-5-21-1343024091-1972579041-682003330-1001\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.7 FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.1.0 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.7 O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 3. Wygeneruj nowy log z OTL na dostosowanym warunku, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!). C:\Windows\*. /RP /s Dodaj także log z AD-Remover z opcji Scan. Przedstaw również ten log uzyskany z usuwania w punkcie 2. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Witam. Zrobiłem wg. instrukcji. poniżej załączam logi. Przy logu 12022011_201737.LOG takie było rozszerzenie ale nie mogłem dodać tego na forum bo wyskakiwała mi informacja o braku uprawnień do umeiszczania takich plików więc zmieniłem rozszerzenie na txt. OTL2.Txt 12022011_201736.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Zadania w większości wykonane, ale nie zgadzają się dwie rzeczy: Winsock nie został zresetowany + nadal są obiekty Kasperskiego. Czy na pewno użyłeś Kaspersky Remover (pobrany widzę, ale czy użyty)? Po rootkicie aktualnie widać dwa fragmenty, właśnie nadal przekierowany Winsock oraz ten punkt: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\$NtUninstallKB8442$] -> Error: Cannot create file handle -> Unknown point type 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB8442$ Klik w Unlock. 2. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files netsh winsock reset /C fsutil reparsepoint delete C:\Windows\$NtUninstallKB8442$ /C C:\Windows\$NtUninstallKB8442$ C:\Program Files\Mozilla FireFox\Components\AskSearch.js C:\Program Files\Application Updater C:\Documents and Settings\Kasia\Dane aplikacji\pdfforge C:\Documents and Settings\Kasia\Dane aplikacji\Search Settings C:\Documents and Settings\JA\Dane aplikacji\QuickStoresToolbar rd /s /q C:\32788R22FWJFW /C rd /s /q "C:\Documents and Settings\JA\DoctorWeb" /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] :OTL DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\95331952.sys -- (95331952) DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\56451071.sys -- (56451071) DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\46026056.sys -- (46026056) DRV - [2011-11-30 12:05:06 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\40865138.sys -- (40865138) O9 - Extra Button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - Reg Error: Key error. File not found O20 - Winlogon\Notify\klogon: DllName - (C:\WINDOWS\system32\klogon.dll) - C:\WINDOWS\system32\klogon.dll (Kaspersky Lab ZAO) Klik w Wykonaj skrypt. 3. Wykonaj nowy log z OTL opcją Skanuj, tym raz na ustawieniach domyślnych z opisu forum. Dołącz log z wynikami usuwania z punktu 2. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Tak użyłem kavremover tak jak zalecone było. 12022011_221518.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Zadanie wykonało się niekompletnie. Winsock nie chce się zresetować .... Ponadto, folder rootkita też nie został skasowany. 1. Uruchom GrantPerms ponownie, wklej w nim C:\Windows\$NtUninstallKB8442$ i klik w Unlock. Następnie spróbuj ręcznie przez SHIFT+DEL skasować ten folder z dysku. 2. Zastosuj narzędzie Fixit-it z tego artykułu: KB811259. Zresetuj komputer. 3. Utwórz nowy log z OTL opcją Skanuj i przedstaw do oceny. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Witam. Zrobiłem wg. zaleceń. Załączam plik (mam nadzieję, że tym razem niczego nie zepsułem:P) OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Hmmmm, Winsock bez zmian ..... Wprawdzie pozornie gładko zeszły inne obiekty rootkita, ale obserwowane tu zachowanie jest nienormalne. Po ustaniu czynności rootkit reset Winsock powinien odbyć się bez problemu. Zrób skan za pomocą Kaspersky TDSSKiller, zaznaczając do skanu wszystkie dodatkowe opcje. Jeśli narzędzie cokolwiek wykryje, przyznaj akcję Skip i tylko raport zaprezentuj. . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Sam raportu chyba nie generuje, więc skopiowałem i wkleiłem do txt tdsskiller.txt.txt Odnośnik do komentarza
picasso Opublikowano 2 Grudnia 2011 Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 Mamy więcej elementów infekcji rootkit, działa system plików rootkit: 23:22:06.0843 3092 \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user23:22:06.0843 3092 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Skip 1. Uruchom Kaspersky TDSSkiller ponownie i dla wyniku TDSS File System przyznaj akcję Delete, pozostałe ustaw na Skip. Zresetuj system. 2. Następnie uruchom ponownie narzędzie Fix-it podane w poprzednim moim poście. Zresetuj system. 3. Zrób nowy log z OTL opcją Skanuj (Extras po raz kolejny nie jest mi potrzebny). . Odnośnik do komentarza
Problem Opublikowano 2 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2011 ok, załączam loga OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2011 Zgłoś Udostępnij Opublikowano 3 Grudnia 2011 Bez zmian. Wejdź w Tryb awaryjny Windows, Start > Uruchom > cmd > wpisz komendę netsh winsock reset > opisz co się dzieje podczas wykonywania tej komendy / jakie błędy widzisz. Przy okazji, czy ponownie uruchomiony TDSSKiller na poprzednio ustawionych warunkach na pewno już nie pokazuje wyniku z TDSS File System? Odnośnik do komentarza
Problem Opublikowano 3 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2011 zrobiłem tak jak wyżej, wyskakuje mi, że 'netsh' nie jest prawidłową komendą podobnie jak winsock i w zasadzie nic się nie dzieje. Jestem tylko prymitywnym człwiekiem, ale jeżeli chodzi o wynik to poprzednio wykazywał tds killer winsocka, prawda? teraz go nie widać. Jeżeli o to chodzi. tdskiller.Txt Odnośnik do komentarza
Rekomendowane odpowiedzi