marzar Opublikowano 19 Czerwca 2010 Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 Witam Przeglądałem sobie dzisiaj programy które uruchamiają się automatycznie przy starcie systemu i mój niepokój wzbudziły dwa nieznane mi procesy Windows Defender Apps Control Windows Live Control dodatkowo jeszcze był następujący proces, cpuvis.sys który zniknął przy pierszej , zakończonej BSODem próbie skanowania GMERem W załączeniu przesyłąm logi z OTL i GMER (ten ostatni w trybie awaryjnym) Czekam na pomoc OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... gmer pełny tryb awar.txtPobieranie informacji ... gmer preskan tryb awar.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 19 Czerwca 2010 Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 Windows Defender Apps Control to rootkit zaś cpuvis to jego sterownik na systemach Vista / 7. Na XP jest to cpuxp. Dodatkowo ta infekcja zapisuje się jako specjalny folder rozszerzenia powłoki zmieniając wartość w rejestrze. Na wielu forach o tym w ogóle nie wspominają tylko usuwają to co widać a to potem wraca. 1. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows Vista: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2. Użyj narzędzia ComboFix i wklej z niego log. 3. Wykonaj log z Gmer na ustawieniu Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz Odnośnik do komentarza
marzar Opublikowano 19 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 Ad1. Zrobione Ad2. Zrobione Log Ad3. Zrobione Log LOG.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 19 Czerwca 2010 Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 1. Wklej do notatnika ten tekst: File:: C:\Windows\system32\cpuvis.sys Folder:: c:\program files\My applications Driver:: cpuvis Registry:: [-HKLM\~\startupfolder\C:^Program Files^My applications^Windows Live Control.exe] Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Wklejasz wynikowy log z ComboFix + nowy log z Gmer na tym samym ustawieniu. Odnośnik do komentarza
marzar Opublikowano 19 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 Ad1. Zrobione Ad2 - logi log2.txtPobieranie informacji ... gmer2.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 19 Czerwca 2010 Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 Infekcja pomyślnie usunięta. Do wykonania kroki końcowe. 1. Zamontuj skrypt przywracający folder omyłkowo usunięty przez ComboFix: DeQuarantine:: C:\Qoobox\Quarantine\C\WINDOWS\SEC Quit:: 2. W Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "c:\users\marzar\Desktop\viry\ComboFix.exe" /uninstall 3. Wykonaj obowiązkowe aktualizacje oprogramowania: "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64 "Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4) Szczegółowe INSTRUKCJE. Odnośnik do komentarza
marzar Opublikowano 19 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 A co z katalogiem my applications w program files, w ktorym znajduja sie pliki Windows Live Control.exe Windows Defender Apps Control.exe ? Odnośnik do komentarza
Landuss Opublikowano 19 Czerwca 2010 Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 Jeśli masz takie coś to usuń. Nie powinno byc problemu. Odnośnik do komentarza
marzar Opublikowano 19 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2010 [Wszystko zrobione zgodnie z instrukcjami, przeprowadzony upgrade programów, odinstalowany combo fix. Na razie wszystko działa THX Odnośnik do komentarza
Rekomendowane odpowiedzi