Skocz do zawartości

Windows Defender Apps Control i Windows Live Control


Rekomendowane odpowiedzi

Witam

Przeglądałem sobie dzisiaj programy które uruchamiają się automatycznie przy starcie systemu i mój niepokój wzbudziły dwa nieznane mi procesy

Windows Defender Apps Control

Windows Live Control

dodatkowo jeszcze był następujący proces,

cpuvis.sys

który zniknął przy pierszej , zakończonej BSODem próbie skanowania GMERem

 

W załączeniu przesyłąm logi z OTL i GMER (ten ostatni w trybie awaryjnym)

 

Czekam na pomoc

OTL.Txt

Extras.Txt

gmer pełny tryb awar.txt

gmer preskan tryb awar.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Windows Defender Apps Control to rootkit zaś cpuvis to jego sterownik na systemach Vista / 7. Na XP jest to cpuxp. Dodatkowo ta infekcja zapisuje się jako specjalny folder rozszerzenia powłoki zmieniając wartość w rejestrze. Na wielu forach o tym w ogóle nie wspominają tylko usuwają to co widać a to potem wraca.

 

1. Start > w polu szukania wpisz regedit > wejdź do klucza:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows Vista:

 

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

2. Użyj narzędzia ComboFix i wklej z niego log.

 

3. Wykonaj log z Gmer na ustawieniu Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz

 

 

 

Odnośnik do komentarza

1. Wklej do notatnika ten tekst:

 

File::
C:\Windows\system32\cpuvis.sys
 
Folder::
c:\program files\My applications
 
Driver::
cpuvis
 
Registry::
[-HKLM\~\startupfolder\C:^Program Files^My applications^Windows Live Control.exe]

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

cfscript.gif

 

2. Wklejasz wynikowy log z ComboFix + nowy log z Gmer na tym samym ustawieniu.

 

 

 

Odnośnik do komentarza

Infekcja pomyślnie usunięta. Do wykonania kroki końcowe.

 

1. Zamontuj skrypt przywracający folder omyłkowo usunięty przez ComboFix:

 

DeQuarantine::
C:\Qoobox\Quarantine\C\WINDOWS\SEC
 
Quit:: 

 

2. W Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "c:\users\marzar\Desktop\viry\ComboFix.exe" /uninstall

 

3. Wykonaj obowiązkowe aktualizacje oprogramowania:

 

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64

"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)

 

Szczegółowe INSTRUKCJE.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...