Skocz do zawartości

Backdoor.Win32.ZAccess.aug


Rekomendowane odpowiedzi

Witam, najprawdopodobniej to siedzi na moim kompie właśnie ściągam OTL'a poniżej daję Logi Aviry, przy następnej edycji pojawi się log z OTL'a.

 

 

 

Avira Free Antivirus

Report file date: 23 lutego 2012 11:33

 

Scanning for 3492928 virus strains and unwanted programs.

 

The program is running as an unrestricted full version.

Online services are available:

 

Licensee : Avira AntiVir Personal - Free Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows 7 x64

Windows version : (plain) [6.1.7600]

Boot mode : Normally booted

Username : RufleX

Computer name : RUFLEX-KOMPUTER

 

Version information:

BUILD.DAT : 12.0.0.849 41825 Bytes 2011-09-23 20:19:00

AVSCAN.EXE : 12.1.0.17 490448 Bytes 2011-09-23 17:04:46

AVSCAN.DLL : 12.1.0.17 54224 Bytes 2011-09-23 12:34:56

LUKE.DLL : 12.1.0.17 68304 Bytes 2011-09-23 11:55:16

AVSCPLR.DLL : 12.1.0.22 100048 Bytes 2012-02-23 10:31:06

AVREG.DLL : 12.1.0.29 228048 Bytes 2012-02-23 10:31:05

VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009-11-06 19:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 2010-12-14 10:07:39

VBASE002.VDF : 7.11.19.170 14374912 Bytes 2011-12-20 10:29:20

VBASE003.VDF : 7.11.21.238 4472832 Bytes 2012-02-01 10:29:58

VBASE004.VDF : 7.11.21.239 2048 Bytes 2012-02-01 10:29:59

VBASE005.VDF : 7.11.21.240 2048 Bytes 2012-02-01 10:29:59

VBASE006.VDF : 7.11.21.241 2048 Bytes 2012-02-01 10:29:59

VBASE007.VDF : 7.11.21.242 2048 Bytes 2012-02-01 10:30:00

VBASE008.VDF : 7.11.21.243 2048 Bytes 2012-02-01 10:30:00

VBASE009.VDF : 7.11.21.244 2048 Bytes 2012-02-01 10:30:00

VBASE010.VDF : 7.11.21.245 2048 Bytes 2012-02-01 10:30:01

VBASE011.VDF : 7.11.21.246 2048 Bytes 2012-02-01 10:30:01

VBASE012.VDF : 7.11.21.247 2048 Bytes 2012-02-01 10:30:01

VBASE013.VDF : 7.11.22.33 1486848 Bytes 2012-02-03 10:30:14

VBASE014.VDF : 7.11.22.56 687616 Bytes 2012-02-03 10:30:20

VBASE015.VDF : 7.11.22.92 178176 Bytes 2012-02-06 10:30:21

VBASE016.VDF : 7.11.22.154 144896 Bytes 2012-02-08 10:30:23

VBASE017.VDF : 7.11.22.220 183296 Bytes 2012-02-13 10:30:24

VBASE018.VDF : 7.11.23.34 202752 Bytes 2012-02-15 10:30:26

VBASE019.VDF : 7.11.23.98 126464 Bytes 2012-02-17 10:30:27

VBASE020.VDF : 7.11.23.150 148480 Bytes 2012-02-20 10:30:28

VBASE021.VDF : 7.11.23.151 2048 Bytes 2012-02-20 10:30:28

VBASE022.VDF : 7.11.23.152 2048 Bytes 2012-02-20 10:30:29

VBASE023.VDF : 7.11.23.153 2048 Bytes 2012-02-20 10:30:29

VBASE024.VDF : 7.11.23.154 2048 Bytes 2012-02-20 10:30:29

VBASE025.VDF : 7.11.23.155 2048 Bytes 2012-02-20 10:30:30

VBASE026.VDF : 7.11.23.156 2048 Bytes 2012-02-20 10:30:30

VBASE027.VDF : 7.11.23.157 2048 Bytes 2012-02-20 10:30:30

VBASE028.VDF : 7.11.23.158 2048 Bytes 2012-02-20 10:30:31

VBASE029.VDF : 7.11.23.159 2048 Bytes 2012-02-20 10:30:31

VBASE030.VDF : 7.11.23.160 2048 Bytes 2012-02-20 10:30:31

VBASE031.VDF : 7.11.23.212 154112 Bytes 2012-02-22 10:30:33

Engineversion : 8.2.10.4

AEVDF.DLL : 8.1.2.2 106868 Bytes 2012-02-23 10:31:01

AESCRIPT.DLL : 8.1.4.5 442745 Bytes 2012-02-23 10:31:00

AESCN.DLL : 8.1.8.2 131444 Bytes 2012-02-23 10:30:59

AESBX.DLL : 8.2.4.5 434549 Bytes 2012-02-23 10:31:02

AERDL.DLL : 8.1.9.15 639348 Bytes 2011-09-08 22:16:06

AEPACK.DLL : 8.2.16.3 799094 Bytes 2012-02-23 10:30:58

AEOFFICE.DLL : 8.1.2.25 201084 Bytes 2012-02-23 10:30:54

AEHEUR.DLL : 8.1.3.31 4395383 Bytes 2012-02-23 10:30:53

AEHELP.DLL : 8.1.19.0 254327 Bytes 2012-02-23 10:30:38

AEGEN.DLL : 8.1.5.21 409971 Bytes 2012-02-23 10:30:37

AEEXP.DLL : 8.1.0.22 70005 Bytes 2012-02-23 10:31:03

AEEMU.DLL : 8.1.3.0 393589 Bytes 2011-09-01 22:46:01

AECORE.DLL : 8.1.25.4 201079 Bytes 2012-02-23 10:30:35

AEBB.DLL : 8.1.1.0 53618 Bytes 2011-09-01 22:46:01

AVWINLL.DLL : 12.1.0.17 27344 Bytes 2011-09-23 11:13:18

AVPREF.DLL : 12.1.0.17 51920 Bytes 2011-09-23 10:53:57

AVREP.DLL : 12.1.0.17 179408 Bytes 2011-09-23 10:55:01

AVARKT.DLL : 12.1.0.17 223184 Bytes 2011-09-23 10:25:26

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 2011-09-23 10:34:37

SQLITE3.DLL : 3.7.0.0 398288 Bytes 2011-09-16 01:05:58

AVSMTP.DLL : 12.1.0.17 62928 Bytes 2011-09-23 11:03:47

NETNT.DLL : 12.1.0.17 17104 Bytes 2011-09-23 11:58:06

RCIMAGE.DLL : 12.1.0.17 4450000 Bytes 2011-09-23 12:37:25

RCTEXT.DLL : 12.1.0.16 96208 Bytes 2011-09-23 12:37:24

 

Configuration settings for the scan:

Jobname.............................: Scan for Rootkits and active malware

Configuration file..................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp

Logging.............................: default

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Process scan........................: on

Extended process scan...............: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: Complete

 

Start of the scan: 23 lutego 2012 11:33

 

Starting search for hidden objects.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c

[NOTE] The registry entry is invisible.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '74' Module(s) have been scanned

Scan process 'avcenter.exe' - '111' Module(s) have been scanned

Scan process 'avguard.exe' - '70' Module(s) have been scanned

Scan process 'avgnt.exe' - '77' Module(s) have been scanned

Scan process 'sched.exe' - '40' Module(s) have been scanned

Scan process 'gg.exe' - '106' Module(s) have been scanned

Scan process 'plugin-container.exe' - '116' Module(s) have been scanned

Scan process 'ping.exe' - '52' Module(s) have been scanned

Scan process 'mbamservice.exe' - '39' Module(s) have been scanned

Scan process 'firefox.exe' - '145' Module(s) have been scanned

Module is OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

[WARNING] The file could not be opened!

Scan process 'XMBLicensing.exe' - '16' Module(s) have been scanned

Scan process 'jusched.exe' - '28' Module(s) have been scanned

Scan process 'Sound_Blaster_X-Fi_MB_Cleanup.0001' - '19' Module(s) have been scanned

Scan process 'VolPanlu.exe' - '71' Module(s) have been scanned

Scan process 'AMBSPISyncService.exe' - '46' Module(s) have been scanned

Scan process 'XFastUsb.exe' - '41' Module(s) have been scanned

Scan process 'fraps.exe' - '51' Module(s) have been scanned

Scan process 'ProtectedObjectsSrv.exe' - '31' Module(s) have been scanned

Scan process 'CTAudSvc.exe' - '30' Module(s) have been scanned

 

Starting to scan executable files (registry).

The registry was scanned ( '651' files ).

 

 

 

End of the scan: 23 lutego 2012 12:22

Used time: 49:00 Minute(s)

 

The scan has been done completely.

 

0 Scanned directories

1814 Files were scanned

0 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 Files were deleted

0 Viruses and unwanted programs were repaired

0 Files were moved to quarantine

0 Files were renamed

1 Files cannot be scanned

1813 Files not concerned

0 Archives were scanned

1 Warnings

6 Notes

455888 Objects were scanned with rootkit scan

6 Hidden objects were found

 

 

 

beztytuupoev.png

 

Tutaj jest link do tematu na innym forum, to forum właśnie tutaj mnie skierowało, być może jest tam więcej informacji na temat tego co u mnie siedzi.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Istotnie, mamy tu ZeroAccess:

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,006,656 | ---- | M] (Oak Technology Inc.) [Auto | Running] -- C:\Windows\SysNative\klif.dll -- (mindretrieve)

 

MOD - [2009-07-14 02:15:51 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL

MOD - [2009-07-14 02:15:51 | 000,232,448 | ---- | M] () -- \\.\globalroot\systemroot\syswow64\mswsock.dll

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found

 

[2012-02-21 19:19:34 | 000,000,000 | ---D | C] -- C:\Windows\system64

[2012-02-21 21:28:48 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_trash_log.cmd

 

Prócz tego uszkodzone usługi systemowe.

 

 

1. Pobierz narzędzie FRST x64 i umieść je na pendrive.

 

2. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: mindretrieve
2 mindretrieve; C:\Windows\System32\klif.dll [6656 2009-07-14] (Oak Technology Inc.)
C:\Windows\System32\klif.dll
C:\Windows\System32\consrv.dll
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\assembly\tmp\U
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt.

 

4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

5. Zrób nowe logi z OTL opcją Skanuj + Farbar Service Scanner (zaznacz wszystko do skanowania). Dostarcz też Fixlog.txt.

 

 

 

.

Odnośnik do komentarza

1. O ile skrypt wykonany pomyślnie i 99% składników ZeroAccess poszło w siną dal, nadal widać naruszony Winsock:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found

 

Podałam do wykonania:

 

4. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

Czy komendę wykonałeś, czy na pewno cmd startowałeś przez opcję "Uruchom jako Administrator", a jeżeli komenda wykonana to czy na pewno zastosowałeś się do zaleceń w oknie i zresetowałeś komputer?

 

2. Druga sprawa: sprecyzowałam w skrypcie likwidację łącza symbolicznego C:\Windows\system64, by przemienić go na zwyczajny folder gotowy do kasacji. Komenda fsutil jakoby wykonała się poprawnie. Sprawdź czy C:\Windows\system64 ma ikonę normalnego folderu a nie ikonę ze strzałką. Jeżeli będzie widnieć normalna ikona, przez SHIFT+DEL skasuj folder z dysku. Jeżeli jednak będzie ikona ze strzałką, stop.

 

 

.

Odnośnik do komentarza

Reset Winsock pomyślnie wykonany, zniknęły wszystkie odczyty "not found".

 

 

Ad2. Jest to folder ale z kłódką, tak to miało wyglądać ??

 

Kłódka oznacza określone uprawnienia. Uruchom GrantPerms x64 jako Administrator, w oknie wklej co podane poniżej i klik w Unlock.

 

C:\Windows\system64

 

Po tej akcji sprawdź jak wygląda ikona, czy zniknęła kłódka i czy to jest normalna ikona folderu a nie ze strzałką.

 

 

.

Odnośnik do komentarza

Tak, infekcja ZeroAccess jest przyczyną dla szaleństw ping. ZeroAccess został usunięty, ale jesteśmy w połowie zadania. Należy zreperować szkody, które zrobił trojan. Masz skasowany cały układ Zapory systemu Windows (usługi BFE + MpsSvc), usługę Centrum Zabezpieczeń i usługę Windows Defender. Do wykonania:

 

1. Odtworzenie usług Windows:

  • Rekonstrukcja usług firewalla: KLIK. Odtwarzasz dwie usługi (BFE i MpsSvc) a nie trzy i omijasz sfc /scannow.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

2. Po odtworzeniu wszystkich usług restartujesz system i tworzysz nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza

Wygląda na to, że usługi zostały zrekonstruowane. Przechodzimy do kolejnej partii:

 

1. Porządki po używanych narzędziach: przez SHIFT+DEL skasuj katalog C:\FRST, możesz oczywiście usunąć wszystkie pobrane w trakcie napraw narzędzia.

 

2. Skoryguj sytuację w antywirusach, bo aktualnie jest Kaspersky PURE oraz doinstalowana w trakcie diagnostyki Avira. Niedobry układ, Avirę odinstaluj, by nie obciążać systemu.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełny skan potwierdzający czystość systemu, za pomocą posiadanych Kasperskiego + MBAM na najnowszych bazach. Przedstaw wyniki, o ile coś zostanie wykryte.

 

 

@edit. Jeśli gdybyś mogła polecić mi najlepszy twoim zdaniem program antywirusowy, byłbym ci bardzo wdzięczny.

 

Mitologia współczesna. Nie istnieje twór "najlepszy", dlatego ja nie mam zdania na ten temat :P. Piastuję przekonanie: wszystko dobre co pochodzi z wiodącej marki o ustalonej reputacji, zaś sam antywirus to ledwie cząstka zabezpieczeń, nie ma antidotum dla określonych działań użytkownika i jego myślenia. Rozumiem, że Kaspersky PURE tu był podstawowym antywirusem czy został doinstalowany na czas leczenia?

 

 

 

.

Odnośnik do komentarza
rozważam też opcję usunięcia Kasperskiego (Avira już niema) i ponowna jego instalacja

 

Wprawdzie ja w raportach nie notuję, by Kaspersky był w widzialny sposób zdefektowany i potwierdzasz, że zdaje się działać poprawnie, ale też log z OTL to jest bardzo ograniczona analiza w tym kontekście. Reinstalacja całego silnika nie wydaje się taka głupia, tak na wszelki wypadek.

 

 

 

.

Odnośnik do komentarza

Oceniając to co jest w owym starym skanie, w skrypcie uwzględniałam już ścieżki w Assembly i FRST je przetwarzał:

 

Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 21-02-2012

Ran by SYSTEM at 2012-02-23 14:41:23 R:1

Running from E:\

 

==============================================

 

C:\Windows\assembly\tmp\U not found.

C:\Windows\assembly\GAC_64\desktop.ini moved successfully.

C:\Windows\assembly\GAC_32\desktop.ini moved successfully.

 

Wyniki z desktop.ini zostały więc załatwione już dawno. Log jednak wyjaśnia dlaczego skrypt nie znalazł C:\Windows\assembly\temp\U, PURE go załatwił o dziesiątej rano. Co dziwne jednak, PURE go wykrył ponownie o siódmej wieczorem, czyli daleko po przetwarzaniu skryptu ...

 

Czy na pewno skany tandemu Kaspersky + MBAM w momencie bieżącym już nic nie wykrywają?

 

 

.

Odnośnik do komentarza

Przepraszam że tak późno piszę ale miałem problemy z dostępem do internetu (lokalny dostawca coś spierniczył), przez ten czas właściwie bawiłem się Pure no i nie właściwymi patchami itp. Teraz próbuję go odratować ale co z tego wyjdzie.

 

Ps. Pure Trial podobno ma właściwości wykrywające ale właściwości bojowe u niego są ograniczone, jest to prawda ?

 

@edit. teraz najprawdopodobniej mam coś na kompie ponieważ często sama przeglądarka przechodzi na strony typu "nagrody-internetowe.pl/apple/products/ipad2/adv"

Odnośnik do komentarza
Ps. Pure Trial podobno ma właściwości wykrywające ale właściwości bojowe u niego są ograniczone, jest to prawda ?

 

Triale Kasperskiego powinny mieć pełne możliwości w zakresie czasu ustawionym w trial. Nie przypominam sobie, by były jakieś blokady, ale głowy nie dam... Zresztą widzę, że grzecznie Avasta wsadziłeś. Dobrze jest.

 

 

@edit. teraz najprawdopodobniej mam coś na kompie ponieważ często sama przeglądarka przechodzi na strony typu "nagrody-internetowe.pl/apple/products/ipad2/adv"

 

W logu z OTL nie widzę żadnych oznak infekcji czynnej. Aczkolwiek jest tu zmodyfikowany i ukryty plik HOSTS:

 

O1 HOSTS File: ([2012-02-22 18:39:30 | 000,001,398 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 108.163.215.51 www.google-analytics.com.

O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.

O1 - Hosts: 108.163.215.51 www.statcounter.com.

O1 - Hosts: 67.215.245.19 www.google-analytics.com.

O1 - Hosts: 67.215.245.19 ad-emea.doubleclick.net.

O1 - Hosts: 67.215.245.19 www.statcounter.com.

 

Wykonaj reset pliku HOSTS do postaci domyślnej za pomocą narzędzia automatycznego Fix-it z KB972034.

 

 

Dodaję tylko plik logu OTL bo EXTRAX mi nie utworzyło.

 

Na ślepo przyjęte, że OTL ma identyczną konfigurację. :P OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a należy ustawić to na "Użyj filtrowania", by pozyskać log Extras.

 

 

 

.

 

 

Odnośnik do komentarza

To da się coś z tym zrobić bo Avast nic nie widzi. Gdzie ustawić OTL'a tak aby tworzył też plik Extrax?

 

Mam problem z znalezieniem pliku Hosts ponieważ kiedy wpisuję "%systemroot% \system32\drivers\etc" to wszystko się pokazuje lecz niema go tam, spróbuję go utworzyć i zobaczę co się stanie.

 

@edit. Nawet jeśli wpiszę "%systemroot% \system32\drivers\etc\hosts" przechodzę do folderu tak jakby etc, nie przechodzę do HOSTS.

 

@edit2. Znalazłem następny problem a mianowicie coś mi "odcina" dostęp do neta np Jestem na GG nie używam go ale jest w Trialu i coś mi odcina jego dostęp do neta sprawdzam czy to przypadkiem nie Avast (usunięty), usunąłem go kilka chwil wcześniej i jak na razie cały czas jestem na Dostępnym przypuszczam że on miał ustawione coś w stylu "priorytetowego" dostępu do sieci a jakoż ze mam internet mobilny to mogą się cyrki dziać.

Odnośnik do komentarza

Nie czytasz uważnie co mówię.

 

 

Gdzie ustawić OTL'a tak aby tworzył też plik Extrax?

 

Powiedziałam: "OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a należy ustawić to na "Użyj filtrowania", by pozyskać log Extras." Jedna opcja do przestawienia ...

 

 

To da się coś z tym zrobić bo Avast nic nie widzi.

 

Przecież wskazuję: w logach nie ma widocznej infekcji poza zmodyfikowanym plikiem HOSTS, który nakazałam zresetować. Zresetowałeś? Nie.

 

 

Mam problem z znalezieniem pliku Hosts ponieważ kiedy wpisuję "%systemroot% \system32\drivers\etc" to wszystko się pokazuje lecz niema go tam, spróbuję go utworzyć i zobaczę co się stanie.

 

@edit. Nawet jeśli wpiszę "%systemroot% \system32\drivers\etc\hosts" przechodzę do folderu tak jakby etc, nie przechodzę do HOSTS.

 

Po pierwsze: plik jest tylko go nie widzisz, bo jest ukryty (atrybuty HS), a Ty nie masz skonfigurowanych wszystkich opcji widoku, tzn. w Opcjach folderów "zapomniałeś" odfajkować "Ukryj chronione pliki systemu operacyjnego". Po drugie: nie kazałam nic robić ręcznie, cytuję: "Wykonaj reset pliku HOSTS do postaci domyślnej za pomocą narzędzia automatycznego Fix-it"". W artykule jest do pobrania automat ...

 

 

@edit2. Znalazłem następny problem a mianowicie coś mi "odcina" dostęp do neta np Jestem na GG nie używam go ale jest w Trialu i coś mi odcina jego dostęp do neta sprawdzam czy to przypadkiem nie Avast (usunięty), usunąłem go kilka chwil wcześniej i jak na razie cały czas jestem na Dostępnym przypuszczam że on miał ustawione coś w stylu "priorytetowego" dostępu do sieci a jakoż ze mam internet mobilny to mogą się cyrki dziać.

 

To jaka jest bieżąca sytuacja, bo na finale wygląda, że problem ustąpił? O co tu pytasz konkretnie?

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...