Infekcja Privacy Protection


(szymon189) #1

Posiadam zainfekowany komputer Privacy Protection. Nic nie umie nanim zrobić. Skorzytsałem z AVG Rescue CD, ale nadal są problemy. Musiałem zrobić log w OTL w trybi awaryjnym.

http://wklej.to/tPka5

http://wklej.to/vPMqc


(Spandau) #2

Tutaj jest rootkit zeroacccess

Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa ... reator.zip Rozpakuj, uruchom

Wklej do niego

Klikasz Create wygenerowany log dasz później na forum

Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum


(szymon189) #3

DummyCreator

http://wklej.to/9l1kV

Raport z Kasperskigo

http://wklej.to/VAwW0

Wszystko zrobione w trybie awaryjnym.


(Spandau) #4

Nic nie szkodzi

Proszę pobrać Combofixa http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Proszę na razie go nie uruchamiać

Uruchom Ponownie Kasperskiego Jak znajdzie

Wybierasz opcje Delete

Jak znajdzie

Wybierasz opcje Cure

Jak znajdzie

Wybierasz Skip

Będzie wymagany restart systemu Po restarcie wejdź od razu w tryb awaryjny windows i uruchom Combofixa dwuklikiem Jak się uda i narzędzie skończy pracę pokaż raport na forum


(szymon189) #5

Log:

http://wklej.to/jkPur


(Spandau) #6

Combofix zrobił porządek Teraz tak Przez Aplet Dodaj Usuń programy odinstaluj BabylonToolbar.

Następnie odinstalujemy Combofixa w prawidłowy sposób

Start - Uruchom - wpisujesz lub skopiuj

"c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall i Enter

Teraz spróbuj uruchomić windows normalnie Jak się uda wykonaj nowy skan OTL i pokaż na forum raport OTL.txt


(szymon189) #7

Otl.txt

http://wklej.to/qvaiH

Extras.txt

http://wklej.to/gxLcg


(Spandau) #8

Więc tak Jeśli nie działa AVG spróbuj odinstalować go przez Aplet Dodaj Usuń Jeśli będzie z tym problem użyj narzędzia do deinstalacji http://www.avg.com/pl-pl/pobierz-narzedzia

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Pobierz i wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje Proszę nic nie usuwaj tylko podaj na forum raport z tego co zostało wykryte Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189


(szymon189) #9

Log z usunięcia:

http://wklej.to/kti7p

Nowe logi:

http://wklej.to/wnZQl

http://wklej.to/at0Kn

Kaseprsky nic ni wykrył.

Posiadam z tego komputera pendrive, może on być zainfekowany?

Strona Dobrychprogramów działa ok,ale forum jakoś długo ładuje się.


(Spandau) #10

Coś jest nie tak bo w nowym logu OTL nadal jest

Dam do usuwania pozostałość po Esecie

Nie wykonałeś pełnego skanu Kasperskim?

Włącz pokazywanie ukrytych plików i folderów. Idź do pliku hosts Otwórz go i wstaw lub pozostaw tylko linię

resztę usuń. Zachowaj zmiany

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(szymon189) #11

Plik hosts wygląda tak: http://wklej.to/MRFnb Niestety nie nogę go zmienić.


(Spandau) #12

Zrób tak. Zmień nazwę pliku hosts na hosts.bak

Następnie utwórz nowy plik hosts jak w tym poście [http://www.fixitpc.pl/topic/5733-restar ... __p__42708](http://www.fixitpc.pl/topic/5733-restarty-programow-i-problemy-z-internetem/page view findpost p 42708) i wstaw do właściwej lokalizacji czyli C:\WINDOWS\system32\drivers\etc

Jak wszystko będzie działać dobrze usuniesz plik hosts.bak


(szymon189) #13

Robię tak jak piszę mimo to zapisuj jako hosts.txt. A jak usunę txt to pisze że plik już istnieje o takiej nazwie a go nie ma. Mam pokazywane ukryte pliki.

Usuniecie:

http://wklej.to/BeGWA

OTL:

http://wklej.to/7ZFDO

http://wklej.to/o4YFU


(Spandau) #14

Proszę tutaj masz plik hosts http://hostuje.net/file.php?id=d6019e65 ... 6e4d4725e3

Wpis jak był tak jest

Pokaż raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr ... 13208.html Raport zapisz do pliku spakuj plik i wrzuć na jakiś darmowy hosting plików a w poście podaj linka do pliku

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum


(szymon189) #15

Podmiana pliku hosts nie działa. Zarówno w trybie normalnym jak i awaryjnym.

Log z Autoruns

http://hostuje.net/file.php?id=dc94abec04590790f7c57ef69082fb99

SystemLook

http://wklej.to/wp0Na


(Spandau) #16

Zrób sobie kopie zapasową tego pliku Zresetujemy go przy użyciu OTL ale to na końcu. Więc po kolei:

Uruchom OTL klikasz Sprzątanie to usunie OTL wraz z jego kwarantanną, czyli folderem C:_OTL

Uruchom Autoruns przejdź do zakładki Logon Idziesz do klucza

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Usuń

Idziesz do klucza

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Usuń

Idziesz do klucza

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Usuń

Pobierz ponownie OTL

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(szymon189) #17

Log po usunięciu:

http://wklej.to/D4pLl

http://wklej.to/LS3Xk

http://wklej.to/IqmT3


(Spandau) #18

Wszystko się wykonało. Reszty już nie będe ruszać. Sprawdź czy wszystko działa prawidłowo

Uruchom OTL klikasz raz jeszcze Sprzątanie

Skorygujemy ten błąd

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Zainstaluj oprogramowanie zabezpieczające i wykonaj pełny skan systemu. Jeśli skaner nic nie wykryje użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Obowiązkowo ponieważ były tutaj dwa rootkity zeroaccess oraz MBR wszystkie hasła do wymiany.

Edit::

Tak może być Tak twierdził nawet OTL Zobacz więc ten temat http://www.fixitpc.pl/topic/56-zabezpie ... zenosnych/


(szymon189) #19

Zauważyłem dziwny błąd z instalacją aktualizacji w systemie. Miałem do zainstalowania:

Jak zainstaluje to po chwili aktualizacja jest ponownie do zainstalowania i tak w koło. Jak wyłączam komputer to też mam możliwość jej instalacji - instalacja niby się odbywa, ale po uruchomieniu komputera znów jest do instalacji.


(Spandau) #20

Spróbuj pobrać stąd i zainstalować http://www.microsoft.com/downloads/pl-p ... b8eb148356