Posiadam zainfekowany komputer Privacy Protection. Nic nie umie nanim zrobić. Skorzytsałem z AVG Rescue CD, ale nadal są problemy. Musiałem zrobić log w OTL w trybi awaryjnym.
Tutaj jest rootkit zeroacccess
Proszę pobrać i spróbować uruchomić Dummy Creator http://download.bleepingcomputer.com/fa … reator.zip Rozpakuj, uruchom
Wklej do niego
Klikasz Create wygenerowany log dasz później na forum
Następnie restartujesz system to warunek konieczny Pobierasz Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … #entry6814](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 6814) Jak program coś wykryje wybierasz Skip prezentujesz raport na forum
DummyCreator
Raport z Kasperskigo
Wszystko zrobione w trybie awaryjnym.
Nic nie szkodzi
Proszę pobrać Combofixa http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Proszę na razie go nie uruchamiać
Uruchom Ponownie Kasperskiego Jak znajdzie
Wybierasz opcje Delete
Jak znajdzie
Wybierasz opcje Cure
Jak znajdzie
Wybierasz Skip
Będzie wymagany restart systemu Po restarcie wejdź od razu w tryb awaryjny windows i uruchom Combofixa dwuklikiem Jak się uda i narzędzie skończy pracę pokaż raport na forum
Combofix zrobił porządek Teraz tak Przez Aplet Dodaj Usuń programy odinstaluj BabylonToolbar.
Następnie odinstalujemy Combofixa w prawidłowy sposób
Start - Uruchom - wpisujesz lub skopiuj
"c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall i Enter
Teraz spróbuj uruchomić windows normalnie Jak się uda wykonaj nowy skan OTL i pokaż na forum raport OTL.txt
Więc tak Jeśli nie działa AVG spróbuj odinstalować go przez Aplet Dodaj Usuń Jeśli będzie z tym problem użyj narzędzia do deinstalacji http://www.avg.com/pl-pl/pobierz-narzedzia
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Pobierz i wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś wykryje Proszę nic nie usuwaj tylko podaj na forum raport z tego co zostało wykryte Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189
Log z usunięcia:
Nowe logi:
Kaseprsky nic ni wykrył.
Posiadam z tego komputera pendrive, może on być zainfekowany?
Strona Dobrychprogramów działa ok,ale forum jakoś długo ładuje się.
Coś jest nie tak bo w nowym logu OTL nadal jest
Dam do usuwania pozostałość po Esecie
Nie wykonałeś pełnego skanu Kasperskim?
Włącz pokazywanie ukrytych plików i folderów. Idź do pliku hosts Otwórz go i wstaw lub pozostaw tylko linię
resztę usuń. Zachowaj zmiany
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Zrób tak. Zmień nazwę pliku hosts na hosts.bak
Następnie utwórz nowy plik hosts jak w tym poście [http://www.fixitpc.pl/topic/5733-restar … __p__42708](http://www.fixitpc.pl/topic/5733-restarty-programow-i-problemy-z-internetem/page view findpost p 42708) i wstaw do właściwej lokalizacji czyli C:\WINDOWS\system32\drivers\etc
Jak wszystko będzie działać dobrze usuniesz plik hosts.bak
Robię tak jak piszę mimo to zapisuj jako hosts.txt. A jak usunę txt to pisze że plik już istnieje o takiej nazwie a go nie ma. Mam pokazywane ukryte pliki.
Usuniecie:
OTL:
Proszę tutaj masz plik hosts http://hostuje.net/file.php?id=d6019e65 … 6e4d4725e3
Wpis jak był tak jest
Pokaż raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html Raport zapisz do pliku spakuj plik i wrzuć na jakiś darmowy hosting plików a w poście podaj linka do pliku
Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego
Klikasz Look pokaż log na forum
Podmiana pliku hosts nie działa. Zarówno w trybie normalnym jak i awaryjnym.
http://i43.tinypic.com/10pa9o6.jpg
Log z Autoruns
http://hostuje.net/file.php?id=dc94abec04590790f7c57ef69082fb99
SystemLook
Zrób sobie kopie zapasową tego pliku Zresetujemy go przy użyciu OTL ale to na końcu. Więc po kolei:
Uruchom OTL klikasz Sprzątanie to usunie OTL wraz z jego kwarantanną, czyli folderem C:_OTL
Uruchom Autoruns przejdź do zakładki Logon Idziesz do klucza
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Usuń
Idziesz do klucza
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Usuń
Idziesz do klucza
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Usuń
Pobierz ponownie OTL
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Wszystko się wykonało. Reszty już nie będe ruszać. Sprawdź czy wszystko działa prawidłowo
Uruchom OTL klikasz raz jeszcze Sprzątanie
Skorygujemy ten błąd
Wklej do notatnika
Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg
Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.
Zainstaluj oprogramowanie zabezpieczające i wykonaj pełny skan systemu. Jeśli skaner nic nie wykryje użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
Obowiązkowo ponieważ były tutaj dwa rootkity zeroaccess oraz MBR wszystkie hasła do wymiany.
Edit::
Tak może być Tak twierdził nawet OTL Zobacz więc ten temat http://www.fixitpc.pl/topic/56-zabezpie … zenosnych/
Zauważyłem dziwny błąd z instalacją aktualizacji w systemie. Miałem do zainstalowania:
Jak zainstaluje to po chwili aktualizacja jest ponownie do zainstalowania i tak w koło. Jak wyłączam komputer to też mam możliwość jej instalacji - instalacja niby się odbywa, ale po uruchomieniu komputera znów jest do instalacji.