Witam z góry mówię że nie jestem za bardzo doświadczony w tych sprawach. Chciałbym wiedzieć czy z moim systemem jest wszystko ok. Zrobiłem loga z combofixa dodaje linka.
jest źle zacznijmy od użycia combofixa a skączymy na tym że masz infekcje
combofixa się nie używa od tak sobie on jest zbyt niebezpieczny może uszkodzić system
Malwarebytes AntiMalware przeskanuj tym i antywirusem czyli avirą
zainstaluj to SP3
KubotaMC , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku
pawcio1212
W tym konkretnym przypadku mamy infekcje rootkitem zeroaccess Użycie Combofixa jest wskazane. Co nie znaczy, że to co napisałeś jest błędem
KubotaMC to jeszcze nie wszystko
Przeskanuj plik c:\windows\system32\ isftrm.sys tutaj http://www.virustotal.com/ podaj raport na forum
wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Przeskanowałem ten plik isftrm.sys żaden antyvir na tamtej stronie co podałeś nic nie wykrył.
To z Combofixem zrobiłem jak pisałeś oto log:
Odinstaluj Combofixa Start - Uruchom - wpisujesz
"c:\program files\gry programy itp nie usuwac\logi\combo fix\ComboFix.exe" /uninstall i Enter
Ten plik nadal widać w logu Znajdź i usuń go ręcznie przez Shift + Del Ma atrybut systemowy, ukryty W rzeczywistości plik infekcji zeroaccess Jeśli nie będziesz mógł go znaleźć nie przejmuj się znajdzie go skaner o ile jest. Pobierz Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html wykonaj pełny skan Jak program coś znajdzie nic nie usuwaj tylko pokaż raport na forum. Podaj także raporty OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html
Start - Uruchom - wpisujesz regedit i Enter
Idziesz do klucza
HKEY_LOCAL_MACHINE\System\ControlSet001\Services
Zobacz czy jest cdrom czy .cdrom czy może są obydwie To samo sprawdź czy jest wartość redbook czy może .redbook lub są obydwie
Odinstalowałem Combofixa. Pliku c_49630.nl_ nie mogłem znaleźć więc pobrałem tego kasperskiego, coś tam znalazł ale jak mówiłeś nie usuwałem oto raport:
Programem OTL również przeskanowałem oto raporty:
A co do tego ostatniego to mam .cdrom i cdrom tak samo mam .redbook i redbook
To nie jest cały raport Kasperskiego nie mogę go ocenić Raport po prostu się nie zmieścił wklej go na http://www.wklej.org
Podałeś dwa razy raport Extras.txt brak raportu OTL.txt
Wartości z kropką dodane przez rootkita. Zanim jednak przejdziemy do usuwania sprawdzę co tam jest Więc tak:
Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na cdrom (bez kropki) z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego Następnie ponownie Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na redbook (bez kropki) z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego
Sorki za to wszystko, dobra link do OTL.txt
raport kaspersky:
cdrom.reg:
redbook.reg:
Rejestr zostawię na koniec ponieważ
Kasperski twierdzi, że ten sterownik jest zainfekowany. Log OTL także wskazuje ten plik chociaż wielkość i data się zgadzają to brak podpisu Microsoftu.
Rzecz w tym że uruchomiliśmy Combofix dwukrotnie i program ani raz nie pokazał infekcji w tym sterowniku. Nasuwa się więc pytanie czy infekcja nie powróciła dlatego będziemy podmieniać ten sterownik i nie tylko
Proszę utworzyć na dysku *C:* katalog Plik Pobierz sterownik przeznaczony dla Twojego systemu http://hostuje.net/file.php?id=5be97a7d … a3e8fe88c2 umieść go w katalogu Plik czyli C:\Plik\serial.sys
Proszę pobrać ponownie Combofixa http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/
wklej do notatnika:
Zapisz plik jako CFScript najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Zrobiłem jak mówiłeś oto log:
Uruchom OTL klikasz Skanuj pokaż raport na forum. Sprawdzimy co OTL powie na temat podmienionego pliku
Ok raport OTL:
Plik podmieniony
Niestety to chyba jeszcze nie wszystko. Ciągle powraca ten plik Proszę użyć Webroot AntiZeroAccess instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry37213](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 37213#entry37213) i podać raport na forum
Po tym proszę nowy raport OTL
Ten Webroot AntiZeroAccess chyba nic nie znalazł oto raport od niego:
Znów raport z OTL:
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Dobra zrobiłem raport:
Proszę utworzyć nowy punkt przywracania systemu Zrób kopię tych wartości które będziemy usuwać (wyeksportuj je przed usunięciem i zapisz do pliku, tak jak to już robiłeś z tymi bez kropki.
Dobra najpierw rejestr Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet1\Services
odszukaj i usuń wartości (te z kropką)
.cdrom oraz .redbook Restart komputera i sprawdź czy wszystko działa jeśli nie przywrócisz system
Teraz log Combofixa. Combofix usunął m.in. te pliki
Wejdź do katalogu Qoobox
wyciągnij te pliki na pulpit skasuj rozszerzenie vir , przeskanuj każdy z nich http://www.virustotal.com/ Jeśli skanery nic nie znajdą wstaw je do lokalizacji z której zostały usunięte
Następnie odinstaluj Combofixa - sposób podałem wcześniej
Następnie uruchom OTL klikasz Sprzątanie
Wykonaj pełne skanowanie DrWebem http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html Jak coś znajdzie pokaż raport na forum Jak nic nie znajdzie to użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
Zrobiłem jak mówiłeś. Po usunięciu .cdrom i .redbook po restarcie wszystko działa.W tych plikach z rozszerzeniem vir to w prawie wszystkich coś znalazło to wszystkie usunąłem, Combofixa odinstalowałem, OTL zrobiłem sprzątanie. DrWeb nic nie znalazł, oto log z Security Check:
Do uaktualnienia obowiązkowo Do instalacji service packa wymagany jest chyba (nie pamiętam) klucz aktywacyjny windows
XP SP3 Internet Explorer 8 (XP)
Jak zainstalujesz SP3 oraz IE8 pobierasz z windows update wszystkie dostępne aktualizacje. Po każdej instalacji sprawdzasz ponownie windows update aż nie będzie tam żadnych nowych aktualizacji To wpłynie chociaż częściowo na bezpieczeństwo twojego komputera
Dodatkowo proszę uaktualnić
Java http://www.oracle.com/technetwork/java/ … index.html
Adobe Flash Player http://get.adobe.com/pl/flashplayer/ proszę odhaczyć Tak zainstaluj program McAfee Security Scan Plus
Mozilla Firefox http://www.mozilla.org/pl/firefox/new/