Jak usunąć Rootkit0Access


(Paco Ramires) #1

Program Malwarebytes znalazł Rootkit0Access który siedzi w rejestrze

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*202EETADPUG (Rootkit.0Access) -> No action taken.

sam program znajduje go , usuwa, ale po restarcie kompa i ponownym skanowaniu z powrotem się pojawia

nod 32 jak i Trojan Remover go nie widzą, ręcznie z rejestru też go nie można usunąć, może ktoś z Was przerabiał podobny problem z pozytywnym skutkiem ? ? ?


(falcon89) #2

OTL - Raport obowiązkowy

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

Pobierz Farbar Recovery Scan Tool zgodny z wersją systemu 32-bit lub 64-bit

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.


(Paco Ramires) #3

witam ponownie

logi porobione zgodnie z wskazówkami

OTL: http://wklej.to/3IWZH

Extras: http://wklej.to/IatHL

FRST: http://wklej.to/Mjn2y

Addition: http://wklej.to/aMZfB

FSS: http://wklej.to/KAYEb


(Atis) #4

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
AppInit_DLLs: C:\Windows\System32\ [] ()
HKLM\...\AppCertDlls: [autostat] -> C:\WINDOWS\system32\packuota.dll
U2 *etadpug; "C:\Program Files\Google\Desktop\Install\{7c9a5145-80d4-6784-a922-9b9a332f50b2}\ \ \???\{7c9a5145-80d4-6784-a922-9b9a332f50b2}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [x]
S3 nmwcd; system32\drivers\ccdcmb.sys [x]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [x]
S3 rtl8139; system32\DRIVERS\RTL8139.SYS [x]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x]
C:\Documents and Settings\Artur\Ustawienia lokalne\Dane aplikacji\Google\Desktop
C:\Program Files\Google\Desktop
C:\WINDOWS\system32\packuota.dll

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pokaż nowy log z OTL bez Extras.


(Paco Ramires) #5

A więc, sytuacja wygląda następująco:

FIXLOG:  http://wklej.to/NiLTE

FRST:  http://wklej.to/Detvg

OLT:  http://wklej.to/BR0aY

dorzucam jeszcze raport scanu i usuwania AdwCleaner

http://wklej.to/kAU2F


(Atis) #6

Pobierz plik FIX:

http://sendfile.pl/103545/FIX.reg

Kliknij prawym na pliku FIX i wybierz Scal.

 

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

DeleteQuarantine:

Uruchom FRST i kliknij Fix.

 

Uruchom OTL i do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\12abc\catchme.sys -- (catchme)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
[2013-11-28 21:13:23 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-11-25 19:46:18 | 000,000,000 | ---D | C] -- C:\FRST
[2013-11-20 20:16:42 | 000,000,280 | ---- | M] () -- C:\WINDOWS\tasks\DLL-files.com Fixer_UPDATES.job
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

 

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date


(Paco Ramires) #7

A więc tak:

umieszczam raport ze skanowania zgodnie z zaleceniami z opisu

 

 Results of screen317’s Security Check version 0.99.77  


(Atis) #8

Odinstaluj Java™ 6 Update 19 i Adobe Flash Player 10.

Zainstaluj:

Java 7 Update 45

Flash Player Internet Explorer

Firefox 25

Internet Explorer 8


(Paco Ramires) #9

Wynik skanu Malwarebytes - jak najbardziej pozytywny  O:)  O:)  O:)

Cały syf usunięty  O:)  O:)  O:)

Zaraz biorę się za instalki

 

Stokrotne dzięki Atis