Program Malwarebytes znalazł Rootkit0Access który siedzi w rejestrze
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*202EETADPUG (Rootkit.0Access) -> No action taken.
sam program znajduje go , usuwa, ale po restarcie kompa i ponownym skanowaniu z powrotem się pojawia
nod 32 jak i Trojan Remover go nie widzą, ręcznie z rejestru też go nie można usunąć, może ktoś z Was przerabiał podobny problem z pozytywnym skutkiem ? ? ?
falcon89
(falcon89)
25 Listopad 2013 08:58
#2
OTL - Raport obowiązkowy
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741
Pobierz Farbar Recovery Scan Tool zgodny z wersją systemu 32-bit lub 64-bit
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Raporty umieść na http://wklej.org/ i podaj link.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż raport z tego programu.
Atis
(Atis)
26 Listopad 2013 10:18
#4
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
AppInit_DLLs: C:\Windows\System32\ [] ()
HKLM\...\AppCertDlls: [autostat] -> C:\WINDOWS\system32\packuota.dll
U2 *etadpug; "C:\Program Files\Google\Desktop\Install\{7c9a5145-80d4-6784-a922-9b9a332f50b2}\ \ \???\{7c9a5145-80d4-6784-a922-9b9a332f50b2}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [x]
S3 nmwcd; system32\drivers\ccdcmb.sys [x]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [x]
S3 rtl8139; system32\DRIVERS\RTL8139.SYS [x]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x]
C:\Documents and Settings\Artur\Ustawienia lokalne\Dane aplikacji\Google\Desktop
C:\Program Files\Google\Desktop
C:\WINDOWS\system32\packuota.dll
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Pokaż nowy log z OTL bez Extras.
A więc, sytuacja wygląda następująco:
FIXLOG: http://wklej.to/NiLTE
FRST: http://wklej.to/Detvg
OLT: http://wklej.to/BR0aY
dorzucam jeszcze raport scanu i usuwania AdwCleaner
http://wklej.to/kAU2F
Atis
(Atis)
30 Listopad 2013 08:08
#6
Pobierz plik FIX:
http://sendfile.pl/103545/FIX.reg
Kliknij prawym na pliku FIX i wybierz Scal.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
DeleteQuarantine:
Uruchom FRST i kliknij Fix.
Uruchom OTL i do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\12abc\catchme.sys -- (catchme)
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
[2013-11-28 21:13:23 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-11-25 19:46:18 | 000,000,000 | ---D | C] -- C:\FRST
[2013-11-20 20:16:42 | 000,000,280 | ---- | M] () -- C:\WINDOWS\tasks\DLL-files.com Fixer_UPDATES.job
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
A więc tak:
umieszczam raport ze skanowania zgodnie z zaleceniami z opisu
Results of screen317’s Security Check version 0.99.77
Atis
(Atis)
30 Listopad 2013 11:19
#8
Odinstaluj Java™ 6 Update 19 i Adobe Flash Player 10.
Zainstaluj:
Java 7 Update 45
Flash Player Internet Explorer
Firefox 25
Internet Explorer 8
Wynik skanu Malwarebytes - jak najbardziej pozytywny O:) O:) O:)
Cały syf usunięty O:) O:) O:)
Zaraz biorę się za instalki
Stokrotne dzięki Atis