asmorod
(Krukbezoka)
19 Czerwiec 2010 19:48
#1
Po lekturze tematu:
windows-defender-control-apps-exe-nie-mozna-odnalezc-pliku-t395485.html
Zauwazylem, ze też w skanie hijacka mam wpis windows defender control apps.exe, ktory wział sie znikad, bo nie instalowalem zadnego oprogramowania.
A jak juz wspomniano w temacie - jest rootkitem. Prosze o pomoc w pozbyciu sie go.
Tutaj wspomniany log hijack :
http://wklej.org/id/353345/
Załączam jeszcze log z OTL :
http://wklej.org/id/353346/
Kasar1
(Kasar1)
19 Czerwiec 2010 19:50
#2
co pokazał MBAM wykrył coś ??
Tutaj może być potrzebny GMER
deFco247
(deFco247)
19 Czerwiec 2010 19:57
#3
W przypadku tego rootkita będzie potrzebna ciężka amunicja, poza tym to wygląda na jakąś nową wersję z usługą o innej nazwie:
Pobierz Combofix , ale nie uruchamiaj.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
asmorod
(Krukbezoka)
19 Czerwiec 2010 21:21
#4
I to sie nazywa PRO pomoc, dzieki wielkie
log dla Ciebie:
http://wklej.org/id/353403/
deFco247
(deFco247)
19 Czerwiec 2010 21:35
#5
Wygląda na to, że już za pierwszym razem udało się wszystko usunąć.
Pokaż jeszcze nowe logi OTL, ale tym razem wstaw obydwa logi OTL.txt + Extras.txt .
asmorod
(Krukbezoka)
19 Czerwiec 2010 21:46
#6
deFco247
(deFco247)
19 Czerwiec 2010 21:56
#7
Otwórz edytor rejestru (Start -> Uruchom… -> regedit ).
Rozwiń gałąź: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Edytuj wpis Common Startup i w jego wartości wklej:
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
W białe dolne okno Custom Scans/Fixes w OTL wklej:
Run Fix i zatwierdź restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Po tym sprawdź, czy będzie dalej na dysku folder C:\Documents and Settings\All Users\ My applications
asmorod
(Krukbezoka)
20 Czerwiec 2010 00:44
#8
deFco247:
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan. Po tym sprawdź, czy będzie dalej na dysku folder C:\Documents and Settings\All Users\My applications
Log z usuwania:
http://wklej.org/id/353475/
ze skanu:
http://wklej.org/id/353478/
i extras z tego skanu:
http://wklej.org/id/353480/
Folder C:\Documents and Settings\All Users\My applications jest dalej na dysku, ale jest pusty.
deFco247
(deFco247)
20 Czerwiec 2010 08:55
#9
Sprawdź ponownie czy edytowany wpis rejestru ma podaną wartość.
Więcej tutaj na usuwanie nic nie ma, poza tym felernym folderem.
W OTL kliknij CleanUp .
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
asmorod
(Krukbezoka)
20 Czerwiec 2010 11:51
#10
Zrobilem jak mowiles - MBAM nic nie wykrył, folder My Applications usunałem Unlockerem.
Przeskanowalem komputer kilkoma antywirusami, i anti-malware, i wychodzi na to, ze juz po problemie.
Zresztą komputer dziala teraz znacznie lepiej i płynniej.
To chyba na tyle, wielkie dzieki za pomoc. Jestes nieoceniony ! =D>
andreo.ck
(Endriu12316)
20 Czerwiec 2010 13:09
#11
A jeżeli nie mam SPTDInst to co mam zrobić?