Jak usunąc rootkita


(Krukbezoka) #1

Po lekturze tematu:

windows-defender-control-apps-exe-nie-mozna-odnalezc-pliku-t395485.html

Zauwazylem, ze też w skanie hijacka mam wpis windows defender control apps.exe, ktory wział sie znikad, bo nie instalowalem zadnego oprogramowania.

A jak juz wspomniano w temacie - jest rootkitem. Prosze o pomoc w pozbyciu sie go.

Tutaj wspomniany log hijack :

http://wklej.org/id/353345/

Załączam jeszcze log z OTL :

http://wklej.org/id/353346/


(Kasar1) #2

co pokazał MBAM wykrył coś ??

Tutaj może być potrzebny GMER


(deFco247) #3

W przypadku tego rootkita będzie potrzebna ciężka amunicja, poza tym to wygląda na jakąś nową wersję z usługą o innej nazwie:

Pobierz Combofix, ale nie uruchamiaj.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Krukbezoka) #4

I to sie nazywa PRO pomoc, dzieki wielkie :wink:

log dla Ciebie:

http://wklej.org/id/353403/


(deFco247) #5

Wygląda na to, że już za pierwszym razem udało się wszystko usunąć.

Pokaż jeszcze nowe logi OTL, ale tym razem wstaw obydwa logi OTL.txt + Extras.txt.


(Krukbezoka) #6

Logi OTL:

http://wklej.org/id/353414/

Extras:

http://wklej.org/id/353417/


(deFco247) #7

Otwórz edytor rejestru (Start -> Uruchom... -> regedit ).

Rozwiń gałąź: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Edytuj wpis Common Startup i w jego wartości wklej:

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

Po tym sprawdź, czy będzie dalej na dysku folder C:\Documents and Settings\All Users\ My applications


(Krukbezoka) #8

Log z usuwania:

http://wklej.org/id/353475/

ze skanu:

http://wklej.org/id/353478/

i extras z tego skanu:

http://wklej.org/id/353480/

Folder C:\Documents and Settings\All Users\My applications jest dalej na dysku, ale jest pusty.


(deFco247) #9

Sprawdź ponownie czy edytowany wpis rejestru ma podaną wartość.

Więcej tutaj na usuwanie nic nie ma, poza tym felernym folderem.

W OTL kliknij CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).


(Krukbezoka) #10

Zrobilem jak mowiles - MBAM nic nie wykrył, folder My Applications usunałem Unlockerem.

Przeskanowalem komputer kilkoma antywirusami, i anti-malware, i wychodzi na to, ze juz po problemie.

Zresztą komputer dziala teraz znacznie lepiej i płynniej.

To chyba na tyle, wielkie dzieki za pomoc. Jestes nieoceniony ! =D>


(Endriu12316) #11

A jeżeli nie mam SPTDInst to co mam zrobić?